Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Netzwerksicherheit Glossar

Air Gap - Physische Netzwerkisolierung für hochsichere Systeme

Air Gap bezeichnet die physische Trennung eines Computersystems oder Netzwerks vom Internet und anderen unsicheren Netzwerken. Air-gapped Systeme sind ohne physische Medien (USB, optische Datenträger) oder spezielle Hardware nicht erreichbar. Einsatz: Kernanlagen, Militärsysteme, SCADA-Systeme, Zertifizierungsstellen. Bekannte Angriffe: Stuxnet (USB), VAMPIRE, USBee (elektromagnetische Seitenkanäle), Fansmitter (Lüftergeräusche).

Air Gap (Luftspalt) bezeichnet die physische und logische Isolation eines Computersystems oder Netzwerks von unsicheren Netzwerken wie dem Internet oder dem Unternehmens-LAN. Ein air-gapped System hat keine Netzwerkverbindung - weder kabelgebunden noch drahtlos. Daten können nur über physische Medien (kontrolliert, oft verboten) oder spezielle Hardware-Schnittstellen ausgetauscht werden.

Air-Gap-Konzept und Einsatzbereiche

Hochsicherheitsbereiche

  • Kernwaffensysteme und militärische Kommandosysteme
  • Kernanlagen (Urananreicherung, Reaktorsteuerung)
  • Klassifizierte Regierungsnetzwerke (Top Secret / SCI)
  • Wahlsysteme (Abstimmungscomputer in einigen Ländern)

Industrielle Steuerungssysteme (SCADA/ICS)

  • Stromversorgung-Leitstellen
  • Wasseraufbereitungsanlagen
  • Chemische Anlagen (Explosion-/Katastrophenschutz)
  • Gasverteilung

Finanzsektor

  • Cold-Storage für Kryptowährungen (Offline-Wallets)
  • Hochsichere CA-Root-Keys (Certificate Authority)
  • HSM-Schlüsselmaterial für kritische Systeme

Physische Air-Gap-Realität

Echter Air Gap ist operativ extrem aufwändig.

Offene Fragen beim Air-Gap-Betrieb:

  • Wie kommen Software-Updates rein? (USB-Risiko!)
  • Wie kommen Logs/Monitoring-Daten raus?
  • Wie erfolgt Datenaustausch mit der Außenwelt?

Daher werden Air-Gap-Lösungen oft kompromittiert:

  • USB: kontrolliert, aber Risiko (Stuxnet!)
  • Einweg-Datendioden: Daten raus, nichts rein (Waterfall Security)
  • USB-Whitelisting: nur bekannte, verifizierte USB-Geräte
  • Manuelle Datenübertragung: Papier, gedruckte Berichte

Stuxnet: Der erste bekannte Air-Gap-Angriff

Ziel: Iranisches Atomprogramm (Natanz-Urananreicherungsanlage) Air-Gap: Steuerungscomputer vollständig vom Internet getrennt

Angriffskette:

  1. Infektion: Stuxnet-verseuchter USB-Stick in Zulieferer-Netz
  2. Autorun auf Windows (CVE-2010-2568, LNK-Lücke)
  3. Spreitung: Stuxnet repliziert auf alle USB-Sticks im Netzwerk
  4. 3 Monate später: infizierter USB-Stick kommt ins Natanz-Netz
  5. Stuxnet erkennt Siemens S7-315 Controller + spezifische Frequenzumrichter
  6. Payload: Zentrifugen zu schnell/langsam drehen → mechanische Zerstörung
  7. Tarnung: SCADA-Software zeigt normale Werte während Angriff läuft

Technische Brillanz:

  • 4 Zero-Day-Exploits gleichzeitig (beispiellos!)
  • Gestohlene Code-Signing-Zertifikate (Realtek, JMicron)
  • PLC-Rootkit (nie zuvor gesehen!)
  • Jahrelange Sabotage ohne Entdeckung

Lehren:

  • Air Gap ≠ Sicherheit wenn Wechselmedien erlaubt sind
  • Supply-Chain-Angriff: nicht direkt das Ziel infizieren, sondern Zulieferer
  • Insider-Bedrohung: Person bringt USB unabsichtlich mit

Weitere Air-Gap-Angriffsvektoren

Akustische Kanäle

Fansmitter (2016, BGU):

  • Malware auf air-gapped PC kontrolliert CPU-Last → Lüfterdrehzahl
  • Lüftergeräusche variieren → Daten kodiert in Frequenz
  • Smartphone in 8m Entfernung: Mikrofon empfängt → dekodiert Daten
  • Transfer-Rate: ~900 bit/min (sehr langsam, für Key-Exfiltration ausreichend)

DiskFiltration (2017):

  • Festplatten-Leseköpfe positionieren → Vibrationsgeräusche
  • HDD-Geräusche als Datenkanal (SSD: keine Geräusche!)

