Demo buchen
Blog
8 Minuten lesen
Veröffentlicht am 30. April 2025

Air-Gapping: Reicht Isolation als Schutzmassnahme aus?

Air-Gapping als Sicherheitspraxis - Exeon blog

Connor Wood

Autor

Diesen Beitrag teilen

Inhaltsübersicht

Heute abonnieren

Erhalten Sie monatlich die neuesten Blogs in Ihren Posteingang - unser Cyber Flash.

Indem Sie auf Anmelden klicken, bestätigen Sie, dass Sie mit unseren Nutzungsbedingungen einverstanden sind.

Kann Air-Gapping allein die Cybersicherheit für kritische Industrien verbessern?

Air-Gapping ist eine Sicherheitsmaßnahme, die darauf abzielt, digitale Werte und Netzwerke von Verbindungen nach außen zu isolieren, um sie durch die Schaffung einer undurchdringlichen Barriere vor Hackern, Malware und anderen Bedrohungen zu schützen. Es hat seine Vorzüge, aber auch seine Sicherheitsprobleme, und damit eine Cybersicherheitslösung eingesetzt werden kann, braucht es die richtigen Lösungen und die richtige Einrichtung.

Vom Schutz des Netzes bis zum Einsatz: Arten von Air-Gapping

Netzwerk Air Gapping

Durch Netzwerk-Air-Gapping wird ein isoliertes, vom Internet getrenntes Netzwerk geschaffen, das die Sicherheit erhöht und unbefugten Zugriff verhindert. Diese in Hochsicherheitsumgebungen wie Militär- und Finanzsystemen übliche Einrichtung erschwert die Datenübertragung, -wartung und -aktualisierung, die manuell durchgeführt werden muss, was erhebliche betriebliche Herausforderungen mit sich bringt.

Entfaltung Air Gapping

Beim Air Gapping werden kritische Anwendungen in isolierten, physisch getrennten Netzwerken platziert, um sensible Daten vor externen Cyber-Bedrohungen zu schützen. Auf diese Server, die häufig im Bankwesen, im Gesundheitswesen und bei Versorgungsunternehmen eingesetzt werden, kann nur physisch zugegriffen werden. Die Datenverarbeitung erfolgt über USB, externe Medien oder physische Plug-ins.

Virtuelles Air Gapping

Virtual Air Gapping isoliert Aktivitäten und Geräte mit Hilfe separater virtueller Maschinen (VMs) und bietet so im Vergleich zu Firewalls und Antiviren-Software eine höhere Sicherheit. Für das Surfen im Internet, den Zugriff auf das Unternehmensnetzwerk und die Durchführung vertraulicher Aufgaben werden unterschiedliche VMs verwendet. Diese Methode vermeidet die Ineffizienzen physischer Air Gaps und trennt das Unternehmensnetzwerk effektiv vom Internet und sensiblen Daten.

Hat das Air-Gapping immer funktioniert?

Ein Blick in die Geschichtsbücher:

Eine der berühmtesten Success Storyn des Air-Gapping betrifft das iranische Atomprogramm. Die Urananreicherungsanlage in Natanz sollte mit einem Luftschleier versehen werden, um die Zentrifugen vor Cyberangriffen zu schützen. Dennoch gelang es dem Stuxnet-Wurm, einer ausgeklügelten Schadsoftware, das System zu infizieren. Die ursprüngliche Sicherheitsmaßnahme des Air-Gapping verzögerte die Infektion jedoch erheblich, was ihre Wirksamkeit beim Schutz sensibler Systeme beweist. Der Wurm wurde wahrscheinlich von einem Insider über ein infiziertes USB-Laufwerk eingeschleust, aber die Air-Gapping-Methode des Netzwerks verlangsamte seine Verbreitung und gab den Sicherheitsteams mehr Zeit zum Reagieren. Dieser Fall unterstreicht die Rolle von Air-Gapping bei der Schaffung einer robusten Verteidigungslinie, die Angriffe erschwert und verzögert und so wichtige Zeit für die Schadensbegrenzung schafft.

