Glasfasernetze sind das bevorzugte Transportmedium in Backbone-Netzwerken oder wenn um die Kopplung von Rechenzentren geht. So nahmen Anfang Juni die Hochleistungsrechenzentren der TU Dresden und der TU Bergakademie Freiberg eine 100-Gigabit-Strecke in Betrieb, die eine Entfernung von 60 Kilometern überbrückt. Wenig bekannt in der Öffentlichkeit ist dagegen die Anfälligkeit von LWL für Abhörattacken.
Glaserfaserstrecken kommen immer dann zum Einsatz, wenn Anwender besonders hohe Anforderungen in Bezug auf Rechenleistung – und Sicherheit haben. Neben den Hochleistungsrechenzentren von Forschungsinstituten sind Großkonzerne, Finanzinstitute, Industrie-, Telekommunikations- oder Chemieunternehmen typische Nutzer von Glasfasernetzen.
Für optische Übertragungssysteme sprechen etliche Punkte: der hohe Datendurchsatz, die niedrigen Latenzzeiten, außerdem die hohe Skalierbarkeit und Kompatibilität. Hinzu kommt der Faktor Wirtschaftlichkeit: Der Austausch großer Datenmengen in Echtzeit zwischen mehreren Standorten lässt sich über Glasfaserleitungen am preisgünstigsten abwickeln.
Über Lichtwellenleiter laufen Video- und Sprachinformationen. Hinzu kommen Backup- und Disaster-Recovery-Daten, die unter Einhaltung von Compliance- und Best-Practice-Vorgaben über separate Speichermedien übertragen werden.
Viele Netzwerk- und Sicherheitsverantwortliche unterschätzen jedoch das Risiko, dem vertrauliche Informationen durch Angriffe auf optische Datenleitungen ausgesetzt sind. Angreifer können sich beispielsweise über Spleiß-Stellen, die nur ungenügend geschützt sind, Zugang zum Glasfasernetz verschaffen.
Verteilerkästen mit solchen Spleiß-Stellen sind entlang der gesamten Übertragungsstrecke zu finden. Darin befinden sich Verstärker, welche die Signale auffrischen, wenn sie über größere Distanzen übertragen werden.
Normalerweise werden die Kästen nur für Wartungsarbeiten geöffnet. Hier sind die einzelnen Fasern der Kabel verspleißt und einzelne Leitungen eines Kabelbündels markiert. Hat sich ein Angreifer Zugang zu einem solchen Verteilerkasten verschafft, hat er leichtes Spiel.
Es gibt unterschiedliche Methoden, um Informationen in Glasfasernetzen heimlich abzugreifen. Diese »Optical Tapping Methods« gefährden das allein in Deutschland 340.000 Kilometer große Glasfasernetz.
Angriffsszenario Nummer eins ist der Zugriff über die fest eingebauten Zugangspunkte eines Glasfasernetzes. Provider nutzen diese Y-Bridges eigentlich zur Erkennung und Beseitigung von Störungen. Verschaffen sich Angreifer über die Y-Bridges Zugang zu einer Glasfaserstrecke, können sie die Lichtsignale mitlesen, indem sie ein Empfangsgerät zwischen Sender und Empfänger schalten.
Als zweite Angriffsmöglichkeit kommt das Biegen der Glasfaser in Frage. Ein kleiner Prozentsatz des Lichts wird dabei ausgekoppelt, ohne die Glasfaser zu verletzen. Jetzt müssen Mitlauscher das Signal mithilfe von Empfängern nur noch verstärken, digital umwandeln und die abgehörten Daten aufzeichnen.
Während des gesamten Lauschangriffes bleibt der Netzwerkbetrieb störungsfrei. Nur eine minimale Veränderung des Nutzsignals ist technisch nachweisbar. Diese Abhörtechnik ist sogar kostengünstig, denn Spezialtechnik benötigen die Angreifer nicht. Bei Wartungstechnikern gehören solche Geräte zur Standardausrüstung, um den Zustand und die Funktion von Lichtwellenleitern zu überprüfen.
Eine dritte Möglichkeit erlaubt es, den direkten Kontakt mit der Datenleitung komplett zu vermeiden. Bei jedem Glasfaserkabel treten minimale Lichtmengen seitlich aus dem Kabel aus, und empfindliche Fotodetektoren können diese Rayleigh-Streuung auffangen.
Die Carrier wissen um diesen Streueffekt und gleichen den Verlust auf langen Übertragungsstrecken aus, indem sie die Signale verstärken. In gleicher Weise gehen auch Angreifer vor. Die nunmehr lesbaren Informationen werten sie über Packet-Sniffer aus.
Diese Geräte zeichnen Nutzdaten auf und analysieren sie in Echtzeit. Anhand bekannter IP-Adressen oder Schlüsselbegriffe lassen sich so auch große Datenmengen auf verwertbare Informationen wie Passwörter, Projekt-, Kunden- oder Personendaten durchforsten.