Elektromagnetische Kanäle

USBee (2016):

  • USB-Kabel als Antenne: Software sendet elektromagnetische Strahlung
  • Software-Defined Radio (SDR) in 10m Entfernung empfängt
  • Transfer-Rate: ~80 bit/s

TEMPEST / Van Eck Phreaking:

  • CRT/LCD-Monitore strahlen elektromagnetisch ab
  • Entfernte Rekonstruktion des Bildschirminhalts
  • NSA TEMPEST-Standards schützen dagegen (abgeschirmte Kabel, Räume)

Optische Kanäle

LED-it-GO:

  • HDD-LED blinkt mit Daten (wenn Malware Festplatten-Zugriffe steuert)
  • Kamera aus 100m Entfernung: LED-Blinkmuster → Daten
  • Gegen alle Laptops mit sichtbarer LED wirksam

aIR-Jumper:

  • Infrarot-LEDs (oft in Überwachungskameras verbaut)
  • Kamera mit IR-LED = Sender für Daten (IR nicht sichtbar!)

Wärmeangriffe

BitWhisper (2015):

  • Zwei Rechner ohne Netzwerk, aber nahe beieinander
  • CPU-Last erzeugt Wärme → Thermosensor des Nachbarsystems
  • Sehr langsam (~8 bit/Stunde)

Konsequenzen für Air-Gap-Design

  • Kein USB: USB-Ports physisch blockieren oder deaktivieren
  • Kein Smartphone: elektronikfreie Zonen rund um Air-Gap-Systeme
  • Faraday-Käfig: elektromagnetische Abschirmung des Raums
  • Keine optisch sichtbaren LEDs (oder abdecken)
  • Keine Kabel die über Air-Gap-Grenze führen

Praktische Air-Gap-Implementierung

Echte Anforderungen

  • Physische Trennung: kein Ethernet-Kabel, kein WLAN-Adapter
  • USB-Deaktivierung: BIOS/UEFI-Ebene, Epoxy in USB-Ports
  • Optische Laufwerke: nur read-only (CD-ROM), oder deaktiviert
  • Bluetooth/WiFi-Chips: physisch entfernt oder deaktiviert
  • Tastatur/Maus: PS/2 statt USB (oder dedizierte geprüfte Hardware)

Daten einschleusen (Daten AUF das System)

  • Datendiode (nur Richtung): ermöglicht einseitigen Datenfluss
  • Verifizierter USB-Prozess: Hash-Verifizierung, Anti-Virus, Freigabe
  • Papier → Handabschrift: extrem, aber sicher
  • Optische Datendiode: Laser sendet, kein Empfang möglich

Daten ausschleusen (Daten VOM System)

  • Datendiode (umgekehrt): Logs und Monitoring-Daten raus
  • Drucker: Ergebnisse ausdrucken

Datendioden (Waterfall Security, Owl Cyber Defense)

  • Hardware-Lösung: physisch nur eine Richtung möglich (optisch)
  • Daten können VON sicherer zu unsicherer Zone fließen (Logs/Monitoring)
  • Rückkanal: physisch nicht möglich
  • Anwendung: Energieversorgungsunternehmen, Militär

Root CA Air-Gap

Root-CA-Schlüssel NIEMALS mit Internet-Verbindung:

  • Offline-CA-System für Root-Zertifikat-Signierung
  • Öffentliches Zertifikat: ausgegeben und nach vorne kopiert
  • Private Key: verbleibt auf air-gapped System in Safe
  • Zeremonie: formelle CA-Key-Ceremony mit Witnesses

Air-Gap vs. Segmentierung

MerkmalAir GapSegmentierungZero-Trust
Netzwerkkeine VerbindungFirewall/VLANLeast-Privilege
Konnektivitätphysisch getrenntlogisch getrenntper Session
Datentransfermanuell/Diodegefiltertkontrolliert
Betriebsaufwandsehr hochmittelhoch
Schutzmax. (physisch)hoch (logisch)hoch (IAM)
AngriffeUSB, EM, AkustikPivotingCred. Theft
EinsatzKRITIS, MilitärStandard-ITCloud/Remote

Wann was wählen

  • Air Gap: Regulatorische Anforderung, extreme Bedrohungslage
  • Segmentierung: Standard-Unternehmensnetz (IT/OT-Trennung!)
  • Zero-Trust: Cloud-Umgebungen, Remote-Work
  • Hybrid: OT-Netz air-gapped + IT-Netz zero-trust (häufig!)

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Kritische Infrastruktur (KRITIS): Definition, Schutz und NIS2

13 min Lesezeit

OT/ICS Industrial Security: Schutzkonzepte für Industrieanlagen und KRITIS

Physische Sicherheit in der Informationssicherheit: Server, Büro und Zugangskontrolle

Verwandte Begriffe

Mikrosegmentierung Netzwerksegmentierung OT-Security (Operational Technology Security) Supply Chain Attack
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung