Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
ASYMMETRICAL SYSTEM AND NETWORK ARCHITECTURE
Document Type and Number:
WIPO Patent Application WO/2018/127278
Kind Code:
A1
Abstract:
The invention relates to a novel system and network architecture which unburdens the end users as a result of reduced complexity of the infrastructure used by said users. As a result of the omission of processors, operating systems and conventional software on the user side, the use of the IT is simplified and the infiltration of malware into the devices belonging to the end users is prevented. In addition, the new architecture makes it possible to set up secure and more efficient networks even with respect to IoT and Industry 4.0 as well as new business models and supports both the coexistence and the migration of the conventional technology to the new architecture.

Inventors:
SCHWARTZ GERHARD (DE)
Application Number:
PCT/EP2017/050130
Publication Date:
July 12, 2018
Filing Date:
January 04, 2017
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SCHWARTZ GERHARD (DE)
International Classes:
G06F21/71; G06F11/36; H04L12/24; H04L29/06; G06F15/76
Foreign References:
US20160366134A12016-12-15
Other References:
None
Download PDF:
Claims:
Asymmetrische System- und Netzwerkarchitektur für erhöhte Sicherheit und Zuverlässigkeit PATENTANSPRÜCHE

1. Als Bestandteil der Asymmetrischen Netzwerkarchitektur sind manipulationssichere

Endgeräte vorgesehen. Sie sind dadurch gekennzeichnet sind dass sie zwar jeweils den von herkömmlichen PC's, Workstations, Laptops/Notebooks, Tablets, Smartphones, Smart Watches etc. her gewohnten Funktionsumfang bieten, jedoch keinen durch Software gesteuerten Mikroprozessor enthalten. Die Funktionen dieser sicheren Endgeräte werden ausschließlich per Hardware mit Hilfe von dedizierten Halbleiterelementen (z.B. ASI s, Application-Specific Integrated Circuits) realisiert, die entsprechende Firmware zur

Gerätesteuerung sowie die auf den Endgeräten einsetzbaren festen Programme sind in Lesespeichermodulen enthalten deren Inhalt nicht verändert werden kann. Änderungen oder Erweiterungen der Gerätefunktionen oder Anwendungsprogramme erfordern den physischen Austausch der Lesespeicher, dies wird automatisch registriert und am Gerät mit Warnhinweis angezeigt. Die Code- und Dateninhalte sind innerhalb der Geräte strikt getrennt, ein externer Download von auf den sicheren Endgeräten ausführbaren Funktionen oder Programmen ist nicht möglich.

2. Die Asymmetrische Netzwerkarchitektur enthält als Gegenstück zu den sicheren Endgeräten gemäß 1. zentralseitig eine entsprechende Portalsoftware (im folgenden„Portal" genannt) die auf einem Host entsprechend (10) läuft und für den Betrieb dieser hardwaregesteuerten Endgeräte ausgelegt ist. In Kombination ersetzen sie die Funktion herkömmlicher Browser, und stellen die Schnittstelle zu den in den sicheren Endgeräten verfügbaren festen

Programmen dar. Die Portalsoftware stellt die Verbindung zu zentralen Anwendungen (z.B. ERP- und CRM-Systeme, Buchungs- und Reservierungssysteme, Zahlungsverkehrssysteme, Nachrichtenvermittlung etc.) her und bietet geeignete Programmschnittstellen (API's) die es Softwareherstellern ermöglicht deren Produkte zur Nutzung über sichere Endgeräte verfügbar zu machen. Das Portal ermöglicht auch eine ggf. erforderliche Umsetzung von Seiteninhalten, um die Nutzung bestehender Websites über sichere Endgeräte zu ermöglichen. Darüber hinaus unterstützt das Portal mit seinem einheitlichen Protokoll auch den Betrieb sicherer Endpunkte für das„Internet der Dinge", siehe 7.

3. Kennzeichnend für die sicheren Endgeräte gemäß 1. sind eine fest eingebaute

unveränderliche Gerätekennung, zusätzlich Lizenznummer- und Versionskennung der jeweils eingesetzten Firmware und festen Programme für die ggf. auch mehrere

Speicherkarteneinschübe vorhanden sein können, sowie eine sichere Kennzeichnung des jeweils aktuellen Nutzers über ein Token wie z.B. eine Chipkarte oder einen elektronischen Stift. Dieses Token identifiziert den Benutzer, wird darüber hinaus zur Verschlüsselung des Datenverkehrs herangezogen (typischerweise end-to-end encryption, ggf. Nutzung von VPN- Funktionen) und kann zur Personalisierung des Geräte- und Anwendungsverhaltens verwendet werden. Darüber hinaus kann dieses Token auch durch den Benutzer frei verwendbare Datenbereiche beinhalten, z.B. um auf einfache Weise eigene Dokumente zwischen verschiedenen sicheren Endgeräten transferieren zu können. Sofern es

entsprechend konfiguriert ist kann ein sicheres Endgerät auch ohne Token und somit anonym benutzt werden, z.B. für das Abfragen von allgemein zugänglichen Seiteninhalten. Transaktionen erfordern im Regelfall die Identifizierung des Benutzers per Token,

Bezahlvorgänge erfordern darüber hinaus die Nutzung einer entsprechenden Komponente (z.B. Bankkarte mit Chip oder Magnetstreifen) für die ein entsprechender Einschub vorgesehen ist. Bei mobilen sicheren Geräten kann auch eine drahtlose Kommunikation (z.B. NFC) für Bezahlvorgänge genutzt werden.

