Cybergefahren lauern überall – gerade an den Rändern von IT-Systemen, wo vernetzte Geräte und Sensoren angreifbarer sind. IoT-Geräte, die über Mobilfunk miteinander kommunizieren, sind aufgrund ihrer weiten Verbreitung und Vernetzung besonders anfällig: Oft handelt es sich um sensible Daten, die zwischen IoT-Geräten und dem zentralen Server übermittelt werden und deshalb zwingend geschützt werden müssen. Etwa bei Finanzdienstleistungen, bei der Verarbeitung medizinischer Daten – oder bei kritischen Infrastrukturen: Ein Cyberangriff auf die vernetzten Geräte eines Energieversorgers könnte etwa zu einem grossflächigen Stromausfall führen. Mit fatalen Folgen für Wirtschaft und Gesellschaft.
Weil das öffentliche Internet für solche Anwendungen keinen ausreichenden Schutz bietet und darüber hinaus bezüglich Zuverlässigkeit und Kontrolle Mängel aufweist, sind für IoT-Geräte zusätzliche Schutzmassnahmen nötig. Lösungen wie VPN, MPLS oder SD-WAN können hier gute Dienste leisten, doch fehlt es je nach Anwendungszweck oftmals an Flexibilität, Kontrolle oder Skalierbarkeit.
SCION schafft hier Abhilfe: Die Technologie bietet höchsten Schutz – insbesondere vor DDoS-Attacken – und sorgt für Effizienz, Flexibilität und Kontrolle der Datenströme. Für IoT-Systeme mit besonders hohen Anforderungen an Compliance und Belastbarkeit bietet Sunrise Business seit 2024 SCION als neue, effiziente Alternative zu gängigen Vernetzungstechnologien an. Gemeinsam mit dem Partner Anapaya werden IoT-Geräte innerhalb einer Isolation Domain vernetzt, sodass die Pfade von Ende zu Ende kontrolliert werden können. Dabei sind die Verbindungen von aussen unsichtbar und somit nicht angreifbar.
SCION – sichere Datenübertragung auf kontrollierten Pfaden
SCION (Scalability, Control, and Isolation On Next-Generation Networks) ermöglicht sichere, schnelle und transparente Datenübertragungen zwischen Unternehmen oder öffentlichen Organisationen. Der Datentransfer geschieht anbieterunabhängig und auf effizienten, autorisierten Routen. Dabei werden Daten innerhalb einer isolierten Domain ausgetauscht, sodass sie nie ins öffentliche Internet gelangen und somit für Cyberkriminelle unsichtbar bleiben. Übliche Risiken wie etwa BGP-Hijacking oder DDoS-Attacken werden mit SCION somit eliminiert.
Die Technologie wurde an der ETH Zürich von Informatikprofessor Adrian Perrig und seiner Network Security Group erfunden und entwickelt. Daraus ging das ETH-Spin-off Anapaya hervor, das heute SCION für unterschiedliche Anwendungen anbietet – so auch die SCION-Lösungen von Sunrise Business.
Sunrise Business ist SCION-Pionier und Mitglied der SCION Association. Als langjähriger Partner von Anapaya wirkte Sunrise Business gemeinsam mit der Schweizerischen Nationalbank, SIX und weiteren Partnerunternehmen bei der Entwicklung und erfolgreichen Einführung des SCION-basierten Secure Swiss Finance Network (SSFN) mit.
Folgende Beispiele befinden sich bereits in der Realisierung oder werden demnächst projektiert:
Beispiel 1: Smart Meter im Mobilfunknetz
Für die Messung des Energieverbrauchs kommen IoT-vernetzte Smart Meter in Schweizer Haushalten bereits rege zum Einsatz – schliesslich verpflichtet das Stromversorgungsgesetz die Schweizer Netzbetreiber, sämtliche alten Stromzähler bis 2027 durch moderne Smart Meter zu ersetzen. Diese vernetzten Stromzähler übermitteln Messdaten an den Netzbetreiber, die üblicherweise per Mobilfunk direkt mit dessen Managementsystem verbunden werden.
Energiedaten sind sensibel, da sie etwa Informationen darüber enthalten, wer wann wie viel Strom verbraucht oder wie viel die eigene Solaranlage produziert – und somit etwa Hinweise auf Ferienabwesenheiten geben. Zudem kann via Smart Meter die Stromzufuhr aus der Ferne unterbrochen werden.
SCION sorgt dafür, dass die Daten zwischen dem Smart Meter und dem zentralen Server des Netzbetreibers niemals über das öffentliche Internet ausgetauscht werden müssen. Stattdessen kommt mit SCION eine Isolation Domain zum Einsatz, die End-to-End-Sicherheit gewährt: eine durchgängige Kontrolle über den Pfad, die Zugriffsbeschränkungen sowie über das Leistungsmanagement im IoT-System. Mit SCION erreicht der Strommessdienst höchste Ausfallsicherheit, sodass ein unterbrechungsfreier Betrieb gewährleistet werden kann.
Beispiel 2: Einlasskontrolle und Bezahlung bei Grossanlässen
Wenn an den Eingängen eines Konzerts die QR-Code-Scanner ausfallen und zehntausenden Fans der Zutritt verwehrt bleibt, können die Auswirkungen verheerend sein: Die Konzertabsage, chaotische Zustände am Veranstaltungsort und erhebliche finanzielle Verluste sind nur einige der möglichen Folgen. Ähnlich folgenschwer wären auch Störungen bei den Bezahl-Terminals, die an den Essens- und Getränkeständen des Areals eingesetzt werden.