Im Gegensatz dazu stellen die Leaks von Edward Snowden ein Versagen des Air-Gapping dar. Das interne Netzwerk der NSA, das so genannte NSAnet, war vom öffentlichen Internet abgeschottet. Trotzdem gelang es Snowden, einem Insider mit rechtmäßigem Zugang, riesige Mengen an Verschlusssachen zu extrahieren und mit tragbaren Speichermedien nach draußen zu schmuggeln. Dieser Vorfall zeigt die Grenzen des Air-Gapping auf, insbesondere im Hinblick auf Insider-Bedrohungen. Er verdeutlicht, dass Air-Gapping zwar externe Cyberangriffe verhindern kann, aber die Risiken, die von vertrauenswürdigen Personen mit physischem Zugang zum Netzwerk ausgehen, nicht vollständig ausschalten kann.

Als Sicherheitsmaßnahme dient Air Gapping dazu, eine potenziell undurchdringliche Barriere zwischen digitalen Werten, Netzwerken und potenziellen Bedrohungen wie Hackern, Malware, Insidern, Stromausfällen und Naturkatastrophen zu schaffen. Die Implementierung beginnt mit der Einrichtung eines separaten Netzwerks, das vollständig von allen externen Netzwerken und dem Internet getrennt ist. Diese Strategie beinhaltet die Isolierung digitaler Bestände von allen Netzwerkverbindungen und die Gewährleistung einer physischen Trennung, um unbefugten Zugriff zu vereiteln. Die Aufbewahrung von Sicherungsbändern in einer sicheren Einrichtung wie einem Salzbergwerk ist ein Beispiel für die extreme Maßnahme des Air-Gapping, um unbefugten Datenzugriff zu verhindern. Luftschleusen dienen zwei primären Sicherheitszwecken: der Abwehr von Netzwerkangriffen und dem Schutz digitaler Bestände vor Zerstörung, unbefugtem Zugriff oder Manipulationen.

Operative Herausforderungen für Hochsicherheitsumgebungen

Air-Gapped-Netzwerke arbeiten ohne physische oder drahtlose Verbindungen zu externen Netzwerken und dem Internet, so dass manuelle Datenübertragungen erforderlich sind, um die Sicherheit zu erhöhen. Dieser Prozess erfordert zusätzliche Überprüfungsprotokolle, die vor der manuellen Datenübertragung angewendet werden müssen, um sicherzustellen, dass sie nicht kompromittiert werden, z. B. Scannen, Überprüfung digitaler Signaturen, Datenbereinigung usw. Dieser Ansatz erschwert jedoch die Wartung und den Betrieb, da die Verwaltung von Software-Updates und die Synchronisierung von Daten aufgrund der fehlenden Konnektivität schwierig ist. Trotz dieser Hürden werden Air-Gapped-Netzwerke häufig in Hochsicherheitsumgebungen wie Militär- und Finanzsystemen eingesetzt, um sensible Daten zu schützen.

Bei einer Air-Gapped-Netzwerkarchitektur werden kritische Anwendungen in isolierten Netzwerken platziert, die physisch von externen Netzwerken getrennt sind, wodurch sensible Daten und Transaktionen vor Cyber-Bedrohungen und unbefugtem Zugriff geschützt werden. Diese Strategie stärkt die Sicherheit, indem sie potenzielle Angriffsvektoren im Zusammenhang mit der Internetverbindung ausschaltet und so Datenverletzungen, Betrug und andere Cyberangriffe verhindert.

In Air-Gapped-Umgebungen erfolgen Datentransfer, Patches und Updates über USB-Laufwerke, externe Medien oder andere Offline-Methoden (Sneakernet), was eine sichere Handhabung/Verifizierung der physischen Medien erfordert, um eine mögliche Einschleppung von Malware in das Air-Gapped-Netzwerk zu verhindern. Die Anwendungs- und Systemverwaltung erfordert eine physische Verbindung zum internen Netzwerk. Obwohl Air-Gapped-Umgebungen sicherer sind, gelten sie im Allgemeinen als anspruchsvoller und kostspieliger in der Verwaltung.

Was, wenn Cyber-Risiken in luftleeren Netzen immer noch bestehen?

Luftspaltangriffe finden in Umgebungen statt, in denen Arbeits- und Internetnetze physisch getrennt sind, was als Netzwerktrennung bezeichnet wird, die interne Informationen vor externem Eindringen schützen soll. Die Netztrennung, die in eine physische und eine logische Trennung unterteilt wird, bildet die Basisumgebung für Air-Gap-Angriffe, bei denen häufig Seitenkanalmethoden eingesetzt werden, die Zeitinformationen, Strom und elektromagnetische Signale beinhalten.

Trotz der potenziell höheren Sicherheit aufgrund der fehlenden Kommunikation mit externen Netzen sind Daten und Netze hinter Luftlöchern leider immer noch verschiedenen Cyberrisiken ausgesetzt:

  1. Insider-Angriffe: Böswillige Insider mit Zugang zum Netz können die Sicherheit absichtlich gefährden, indem sie Malware einschleusen oder sensible Daten stehlen.
  2. Physische Angriffe: Angreifer könnten physisch in die Einrichtung eindringen, in der sich das Netz befindet, ohne eine Internetverbindung zu haben, um bösartige Geräte einzuschleusen oder Daten zu stehlen.
  3. Angriffe über das Mobilfunknetz: Ausgeklügelte Methoden wie die Ausnutzung von elektromagnetischen Emissionen oder akustischen Signalen können potenziell in abgeschirmte Umgebungen eindringen.
  4. Angriffe über die Lieferkette: Malware kann über Hardware, z.B. Router oder manipulierte Software, eingeschleust werden und Schwachstellen des jeweiligen Herstellers ausnutzen, um Zugang zur isolierten Umgebung zu erhalten.
  5. Menschliches Versagen: Fehler bei der manuellen Datenübertragung, wie z. B. die Verwendung infizierter Datenträger, können unbeabsichtigt Schwachstellen oder Malware in das Netz einschleusen.

Mitnehmen:

Air-Gapping ist eine Sicherheitsmaßnahme, die digitale Werte vor potenziellen Bedrohungen schützt, indem sie physisch von allen Netzverbindungen isoliert werden. Bei Air-Gapped-Netzen handelt es sich um isolierte Systeme, die Netze physisch voneinander trennen, um jeglichen Zugriff von außen zu verhindern und sensible Informationen zu schützen.

Der Begriff "Air-Gapped Deployment" bezieht sich auf die Implementierung eines Systems oder einer Anwendung in einem "Air-Gapped"-Netzwerk, um maximale Sicherheit zu gewährleisten, indem die Konnektivität zu externen Netzwerken unterbunden wird, was physische Barrieren/Sicherheitsvorkehrungen sowie eine Netzwerkisolierung erfordert. Der Einsatz in dieser Umgebung ist für die Einhaltung von Vorschriften in allen Branchen von entscheidender Bedeutung, da er die Sicherheit von kritischen Infrastrukturen und Datenspeichern erhöht.

In Bezug auf die GDPR speichern Air-Gapped-Netzwerke personenbezogene Daten sicher, verhindern den unbefugten Zugriff und unterstützen die Einhaltung der Vorschriften durch eine strenge Zugriffsverwaltung. Für den HIPAA beschränken Air-Gapped-Systeme den Zugriff auf geschützte Gesundheitsdaten und stellen sicher, dass nur physisch auf sie zugegriffen werden kann. Diese Systeme bieten außerdem umfassende Prüfprotokolle und Zugriffsprotokolle, die für die Einhaltung der Vorschriften unerlässlich sind. Durch die Isolierung sensibler Daten von Netzwerkverbindungen hilft Air-Gapping Unternehmen bei der Einhaltung gesetzlicher Vorschriften und beim Schutz vor Datenverletzungen.

Erkennen von Insider-Bedrohungen mit Verhaltensanalysen: Ein KI-basiertes System zur Verbesserung der Sicherheit von isolierten Netzwerken

Ein KI-basiertes Netzwerkerkennungssystem kann dazu beitragen, Cyberrisiken in isolierten Netzwerken zu minimieren, indem es die Verhaltensmuster der Nutzer analysiert, um Insider-Bedrohungen zu erkennen. Vor allem mit der Verhaltensanalyse: Das KI-System überwacht ständig die typischen Verhaltensmuster von Nutzern und Geräten im Netzwerk, wie z. B. die üblichen Anmeldezeiten, Datenzugriffsgewohnheiten und Dateiübertragungsaktivitäten, und lernt daraus.