4. Kennzeichnend für die Asymmetrische Netzwerkarchitektur ist dass die sicheren Endgeräte gemäß 1. über zwei oder mehrere separate Kommunikationskanäle verfügen können, für die ggf. auch unterschiedliche Betriebsarten, Protokolle und Übertragungsmedien eingesetzt werden können. Im besonderen wird neben dem heute üblichen Paketvermittlungsverfahren (TCP/IP) auch der Einsatz von temporär oder permanent geschalteten Verbindungen unterstützt (Punkt-zu-Punkt oder auch Mehrpunktverbindungen). Die Endgeräte können die separaten Kanäle auch gleichzeitig nutzen, z.B TCP/IP für die normale Datenübertragung und eine geschaltete Verbindung für Steuer- und Meldesignale. Aus Redundanzgründen können pro Gerät mehrere gleichartige oder auch unterschiedliche Kanäle für einen jeweiligen Nutzungszweck vorgesehen werden, die Architektur sieht die Umschaltung im laufenden Betrieb vor (beispielsweise bei Ausfall eines Hosts die Umschaltung auf einen anderen Host, oder Nutzung einer Mobilfunkverbindung zum Ersatz für einen ausgefallenen

leitungsgebundenen Kanal), ebenso eine Umschaltung der Betriebsart zwischen

Paketvermittlung und geschalteten Verbindungen - dies ermöglicht sanfte Migrationen gemäß (17), (18) und (19).

5. Kennzeichnend für die sicheren Endgeräte gemäß 1. sind die mögliche gleichzeitige

Bedienung mehrerer Kommunikationsströme zu unterschiedlichen Hosts, beispielsweise um unterschiedliche Anwendungen in separaten Bildschirmfenstern anzuzeigen und

Dateninhalte zwischen diesen lokal transferieren zu können („copy and paste"). Ein wichtiges Merkmal für die Asymmetrische Netzwerkarchitektur ist jedoch, dass im Gegensatz zur herkömmlichen Architektur die Anzahl der nutzbaren Kanäle und die Art der nutzbaren Anwendungen und Funktionen durch entsprechende Personalisierung leicht, zuverlässig und sehr granulär festgelegt werden kann. Die Rollen und Rechte der Endbenutzer sind in einem Unternehmensumfeld durch die zentrale Personalisierung der Token genau festgelegt, im hostseitigen Portal kann durch geeignete Maßnahmen wie z.B. Whitelisting die

bestimmungsgemäße Nutzung der Endgeräte leicht sichergestellt werden. Für private Endbenutzer - deren Portal in der Regel bei einem öffentlichen Kommunikationsanbieter liegt - bieten sich dem Anbieter zahlreiche Optionen zur Darstellung unterschiedlicher Leistungs- und Tarifmodelle, die durch Einsatz der personalisierten Token auch an anderen sicheren Endgeräten nutzbar sind. So könnte ein privater Nutzungsplan beispielsweise vorsehen dass der Endbenutzer nur eine geschaltete Verbindung zum Portal seines Anbieters hat und von diesem im Bedarfsfall direkt an eines einer klar definierte Untermenge von Portalen weitergeschaltet wird (etwa an das entsprechende Portal seiner Bank) wodurch höchstmögliche Sicherheit gegen Ausspähung und Manipulation erreicht wird.

6. Kennzeichnend für die sicheren Endgeräte gemäß 1. und die sicheren Endpunkte gemäß 7. ist auch dass diese trotz fehlendem Mikroprozessor und ohne traditionelles Betriebssystem in der Lage sind über hardwareresidente Funktionen verschiedene Peripheriegeräte wie etwa Drucker, Scanner, externe Datenspeicher, Audio/Video-Geräte, Geräte zur

Hausautomatisierung und dergleichen über standardisierte leitungsgebundene Schnittstellen wie z.B. USB oder drahtlose Schnittstellen wie z.B. Bluetooth zu bedienen.

7. Kennzeichnend für die Asymmetrische Netzwerkarchitektur ist dass sowohl die sicheren Endgeräte gemäß 1. als auch sichere Endpunkte für das„Internet der Dinge" zum Anschluß der meist unbedienter Gerätschaften, Signalgeber und dergleichen mit den gleichen

Protokollen aus dem hostseitigen Portal gemäß 2. bedient werden. Die genannten Endgeräte und Endpunkte werden in gleicher Weise„personalisiert", sie nutzen jeweils die

unveränderliche Gerätekennung, zusätzlich Lizenznummer- und Versionskennung der jeweils eingesetzten Firmware und festen Programme, sowie eine sichere Kennzeichnung des jeweils aktuellen Nutzung über ein physisches Token wie z.B. eine Chipkarte oder einen

elektronischen Stift, und nutzen gleichartige Verschlüsselungsverfahren mit jeweils unterschiedlichen Schlüsseln. Sichere Endpunkte können auch Konzentratorfunktionen übernehmen, z.B. zum Anschluß vieler Sensoren oder Steuerelemente an einen Endpunkt, oder auch zur Bedienung mehrerer oder vieler sicherer Endgeräte über eine geringere Anzahl gemeinsamer Kommunikationsanschlüsse. Zum Anschluss an sichere Endpunkte können bereits bestehende Schnittstellen (z.B. Industriebussysteme) oder auch neu definierte Schnittstellensysteme genutzt werden. Zur Erhöhung der Betriebssicherheit können ggf. Redundanzverfahren eingesetzt werden, z.B. durch Nutzung einer alternativen Verbindung zum Netzwerk, wobei auch hier für sichere Endgeräte und Endpunkte die gleichen Methoden genutzt werden können.

8. Kennzeichnend für die Asymmetrische Netzwerkarchitektur ist die Koexistenz der

herkömmlichen Paketvermittlung unter Nutzung der Internetprotokolle und einer sicheren und sehr effizienten Leitungs- bzw. Kanalvermittlung. Gegebenenfalls werden mittels entsprechend ausgelegter hybrider Netzwerkelemente beide Kommunikationsformen gemischt an die Endgeräte bzw. Endpunkte herangeführt. Diese können darüber hinaus als sichere Gateways zu Offline-Hosts genutzt werden um Datenaustausch zu ermöglichen ohne dass auf letztere direkt aus dem Netz zugegriffen werden kann.

9. Kennzeichnend für die Asymmetrische Netzwerkarchitektur ist dass eine dedizierte

Freischaltung von sicheren Endgeräten gemäß 1. bzw sicheren Endpunkten gemäß 7. durch ein Portal gemäß 2. vorgegeben werden kann um eine Kommunikation über das Netzwerk zu ermöglichen. Dies beinhaltet eine Authentisierung und Registrierung über die in 3.

beschriebene Gerätekennung, wobei optional auch eine Einschränkung auf eine oder mehrere an dem betreffenden Gerät nutzbare Benutzerkennungen (Token) erfolgen kann. Für den Betrieb via TCP/IP werden für die genannten Geräte bzw. deren nachgeordnete Funktionseinheiten in der Regel feste Netzwerkadressen vergeben, deren Zulässigkeit durch Überprüfung im laufenden Betrieb durch die benachbarten Netzwerkelemente gemäß (19) erfolgt. Kommunikationspakete von nicht registrierten Geräten werden dort nicht weitergeleitet. Darüber hinaus ist optional die Nutzung einer auf den Standort bezogenen Kontrollfunktion („Geo Fencing" z.B. mittels GPS-Empfänger im Endgerät, Endpunkt oder nachgeordneten loT-Gerät) möglich um eine mißbräuchliche Nutzung entwendeter Geräte zu verhindern. Für die Inbetriebnahme von sicheren Endgeräten oder Endpunkten kann als zusätzlicher Schutzfaktor der Einsatz eines bereits registrierten mobilen Endgeräts gemäß 1. (ggf. inklusive entsprechendem„Geo Fencing") als Voraussetzung für einen erfolgreichen Installationsvorgang definiert werden.

10. Kennzeichnend für die Asymmetrische Netzwerkarchitektur in der Betriebsart Leitungs- oder Kanalvermittlung ist, dass die temporäre oder permanente Schaltung von Verbindungen zentral vom Netzwerk oder einem Portal gemäß 2. unter Mitwirkung der hierfür relevanten Netzwerkelemente gesteuert wird. Optional ist auch der Einsatz von Abrufverfahren (polling) möglich, hierdurch kann eine Flußkontrolle erfolgen um eine Überlastung des Netzwerkes bzw. des Hosts zu verhindern. Durch die dedizierte Schaltung von Verbindungen erhöht sich deren Qualität (z.B. schnelle und stabile Laufzeiten, erhöhte Sicherheit gegenüber mißbräuchlicher Ausspähung oder Umleitung (sogenannte„man-in-the-middle" - Attacken)).

11. Kennzeichnend für die Asymmetrische Netzwerkarchitektur in der Betriebsart Leitungs- oder Kanalverbindung ist eine integrierte Verwaltungs-, Überwachungs- und Wiederherstellungsfunktion welche bei Störungen oder Überlastungen eine weitgehend automatisierte

Korrektur (in der Regel durch Schalten von Ersatz- bzw. Reserveverbindungen) vornimmt und die Netzwerkleitstelle informiert. Hierfür werden ggf. auch separate Steuer- und

Meldekanäle zwischen den betreffenden Netzwerkelementen, Endpunkten/geräten und Hosts genutzt. Diese Funktion kann auch zur Optimierung des Betriebs in der Betriebsart Paketvermittlung eingesetzt werden.

12. Kennzeichnend für die Asymmetrische Netzwerkarchitektur ist die Auslegung für

Hybridbetrieb (etwa im internationalen Bereich zur lokalen Bedienung von Teilnehmern im traditionellen Paketvermittlungsbetrieb, mit Weiterleitung des Datenverkehrs via Leitungsoder Kanalvermittlung in Länder mit strengeren Datenschutzbestimmungen) und für Interoperabilität mit öffentlichen und privaten Cloudsystemen mit Hilfe entsprechender Netzwerkelemente.

13. Kennzeichnend für die Hosts innerhalb der asymmetrischen Netzwerkarchitektur sind die im hostseitigen Portal wahrgenommen Steuerungsfunktionen für die sicheren Endgeräte im Verbund mit deren hardwarebasierenden Gerätefunktionen, wobei neben dem reinen Browserbetrieb zur Nutzung von Websites auch die lokal vorhandenen festen Programme (z.B. zur Anzeige und Bearbeitung von Dokumenten) und hostseitig gehaltene

Zusatzprogramme (funktional äquivalent zu sogenannten„Apps" welche auf sicheren Endgeräten nicht eingesetzt werden können) unterstützt werden. Darüber hinaus stellt das Portal die Verbindung zu nachgelagerten zentralen bzw. Cloud-basierenden Anwendungen her und unterstützt Sicherheitsfunktionen wie Authentisierung des sicheren Endgerätes und des jeweiligen Benutzers sowie die Verschlüsselung des Datenverkehrs oder auch einzelner Dateninhalte, sowie im Verbund mit dem Netzwerk entsprechende Routing- und

Umschaltfunktionen welche beispielsweise durch Ausfälle oder Überlastung erforderlich werden.

14. Kennzeichnend für die asymmetrische Netzwerkarchitektur ist auch, dass optional durch Nutzung spezieller Prozessorhardware und sicherer Betriebssysteme sowie den Verzicht auf Virtualisierung („bare metal" - Betrieb) ein sehr hohes Maß an IT-Sicherheit für die Hosts und Netzknoten erreicht werden kann, da auf diesem Weg die Anfälligkeit gegen externe Schadsoftwareangriffe minimiert wird.

15. Kennzeichnend für das Betriebskonzept der asymmetrischen Netzwerkarchitektur ist die Bereitstellung von Programmierschnittstellen (API's) und zentral bereitgestellte

Entwicklungs- und Testmöglichkeiten für Softwarehersteller und Anwender, wodurch einerseits die kommerziellen Einstiegshürden reduziert werden und andererseits wie in 14. dargelegt der Schutz der kritischen Netzknoten und Hosts optimiert wird, da die hierfür einzusetzende Infrastruktur dann auf einen überschaubaren Kreis von zumeist großen und bekannten Betreibern beschränkt werden kann.

Gerhard Schwartz Version 1.0

Description:
Asymmetrische System- und Netzwerkarchitektur

BESCHREIBUNG

Stand der Technik

Heutige Netzwerke für IT-Kommunikation basieren in aller Regel auf der Vermittlung von Nachrichtenpaketen entsprechend dem TCP/IP - Standard und erfordern somit symmetrische Protokollstacks zwischen den beteiligten Systemen.

Dies führt zu einer funktionalen Symmetrie die meist in Software abgebildet wird, relativ hohe Komplexität mit sich bringt und viele Fehlermöglichkeiten und Schwachstellen in Bezug auf IT-Sicherheit gerade auch auf der Endgeräteseite zur Folge hat. Häufige Änderungen der eingesetzten Software erschweren die Gesamtsituation.

Die zahlreichen Endbenutzer sind oft nicht in der Lage, die Komplexität zu überblicken und angemessen auf auftretende Fehler zu reagieren - es entsteht hoher Bedarf an sachkundiger Unterstützung welche häufig nicht in ausreichendem Maß bereitgestellt werden kann, was wiederum die Nutzung der Anwendungen erheblich beeinträchtigt. Noch schädlicher als zeitweise auftretende Ausfälle und daraus resultierende Kosten sind schwere IT-Sicherheitsvorfälle die zu sehr hohen Schadenssummen und erheblichem Reputationsverlust führen können. Im manchen Fällen (z.B. Knowhow - Abfluss durch Industriespionage oder Sabotage von Produktionsprozessen) kann die Existenz des betreffenden Unternehmens bedroht sein, besonders gravierendere Auswirkungen sind bei kritischer Infrastruktur (z.B. für die Energieversorgung) zu befürchten.

Auch gut geschulte Endbenutzer können Sicherheitsbedrohungen nur bis zu einem gewissen Grad erkennen, gegen gezielte Angriffe z.B. durch versierte Cyberkriminelle oder Geheimdienstexperten sind sie häufig machtlos. Dies gilt besonders dann wenn die üblichen Warnungen vor dem Öffnen von angehängten Dokumenten oder dem Anklicken von Links nicht greifen, weil die vorgegebenen Arbeitsprozesse genau solche Aktionen erfordern.

Die Themen„Industrie 4.0" und„Internet der Dinge" führen zu weiteren Problemen in Bezug auf die IT-Sicherheit, besonders durch die hohe Anzahl der anzubindenden„Dinge", deren aus Kostengründen meist sehr beschränkten internen Verarbeitungsmöglichkeiten welche der Implementierung stärkerer Sicherheitsvorkehrungen entgegenstehen und die weitgehend fehlende Kontrolle der Aktivitäten solcher„Dinge" durch Menschen.

Die mit der Entwicklung des Internet historisch gewachsenen Vorgangsweisen waren auf die Kommunikation zwischen einer begrenzten Anzahl von gutwilligen, einander vertrauenden und miteinander kooperierenden Benutzergruppen ausgelegt. Es fehlen geeignete Verfahren, um auch in einer globalen, äußerst heterogenen und de facto nicht vertrauenswürdigen Umgebung die vielfältigen und sehr komplexen Vorgänge in der Netzwerkkommunikation zuverlässig zu regeln und sicher zu gestalten.

Zentrale IT-Infrastruktur (traditioneller Art oder auch Cloud-basierend) wird heute sehr häufig mit aus der Endgerätetechnik abgeleiteter Standardtechnologie realisiert die zwar zunächst nur relativ geringe Investitionen erfordert, jedoch vom Betrieb und besonders von der IT- Sicherheit her mit erheblichen Risiken behaftet und bei Betrachtung der Gesamtkosten sehr aufwändig ist. Offenlegung der Erfindung

Gegenstand der Offenlegung ist eine asymmetrische Architektur zum Aufbau und Betrieb von elektronischen Kommunikationsnetzwerken welche höhere Betriebssicherheit sowie einen besseren Schutz gegen Ausspähung und Manipulation bietet. Darüber hinaus wird durch den Einsatz dieser Architektur die Komplexität besonders im Endgerätebereich stark reduziert, somit sind dort auch höhere Zuverlässigkeit, höhere Benutzerakzeptanz und geringere Betriebskosten zu erwarten. Für die Endbenutzer entfällt weitestgehend die Verantwortung zum Schutz des Endgeräts vor Schadsoftware - das Anklicken von verseuchten Links oder Datenanhängen hat keine dauerhaften negativen Auswirkungen zur Folge.

Ein wesentliches Kennzeichen der System- und Netzwerkarchitektur ist die funktionale Asymmetrie durch die weitgehende Verlagerung der variablen Funktionalitäten innerhalb der Kommunikationsverbindungen an geschützte zentrale Knoten („Hosts") die aus Gründen der Ausfallsicherheit repliziert werden können, gegebenenfalls auch mehrfach. Die Endgeräte bzw. Endpunkte des Netzwerkes sind hingegen in dieser Architektur funktional eingeschränkt und enthalten nur so viel Funktionalität wie zu deren Betrieb als Browserterminal oder Konzentrator/Umsetzer im Zusammenwirken mit entsprechenden zentralen Anwendungen erforderlich ist. Hinzu kommen im Fall der personenbedienten Endgeräte einfache standardisierte lokale Anwendungsprogramme wie z.B. solche für Textverarbeitung, Tabellenkalkulation, Bildbearbeitung, Präsentationserstellung, Adress- und Telefonbuch, zentrale Paßwortverwaltung, eMail, Uhr und Kalender, Chat / Social Networking, Notruffunktion, Audio/Video - Funktionen, Navigation (für mobile Geräte) und dergleichen.

Die Endpunkte des Netzwerkes dienen in der Regel zum Anschluß von Endgeräten, entweder für personenbediente Endgeräte entsprechend (32) ähnlich der heute üblichen Router für Paketvermittlung oder als Anschlussgeräte gemäß (34) für den unbedienten Betrieb von technischen Einrichtungen im„Internet der Dinge". Mischformen und

Zusatzfunktionen sind dabei möglich, z.B. Kombinationsgeräte mit WLAN-Funktion, DECT- Telefonie und ZigBee-Schnittstelle für Geräte der Hausautomatisierung.