Die Ursache solcher Geräteausfälle kann ein geglückter Hackerangriff sein – oder die Überlastung des Mobilfunknetzes, wie es bei grossen Menschenansammlungen schon mal vorkommen kann.
Deshalb ist für die millisekundenschnelle Kontrolle und Freigabe von E-Tickets und die reibungslose Zahlungsabwicklung an Grossveranstaltungen eine leistungsstarke, sichere und stabile Datenverbindung unerlässlich. Die eingesetzten Ticket-Scanner und Bezahl-Terminals können dafür innerhalb eines IoT-Systems vernetzt und jetzt zusätzlich mit SCION von Sunrise Business abgesichert werden.
Beispiel 3: Medizinische Analysegeräte und Gesundheits-Wearables
Medizinische Analysegeräte und Gesundheits-Wearables, wie Puls- und Blutdruckmesser oder Fallsturztracker, werden zunehmend im Bereich des «Elderly Living» sowie bei chronisch erkrankten Patientinnen und Patienten eingesetzt. Diese Geräte überwachen kontinuierlich Vitaldaten und senden diese in Echtzeit an zentrale Gesundheitssysteme. Wenn diese Übertragung gestört wird oder die Geräte nicht ausreichend geschützt sind, könnten wichtige Gesundheitsinformationen verloren gehen oder manipuliert werden. Zudem sind die Daten hochsensibel, da sie Rückschlüsse auf den Gesundheitszustand der Patientinnen und Patienten zulassen. Und damit ein attraktives Ziel für Cyberkriminelle darstellen.
Ein sicheres IoT-System ist in diesem Umfeld unerlässlich, da bereits kleinste Störungen der Datenübertragung oder Sicherheitslücken in den Kommunikationswegen erhebliche Risiken für die betroffenen Personen bedeuten können. Bei medizinischen Geräten, die Vitalfunktionen überwachen, kann ein Ausfall oder eine Datenmanipulation potenziell lebensgefährlich sein.
SCION bietet Betreibern von «Elderly Living»-Einrichtungen erhebliche Vorteile: Die Gesundheitsdaten werden stets innerhalb einer isolierten Domain übermittelt – und nicht über das öffentliche Internet. Dies macht die Kommunikation zwischen den Geräten und den zentralen Gesundheitssystemen für Cyberangreifer unsichtbar. Zudem bietet SCION durch die Kontrolle über die Datenpfade eine besonders hohe Ausfallsicherheit. Selbst im Falle eines Angriffs oder einer Netzwerkinstabilität können alternative, sichere Pfade genutzt werden, um eine kontinuierliche Gesundheitsüberwachung zu gewährleisten.
Unsichtbar fürs öffentliche Internet – so funktioniert’s
Die dezentrale Architektur von SCION und die Fähigkeit, Netzwerksegmente zu isolieren, erhöhen die Resilienz gegenüber verschiedenen Arten von Cyberangriffen, vor allem DDoS-Attacken. SCION bietet in der Isolation Domain die volle Kontrolle über den Datenverkehr und verhindert dank Security by Design Netzwerkangriffe von vornherein. Dank Multi-Pathing sorgen redundante und parallele Pfade für eine äusserst hohe Verfügbarkeit – selbst bei Netzwerkausfällen.
Im Falle eines DDoS-Angriffs oder einer Netzwerkinstabilität können SCION-Verbindungen schnell zu alternativen Pfaden umschalten, um Ausfallzeiten zu minimieren. In einer herkömmlichen Anordnung können IoT-Geräte zwar per VPN gesichert werden, doch lassen sich die Datenpfade nicht kontrollieren. SCION hingegen sorgt für volle Kontrolle zwischen der SIM-Karte im IoT-Gerät und dem Server der Kundin oder des Kunden.
Die Herausforderung: Für SCION müssen absolut sichere Verbindungen geschaffen werden – und dies, obwohl die Technologie auf existierenden Netzwerken (Internet) basiert. Deshalb ist zwischen Mobilgerät und Server eine VPN-geschützte Route zum SCION GATE im Einsatz, durch das die Daten ins isolierte SCION gelangen. Über einen SCION EDGE Service werden die Daten schliesslich zum Server des Betreibers übermittelt. Denn die Kundensysteme sind ebenfalls über IPVPN mit der Isolation Domain des SCION-Netzwerks verbunden. Der Übergang vom Mobile-Netzwerk zu SCION geschieht also via SCION GATE.
Um die nötigen Verbindungen für das IoT-System zu ermöglichen, benötigt die Verwendung von SCION also zwingend SCION EDGE und SCION GATE.
Fazit
Mit SCION werden IoT-Systeme sicherer, weil sie für Cyberkriminelle nicht sichtbar und somit nicht angreifbar sind. Diese Anwendung von SCION in IoT-Netzwerken ist neu und ebenso denkbar für Anwendungen in der Wasserversorgung, bei E-Commerce- und Finanzdienstleistungen, Behörden (Smart City), zur Immobilienbewirtschaftung (Smart Home) oder bei medizinischen Analysegeräten wie Wearables (eHealth), die über Mobilfunk kommunizieren. Immer dann, wenn innerhalb eines Partner-Ökosystems sensible Daten über vernetzte Geräte ausgetauscht werden müssen, kann SCION für mehr Sicherheit und Kontrolle der Datenpfade sorgen als herkömmliche Lösungen.