Indem sie eine Basislinie für normales Verhalten erstellt, kann die KI Abweichungen von dieser Norm erkennen. Wenn zum Beispiel ein Mitarbeiter oder ein Gerät, das normalerweise auf bestimmte Dateien zugreift, plötzlich zu ungewöhnlichen Zeiten auf sensible oder eingeschränkte Daten zugreift, meldet die KI dies als Anomalie. Wenn die KI verdächtige Aktivitäten wie ungewöhnliche Datenzugriffe oder große Datenübertragungen feststellt, die von den üblichen Mustern abweichen, wird das Sicherheitsteam sofort benachrichtigt. Je mehr Daten das KI-System im Laufe der Zeit sammelt, desto genauer kann es zwischen harmlosen Anomalien und echten Bedrohungen unterscheiden, was die Zahl der Fehlalarme verringert und die Sicherheit insgesamt verbessert.

Durch die proaktive Erkennung von ungewöhnlichem Verhalten, das auf böswillige Insider-Aktivitäten hindeutet, erhöht ein KI-gestütztes Netzwerkerkennungssystem die Sicherheit von Netzwerken mit Luftlücken erheblich und hilft, Cyberrisiken in isolierten Netzwerken auf verschiedene Weise zu minimieren, insbesondere im Hinblick auf die folgenden Szenarien:

  • Insider-Bedrohungen: KI analysiert Verhaltensmuster von Nutzern und Geräten, um Anomalien zu erkennen, die auf potenzielle Bedrohungen hindeuten, z. B. ungewöhnliche Datenzugriffe oder Übertragungsaktivitäten, und warnt Nutzer vor diesen Anomalien.
  • Physische Angriffe: KI-basierte Überwachungs- und Kontrollsysteme können auch die physische Sicherheit verbessern, indem sie unbefugte Zugriffe, Bewegungen oder andere ungewöhnliche Aktivitäten im Netzwerk erkennen und so helfen, physische Angriffe zu identifizieren.
  • Angriffe auf die Lieferkette: KI kann die Integrität von Hardware und Software überprüfen, bevor sie in die geschützte Umgebung gelangt, und potenzielle Bedrohungen für die Lieferkette erkennen und eindämmen. Wenn beispielsweise Schwachstellen in der Hardware oder Software des abgeschirmten Netzes, die von Malware ausgenutzt werden, versuchen, sich seitlich im Netz zu bewegen oder einen Befehls- und Kontrollkanal (C&C) einzurichten und mit diesem zu kommunizieren, kann ein KI-basiertes Sicherheitssystem dies erkennen.
  • Menschliches Versagen: KI kann den Datentransferprozess im Netzwerk unterstützen, indem sie Medien auf Malware scannt und überprüft, bevor sie in das Netzwerk gelangen, und so das Risiko einer versehentlichen Kontamination verringert. Darüber hinaus kann KI in Echtzeit Anleitungen und Überprüfungen bieten, um sicherzustellen, dass Datenübertragungen sicher abgewickelt werden.

Bringen Sie zuerst etwas Intelligenz in die Luft:

Die Implementierung eines Cybersecurity-Tools über eine Air-Gapped-Implementierung ist eine Option für viele sensible Branchen, in denen Zugangskontrolle und Authentifizierung den Datenschutz und die Einhaltung von Vorschriften gewährleisten und den unbefugten Zugriff auf das Cybersecurity-Tool-System innerhalb des Air-Gapped-Netzwerks verhindern sollen, insbesondere im Hinblick auf die Speicherung und Verarbeitung sensibler Netzwerkdaten innerhalb der Air-Gapped-Umgebung.

Tools wie der maschinelle Lern-NDR von Exeon.NDR gewährleisten die Effektivität trotz fehlender Internetanbindung. Mit seinen vortrainierten Modellen wählen Kunden KI-Modelle und Algorithmen aus, die effektiv mit den in der abgekapselten Umgebung gesammelten Netzwerk-Metadaten (pre-) arbeiten können, ohne dass ein ständiger Internetzugang für Updates oder Training erforderlich ist. Es ist weder der Einsatz von Netzwerksensoren zur Erfassung des Netzwerkverkehrs und der Metadaten noch eine Verbindung zu externen Servern erforderlich.

Um ein Air-Gapped-Netz zu implementieren, müssen Unternehmen mit der Bewertung und Planung beginnen, indem sie die kritischen Anlagen und Infrastrukturen identifizieren, die von Air-Gapping profitieren könnten. Entwerfen Sie die Netzwerkarchitektur so, dass eine physische Isolierung gewährleistet ist und starke Zugangskontrollmechanismen eingebaut werden. Bei der Implementierung sollten Sie das Netzwerk ohne physische oder drahtlose Verbindungen aufbauen und installieren und verschlüsselte Methoden für die Datenübertragung verwenden. Legen Sie Protokolle für den Umgang mit Daten fest, indem Sie strenge Richtlinien für die Datenübertragung definieren und durchsetzen, z. B. die Verwendung gereinigter und überprüfter physischer Datenträger. Schließlich muss das Netzwerk mit regelmäßigen Updates und Patches gewartet werden, und es müssen regelmäßige Sicherheitsaudits durchgeführt werden, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten.

Die KI-Modelle von Exeon.NDR, die in der Air-Gapped-Umgebung eingesetzt werden, stellen sicher, dass ihre Modelle richtig konfiguriert und für die spezifische Netzwerkarchitektur und die Verkehrsmuster optimiert sind. Die erfassten Netzwerkdaten werden in der Air-Gapped-Umgebung vorverarbeitet. Dies umfasst die Bereinigung, Aggregation und Strukturierung der Daten, um sie für die KI-Analyse vorzubereiten. Mithilfe von vorab trainierten KI-Algorithmen zur Analyse von Netzwerkdaten und zur Erkennung von Anomalien, Eindringlingen oder verdächtigen Aktivitäten werden die Algorithmen implementiert, um Muster zu erkennen, die auf Cyber-Bedrohungen hinweisen, ohne auf externe Datenquellen angewiesen zu sein, und später Mechanismen zu entwickeln, um Warnungen und Benachrichtigungen auf der Grundlage der von der KI erkannten Bedrohungen zu generieren.

Auf diese Weise wird sichergestellt, dass die Warnungen innerhalb der abgekapselten Umgebung verwaltet und beantwortet werden können, wobei eine Integration mit anderen lokalen Systemen für das Management von Sicherheitsvorfällen möglich ist. Außerdem kann die Leistung des KI-gestützten Cybersicherheitstools innerhalb der abgekapselten Umgebung kontinuierlich überwacht und seine Wirksamkeit bei der Erkennung von und Reaktion auf Bedrohungen auf der Grundlage historischer Daten und realer Vorfälle bewertet und verbessert werden.

Um die Sicherheit und die Einhaltung von Vorschriften zu gewährleisten, können zusätzliche Datendioden eingesetzt werden, um einen einseitigen Datenpfad zu erzwingen, der sicherstellt, dass Informationen nur in eine Richtung fließen können. Sie sind so konzipiert, dass sie das Senden von Daten aus dem sicheren Netz heraus (ausgehend) ermöglichen, aber das Eintreten von Daten in das Netz (eingehend) blockieren, um die Integrität eines Air-Gapped-Systems aufrechtzuerhalten, indem sie die Möglichkeit eingehender Verbindungen ausschließen und so den Zugriff externer Bedrohungen auf das Netz verhindern.

Holen Sie sich den Cyber Flash

Bleiben Sie auf dem Laufenden mit unserem monatlichen Newsletter, der Sie über fortschrittliche Netzwerksicherheit, Updates zur Einhaltung von Vorschriften und die neuesten Veranstaltungen und Webinare zum Thema Cybersicherheit informiert.

Zurück zum Hauptmenü
Unsere Produkte
Wettbewerb

Warum unsere NDR-Lösung auf dem Markt überlegen ist.

KI & Sicherheit
Unsere KI-Cybersecurity-Plattform, Swiss-made.