Die Funktionen und Anwendungen der Endgeräte bzw. Endpunkte werden fest einprogrammiert und können nicht von entfernten Lokationen aus durch das

Herunterladen von Software (z.B. Patches, Apps oder Plug-ins) oder Firmware-Updates verändert werden. Durch diese Architektur sind die betreffenden Endgeräte bzw.

Endpunkte somit auch vor Angriffen durch Schadsoftware geschützt. Dateninhalte können natürlich frei übertragen werden.

Sollen Änderungen oder funktionale Erweiterungen im Endgerätebereich vorgenommen werden, so erfordert dies das lokale Austauschen von Lesespeicherkomponenten.

Zum besseren Schutz vor Manipulationen sind angepasst an die jeweiligen Umstände entsprechende Maßnahmen möglich und vorgesehen, um einen unbefugten Austausch der Lesespeicherkomponenten zu verhindern bzw. eine gegebenenfalls erfolgte Manipulation offensichtlich zu machen (z.B. durch Versiegelung).

Darüber hinaus werden die durchgeführten Funktionsänderungen automatisch protokolliert und auch am Endgerät angezeigt.

Die Netzwerkarchitektur sieht optional auch den Einsatz mehrerer, ggf. auch

unterschiedlicher Kommunikationspfade (drahtgebunden, drahtlos oder auch per Lichtwellenleiter) zwischen den Endpunkten einerseits und dem Netzwerk bzw. dem Host andererseits vor, um mittels der so erzielten Redundanz auch bei Ausfall eines

Kommunikationspfades den störungsfreien Weiterbetrieb der Endpunkte bzw. Endgeräte zu ermöglichen, sowie ggf. unterschiedliche Betriebscharakteristiken zu unterstützen. Darüber hinaus erlaubt die beschriebene Mehrfachauslegung auch eine leichte Migration beim Übergang auf neue Betriebsarten bzw. Protokolle sowie bei Bedarf auch die einfache Zurückschaltung in den vorherigen Zustand („Fallback-Konzept").

Die Architektur sieht neben der marktbeherrschenden TCP/IP - Kommunikation optional oder auch alternativ eine Punkt-zu-Punkt oder Mehrpunktverbindung zwischen den Endgeräten und bestimmten Netzwerkelementen bzw. dem Host vor, beispielsweise um parallel zum Nutzdatenverkehr einen dedizierten Steuer- und Meldekanal einzurichten oder auch um damit besonders gesicherte Verbindungen zu bedienen.

Mittels spezieller Netzwerkelemente ist so auch eine Zuordnung von Übertragungskanälen innerhalb der verfügbaren Verbindungswege (Multiplexing) und das Schalten temporärer oder permanenter dedizierter Verbindungen möglich. Dies kann aus Sicht der Anwendung erhebliche Vorteile (z.B. kürzere Laufzeiten oder höhere Datensicherheit) gegenüber der beim TCP/IP -Protokoll genutzten Vermittlung von Datenpaketen ergeben. Dadurch kann auch die Problematik der„Distributed Denial of Service (DDoS)" - Attacken auf das „Domain Name System (DNS)" umgangen werden.

Ebenso kann in den genannten Netzwerkelementen - sofern von der Konfiguration her vorgesehen - die Umschaltung einer Endgeräteverbindung auf einen anderen Host erfolgen.

Endgeräte können abhängig von ihrer Auslegung ggf. auch mehrere Hostverbindungen gleichzeitig nutzen und die Daten in unterschiedlichen Bereichen (z.B. Bildschirmfenstern) darstellen bzw. zwischen ihnen transferieren („copy and paste").

Die Hostfunktion wird vorzugsweise auf einem eigenen Rechner in einer besonders gesicherten Umgebung realisiert, von dort erfolgt dann auch der Anschluss von übergeordneten IT-Systemen wie etwa ERP- oder zentralen Buchhaltungssystemen, Nachrichtenvermittlungs- oder Reservierungssystemen und dergleichen bzw. die

Weiterleitung an Cloud-basierende Dienste.

Daneben ist an den Endgeräten bzw. Endpunkten optional auch der direkte Anschluss von lokalen Hosts vorgesehen, welche zusätzliche Funktionalität vor Ort ermöglichen ohne dass diese Rechner direkt an das Internet angeschlossen wären (Offline-Betrieb). Die zwischengeschalteten Endgeräte bzw. Endpunkte ermöglichen so einen sicheren

Datenaustausch, isolieren jedoch vor direkten externen Zugriffen.

Die Endgeräte bzw. Endpunkte sind durch Einsatz geeigneter Mittel (z.B. Chipkarten) personalisierbar, hierdurch können beispielsweise Benutzerkennungen, Passwörter, System- und anwendungsbezogene Verschlüsselungsparameter, anwendungsbezogene funktionale Statusinformationen/Parameter und dergleichen sowie auch Anwenderdaten sicher gespeichert und im Bedarfsfall auch auf andere Endgeräte übertragen werden. Verschlüsselungsverfahren (Ende-zu-Ende oder auch für bestimmte Teilstrecken) sind vorgesehen und werden durch die Architektur unterstützt.

Die Endgeräte bzw. Endpunkte werden durch fest eingebaute und applikationsspezifisch vorprogrammierte integrierte Schaltungen (ASIC's, für Application Specific Integrated Circuit) und die bereits beschriebenen lokal austauschbaren Lesespeicherkomponenten (ROM's, für Read Only Memory) gesteuert. Die Endgeräte bzw. Endpunkte und auch die dort eingesetzten ROM's enthalten jeweils individuelle feste Kennungen um eine sichere Identifikation der eingesetzten Endgeräte bzw. Endpunkte und der aktuell eingesetzten Funktionalität zu ermöglichen.

Hinzu kommt die Personalisierung bzw. Authentisierung/Autorisierung per Chipkarte oder ähnliche Mittel oder über biometrische Verfahren, welche für bestimmte Anwendungen vorgeschrieben werden kann.

Für andere Anwendungen (etwa Nutzung von Suchmaschinen, reine Informationsdienste etc.) kann - sofern in der jeweiligen Konfiguration zugelassen - auch ein nicht

personalisierter Betrieb unterstützt werden.

Die Endgeräte können mobilfunk- und multimediafähig sein, Messagingsysteme unterstützen und wie in (11) beschrieben fest programmierte lokale Anwenderfunktionen enthalten, welche ggf. auch im Online-Betrieb nutzbar sind.

Die physischen Formate der Endgeräte sind entsprechend dem jeweils angestrebten Nutzungsprofil variabel, neben traditionellen stationären Bildschirmgeräten sind weitere Formfaktoren wie etwa Laptops, Tablets und Handheld-Geräte ebenso wie am Körper getragene Geräte (z.B.„smart watches") realisierbar. Die eingesetzten Protokolle und Datenformate sind über die jeweiligen Formfaktoren hinweg kompatibel und werden durch das hostseitige Softwareportal unterstützt.

Die Endgeräte können ihrerseits mit Peripheriegeräten leitungsgebunden oder drahtlos verbunden werden, z.B. mit Druckern, Scannern, externen Datenspeichern oder

Multimediageräten.

Die Abbildung 1 zeigt als typisches Beispiel eines manipulationssicheren Endgerätes gemäß Patentanspruch 1. ein typisches transportables Benutzerendgerät („Laptop") welches keinen herkömmlichen Mikroprozessor und kein Betriebssystem wie etwa Windows oder Linux enthält. Die Funktionen solcher Geräte werden per Hardware durch

applikationsspezifische Schaltkreise (ASIC's) und unveränderliche Festprogramme in Lesespeichern („Read Only Memory", ROM's) gesteuert.

Eine Veränderung der Gerätefunktionen („Update") ist nur durch lokalen Eingriff möglich und erfordert ggf. das Brechen eines Siegels. Der Einsatz eines neuen ROM kann mit einer Signaturprüfung verbunden sein, wird innerhalb des Geräts erkannt und angezeigt und kann ggf. an einen oder mehrere Hosts und/oder Netzwerkelemente signalisiert werden. Typischerweise enthält ein sicheres Endgerät neben einem Geräte-ROM welcher u.a. auch die Kommunikation mit dem Hostportal und den Netzwerkelementen steuert noch weitere Festprogramme die vom Gerätehersteller, der Anwenderorganisation oder auch von hierfür lizensierten Drittanbietern bereitgestellt werden können.

Die Formfaktoren und technischen Schnittstellen der Geräte-ROM's und der Anwendungs- ROM's können unterschiedlich und auch abweichend von den heute gebräuchlichen Speicherkarten gestaltet sein, um Irrtümern bzw. lokalen Angriffen vorzubeugen.

Der Formfaktor des Tokens (hier am Beispiel einer persönlichen Chipkarte dargestellt) sollte ebenfalls unterschiedlich zum üblichen Bankkartenformat ausgestaltet sein. Hier könnte eventuell auch ein z.B. stift- oder schlüsseiförmiges Token eingesetzt werden. Das Token kann auch benutzereigene Daten speichern um z.B. eigene Daten und

Dokumente auf unterschiedliche sichere Geräte übertragen und dort bearbeiten zu können ohne hierzu einen potentiell unsicheren Cloudservice nutzen zu müssen.

Darüber hinaus kann das Token ggf. auch Signaturen, Passwörter und sonstige Parameter für Authentisierung und Verschlüsselung der Daten enthalten. Mittels des sicheren Endgerätes können ggf. auch Bezahlfunktionen durchgeführt werden. Die Abbildung zeigt hierzu beispielhaft einen Bankkarteneinschub in welchen Debit- oder Kreditkarten (typischerweise mit Chip) eingeführt werden können.

Die Kommunikation des sicheren Endgerätes erfolgt typischerweise über LAN oder WLAN, in Abb. 1 sind hierfür jeweils zwei Anschlüsse dargestellt die ggf. als redundante

Verbindungen genutzt werden können, zum Anschluss von Peripheriegeräten sind zusätzlich zwei USB-Anschlüsse dargestellt. Dies stellt nur ein Beispiel dar, es können auch mehr und ggf. zusätzliche andersartige Anschlüsse (z.B. für Bluetooth) vorgesehen werden. Die Nutzung eines Trusted Platform Module (TPM) innerhalb der sicheren Endgeräte wäre zwar möglich, bietet jedoch in diesem Umfeld kaum Mehrwert und wird teilweise kritisch gesehen. Ähnliches gilt für die Intel Active Management Technology, auch hier bestehen ernste Sicherheitsbedenken da diese über die integrierte Management Engine eine potentielle externe Angriffsmöglichkeit („Backdoor") darstellt.

Die sicheren Endgeräte sind durch ihre Struktur und Funktionsweise weit weniger komplex als heutige PC's und funktionieren dadurch zuverlässiger, defekte oder abhanden gekommene Geräte können durch die Netzwerkelemente und Hosts leicht deaktiviert werden.

Das Systemmanagement ist deutlich einfacher und überdies integraler Bestandteil des Protokolls zwischen dem Portal, den Netzknoten und den sicheren Endgeräten, eine separate Gerätemanagementfunktion wird nicht benötigt.

Personenbedienten Endgeräten funktional gleichgestellt sind innerhalb dieser Architektur die Anschlussgeräte für Maschinen, Sensoren und sonstige Geräte zur Kommunikation im industriellen Umfeld sowie im„Internet der Dinge" (Machine-to-Machine, M2M).

Diese Anschlussgeräte können entsprechend der jeweiligen Aufgabenstellung

unterschiedlich ausgelegt sein, z.B. einfache Adapter etwa zum Anschluss einer meteorologischen Messstation oder größere Einheiten um innerhalb einer Maschine oder technischen Anlage eine hohe Anzahl von Sensoren, Steuerungen und Aktuatoren anzuschließen, sowie spezielle Auslegungen etwa für Zwecke der Hausautomatisierung oder auch für den mobilen Betrieb in Fahrzeugen.

Derartige Anschlussgeräte realisieren auch Zusatzfunktionen die häufig in den an sie angeschlossenen und oft recht einfachen Gerätschaften (z.B. Sensoren, Steuergeräte, Schalter, Leuchten etc.) nicht wirtschaftlich sinnvoll dargestellt werden können, etwa Protokollanpassungen oder Verschlüsselung und sonstige Sicherheitsfunktionen, und können ebenfalls durch Chipkarten oder ähnliche Mittel„personalisiert" bzw. konfiguriert werden.

Für die an diese Anschlussgeräte angeschlossenen„Dinge" entfällt damit die

Notwendigkeit über ein eigenes Betriebssystem wie etwa Linux zu verfügen, über das normale Internetprotokoll TCP/IP zu kommunizieren und damit letztlich auch via

Schadsoftware angreifbar zu sein.

Dies reduziert auch die Gefahr von Angriffen über„Botnets" (große Gruppen von per Schadsoftware gekaperten Geräten, die aus dem Internet der Dinge heraus Attacken gegen andere Netzwerkbenutzer durchführen).

In Abbildung 2 ist als Beispiel für die Anwendungsbereiche loT und Industrie 4.0 ein sicherer Endpunkt für die Kommunikation Maschine-zu-Maschine (M2M) im industriellen Umfeld dargestellt.

Für kritische Anwendungen werden solche Endpunkte in der Regel redundant auszulegen sein, daher sind hier im kleinen Bild auch zwei 19" - Einschübe gezeigt. Das Protokoll für sichere Endgeräte und Endpunkte unterstützt redundante Konfigurationen und die automatische Umschaltung im Fehlerfall.

Die Komponenten für sichere Endpunkte sind weitgehend identisch mit jenen für sichere

Endgeräte, sie werden jedoch teilweise etwas anders genutzt wodurch sich auch

Unterschiede z.B. in der Programmierung der ROM's ergeben.

Für größere Aufgaben wie etwa die Steuerung einer Produktionszelle in einem

Automobilwerk werden mehr und ggf. auch unterschiedliche externe Geräteanschlüsse benötigt werden, so etwa auch für verschiedene industrielle Feldbus-Systeme wie Profibus oder Modbus. Derartige Funktionen können entweder in den sicheren Endpunkt integriert oder über vorgeschaltete Geräte der Automatisierungstechnik abgedeckt werden.

In Abbildung 2 sind vier LAN-Anschlüsse gezeigt, dies könnten beispielsweise zwei jeweils redundant ausgelegte Zugänge zum externen Netzwerk und zu einem davon getrennten firmeninternen Netzwerk sein.

Am firmeninternen Netzwerk kann auch ein Host angeschlossen sein der jedoch vom externen Netzwerk her nicht erreicht werden kann. Die Kommunikation jenes lokalen Offline-Hosts mit anderen Hosts oder sicheren Endgeräten/Endpunkten im externen Netzwerk würde dann über eine vom Host gesteuerte Kopplungsfunktion innerhalb des sicheren Endpunkts erfolgen, bei welcher sich dieser Endpunkt gegenüber den anderen beteiligten Systemkomponenten jeweils als sicheres Endgerät darstellt und den

Datenaustausch unterstützt.

In der Abbildung sind keine WLAN-Anschlüsse dargestellt da diese für einen 19" - Einschub innerhalb eines metallischen Geräteschranks wenig praktikabel wären, entsprechende Verbindungen würden zweckmäßigerweise über externe WLAN-Geräte realisiert.

Ebenso ist keine Bankkarte dargestellt, da etwaige Bezahlfunktionen in diesem Umfeld meist in anderer Form realisiert werden dürften.

Die Steuerung des sicheren Endpunktes erfolgt über einen oder mehrere ASIC's und in ROM fest eingespeicherte Programme.

Der in der Abbildung 2 gezeigte ASIC ist funktional vergleichbar mit jenem in Abbildung 1 gezeigten Bauteil, die Funktionen zur Bildschirm- und Tastatursteuerung können für die Ansteuerung eines externen Konsolgeräts genutzt werden welches über ein hier nicht dargestelltes redundantes Konsolbus-Paar je nach Bedarf auf unterschiedliche sichere Endpunkte innerhalb eines Geräteschranks aufgeschaltet werden kann.

Die Einrichtung der verschiedenen Parameter und Codes des sicheren Endpunktes erfolgt ebenso sie bei den sicheren Endgeräten über ein Token wie etwa die hier dargestellte Geräte-Chipkarte oder ähnliches.

Neben den bereist beschriebenen Endgeräten bzw. Endpunkten auf der Peripherieseite und den mit ihnen kommunizierenden Hosts umfasst die Architektur auch verschiedene Netzwerkelemente (Netzknoten), zum Teil mit wesentlichen Steuerungsfunktionen.

Dies sind zum einen die bekannten Routerfunktionen zur Abwicklung des standardmäßigen paketorientierten TCP/IP - Verkehrs, zum anderen die Steuerung von speziellen

Verbindungselementen, Multiplexern oder ähnliches um temporäre oder permanente Kommunikationskanäle (drahtgebunden/drahtlos/Lichtwellenleiter) zu schalten.

Diese Funktionen können auch kombiniert in einem Netzknoten realisiert werden (Nutzung von Multiprotocol Label Switching, MPLS).

Dadurch wird es auch möglich dedizierte Verbindungen zu erstellen die besonderen Kriterien wie etwa hohe Abhörsicherheit oder bestimmten Laufzeitanforderungen genügen. Diese dedizierten Verbindungen sind entweder permanent festgelegt oder werden in der Regel aus dem Netzwerk heraus aufgebaut, nachdem sich die Endgeräte über einen Hilfskanal identifiziert und den Verbindungswunsch angemeldet haben.

(66) Hosts und Netzwerkelemente innerhalb der beschriebenen asymmetrischen

Netzwerkarchitektur können durch entsprechende Vorkehrungen gegen externe Angriffe geschützt werden, z.B. durch Einsatz eines Betriebssystems welches durch sehr robuste Verwaltung des Hauptspeichers die Überschreibung anderer Bereiche („Buffer Overflow Attacks") verhindert.

(67) Weitere IT-Sicherheit ergibt sich im Bereich der Hosts und Netzwerkelemente durch den Einsatz von sicherer Halbleitertechnologie welche nicht über in das Design integrierte Fernzugriffsmöglichkeiten (sogenannte„Backdoors") zugänglich ist.

(68) In Abbildung 3 ist beispielhaft eine Implementierung einer asymmetrischen

Netzwerkarchitektur dargestellt, wobei auch auf die Koexistenz mit herkömmlicher Internettechnologie eingegangen wird. Hosts und Netzknoten im Sinne dieser Architektur können sowohl mittels üblicher Paketvermittlung als auch über geschaltete Verbindungen oder Kanäle untereinander und mit sicheren Endgeräten und Endpunkten kommunizieren, hierbei kann MPLS („Multiprotocol label switching") eingesetzt werden.

(69) Als Anwendungsbeispiel ist eine Benutzergruppe mit sicheren Endgeräten im Desktop- und Laptop-Format sowie einem sicheren Endpunkt für M2M - Kommunikation dargestellt.

(70) Diese Geräte nutzen eine geschaltete Verbindung zum nächsten Netzknoten, der

wiederum über weitere Netzknoten und geschaltete Verbindungen mit einem entfernten Host verbunden ist. Ein weiterer lokaler Host ist mit dem sicheren Endpunkt verbunden, jedoch aus dem Netz nicht sichtbar („offline"). Dabei ist vom Host gesteuerter

Datenverkehr mit entfernten Gegenstellen per Kopplungsfunktion im sicheren Endpunkt möglich.

(71) Zusätzlich können die sicheren Endgeräte über herkömmliche Paketvermittlung mit

weiteren Partnern kommunizieren, z.B. Dienste von anderen Hosts oder Cloud-basierende Angebote nutzen.

(72) Das abgebildete Beispiel könnte eine Produktionsstätte darstellen, welche einen lokalen Host zur Produktionssteuerung einsetzt und mit einem weiteren Host in der

Konzernzentrale in Verbindung steht. Der lokale Host ist aus dem Netz nicht sichtbar („offline"). Allfällige Fernwartungszugänge erfolgen nach Möglichkeit ebenfalls über den vorgelagerten sicheren Endpunkt und geschaltete Verbindungen.

(73) Zur Sicherstellung der Verfügbarkeit sind Redundanzen auf Host-, Netzwerk- und

Geräteebene möglich und werden durch die Protokolle der Netzwerkarchitektur unterstützt, diese sind zwecks Vereinfachung in dieser Darstellung nicht enthalten.

(74) Die sicheren Endgeräte und Endpunkte unterstützen sowohl die neue Netzwerkarchitektur als auch herkömmliche Paketvermittlung im Internet und ermöglichen so eine„weiche" Migration.

(75) Eine wichtige Voraussetzung zum Betrieb der sicheren Endgeräte und Endpunkte ist der Einsatz einer entsprechend ausgelegten Portal Software im Host, welche zusammen mit der hardwarebasierenden Steuerung der Endgeräte und Endpunkte deren Funktionalität sicherstellt.

Literaturhinweise

Nachfolgend eine kleine exemplarische Auswahl von Themenbeiträgen zur IT-Sicherheit in heutigen Netzwerken:

http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/Studi en/it-sicherheitsmarkt-in- deutschland http://wwwxomputerwoche.de/a/wirkungslose-it-sicherheits-mas snahmen, 3229874

http://thehackemewsxom/2013/ll/Linux-ELF-rnalware-php-CRi -vulnerability.html http://vwwJinux-magazinexom/Online/News/New-Worm-Attacks-Lin ux-Devices http://thehackernews.com/2Q16/03/internet-of-thing-malware.h tml http://www.eweekxom/securitv/stealthy-apache-exploit-redirec ts-victims-to-blackhole-malwa https://www.virusbulletinxom/virusbulletin/2014/07/mayhem-hi dden-threat-nix-web-servers https://www.akamaixom/de/de/about/news/press/2015-press/xor- ddos-botnet-attacking-linux- machines.jsp http://www^piegel.de/international/world/regin-malware-unmas ked-as-nsa-tool-after-spiegel- publishes-source-code-a-1015255.html https://www.neowin.net/news/mamba-ransomware-encrypts-your-h ard-drive-manipulates-the- boot-process https://www.technologvreview.eom/s/534516/holding-data-hosta ge-the-perfect-internet-crime/ https://en.wikipedia.org/wiki/Denial-of-service attack https://www.us-cert.gov/ncas/tips/ST04-015 http://ieeexplore.ieee.org/document/6158635/?arnumber=615863 5 https://www.heise.de/newsticker/meldung/31C3-Warnung-vor-Sec ure-Boot-und-Trusted- Computing-2507013.html

https://www.oeffentliche-it.de/trendsonar

http://thehackernews.com/2013/ll/Linux-ELF-malware-php-cg i-vulnerability.html http://www.linux-magazine.com/Online/News/New-Worm-Attacks-L inux-Devices http://thehackernews.com/2016/03/internet-of-thing-malware.h tml http://www.eweek.com/security/stealthy-apache-exploit-redire cts-victims-to-blackhole-malware https://www.virusbulletin.com/virusbulletin/2014/07/mayhem-h idden-threat-nix-web-servers https://www.akamai.com/de/de/about/news/press/2015-press/xor -ddos-botnet-attacking-linux- machines.jsp

Gerhard Schwartz