VERFAHREN, VORRICHTUNGEN UND COMPUTERPROGRAMMPRODUKT ZUR ÜBERWACHUNG EINER VERSCHLÜSSELTEN VERBINDUNG IN EINEM NETZWERK

5

Die Erfindung betrifft ein Verfahren, eine Anordnung, eine Zwischenvorrichtung, eine Überwachungsvorrichtung, sowie ein Computerprogrammprodukt zur Überwachung einer verschlüsselten Verbindung zwischen einem Client und einem Zugangspunkt in 0 einem Netzwerk.

Über Kommunikationsnetze, insbesondere Datennetzwerke in in dustriellen Anlagen und Automatisierungssystemen werden oft mals sensible Steuerungs- und Überwachungsdaten übertragen. 5 Um diese bei der Übertragung zu schützen, wird beispielsweise ein Sicherheitsprotokoll, wie beispielsweise eine sichere Me dienzugriffssteuerung MACsec oder ein sicheres Internetproto koll IPsec/IKEv2 oder insbesondere ein Transportschicht- Sicherheitsprotokoll TLS oder auch ein Datagramm- 0 Transportschicht-Sicherheitsprotokoll DTLS, verwendet. Dabei wird die Authentizität vom Kommunikationspartner überprüft und abhängig von der Konfiguration des Protokolls eine Mani pulation und/oder ein Abhören der Kommunikationsverbindung verhindert. Dazu wird meist beim Verbindungsaufbau kryptogra- 5 phisches Schlüsselmaterial, insbesondere ein Sitzungsschlüs sel, und eine Chiffriermethode, auch als Cipher Suite be zeichnet, ausgehandelt, mit denen die übermittelten Daten in tegritätsgeschützt und/oder verschlüsselt werden. 0 Andererseits besteht jedoch auch die Anforderung, das Kommu nikationsnetz zu überwachen, um beispielsweise eine Fehlfunk tion oder eine fehlerhafte Administration diagnostizieren zu können. Auch besteht in manchen Anwendungen die Anforderung, Steuerungskommunikation in einem "Black Box Recorder" bezie- 5 hungsweise "Juridical Recorder" aufzuzeichnen, um im Fall ei nes Unfalls den Schadenshergang aufklären zu können. Auch kann die Anforderung bestehen, den Ablauf eines Produktions vorgangs zu dokumentieren oder um netzwerkbasierte Angriffe auf ein Automatisierungssystem zu erkennen. Dabei kann es er forderlich sein, eine verschlüsselte Datenkommunikation zu entschlüsseln bzw. kryptographische Prüfsummen einer integri- tätsgeschützten Datenkommunikation zu überprüfen. Somit be steht insbesondere in industriellen Automatisierungssystemen und Steuerungsanlagen ein Bedarf, kryptographisch geschützte und insbesondere verschlüsselte Kommunikationsverbindungen zu überwachen .

Es sind allgemein Schlüsseloffenbarungsfunktionen, auch als Key Disclosure bezeichnet, bekannt. Dabei stellt ein Knoten einen Verschlüsselungsschlüssel einer dritten Partei bereit, so dass diese den Datenverkehr entschlüsseln kann. So ist beispielsweise ein Multi-Context-Transportschicht- Sicherungsprotokoll mcTLS bekannt. Dabei wird beim Verbin dungsaufbau mit Hilfe des TLS-Protokolls das Vorhandensein von einem oder mehreren Zwischenknoten den Kommunikations partnern signalisiert. Dabei wird zwischen den Kommunikati onspartnern vereinbartes Sitzungsschlüsselmaterial an den o- der die Zwischenknoten bereitgestellt. Das Multi-Context-TLS- Protokoll ist eine Erweiterung des TLS-Protokolls gemäß dem IETF RFC 5246 und beispielsweise im Internet unter der Adres se http : //mctls . org/documentation . html .

Weiterhin ist ein Transportschicht-Sicherheitsprotokoll mit einer Rotier-und-Freigabe-Funktion TLS-RaR bekannt, bei dem eine separate Verbindung von einem Kommunikationspartner zu einem Schlüsselveröffentlichungsserver aufgebaut wird. Hier bei wird der Schlüssel der letzten Kommunikationsperiode nach einer Schlüsselaktualisierung auf der Kommunikationsverbin dung zwischen den beiden Kommunikationspartnern an den

Schlüsselveröffentlichungsserver gesendet und somit eine ver zögerte Überwachung des Datenverkehrs auf der Kommunikations verbindung ermöglicht. Ein TLS-Protokoll mit Rotier- und Freigabefunktion TLS-RaR wird beispielsweise im Internet un ter der Adresse:

https : //forum. Stanford . edu/events/2016/slides/iot/Judson . pdf beschrieben . Weiterhin ist ein Transportschicht-Sicherheitsprotokoll mit einer Visibilitätserweiterung TLS VE bekannt. Diese Erweite rung kann von den Kommunikationspartnern, das heißt einem TLS-Client und einem TLS-Server, dazu genutzt werden, um ex plizit Zugriff auf einen Sitzungskontext der TLS-Verbindung zu geben und dadurch einen autorisierten Knoten eine Überwa chung der TLS Verbindung zu ermöglichen. Das TLS-Protokoll mit Visibilitätserweiterung wird von der IETF spezifiziert und ist beispielsweise unter der Adresse

https://tools.ietf. org/html/draft-rhrd-tls- tlsl3-visibility-00 beschrieben.

Es ist ein erweiterbares Authentifizierungsprotokoll EAP be kannt, mit dem sich ein Teilnehmer gegenüber einem Netzwerk authentisiert und vorzugsweise auch das Netzwerk gegenüber dem Teilnehmer. Über das EAP-Protokoll können unterschiedli che Authentisierungsmethoden übertragen werden. Ein erweiter bares Authentifizierungsprotokoll für ein Transportschicht- Sicherheits-Authentisierungsprotokoll EAP-TLS ist von der In ternet Engineering Task Force IETF als Request for Comments RFC 5216 spezifiziert. Neben der Authentifizierung der Teil nehmer können über das EAP-TLS-Protokoll auch ein oder mehre re Sicherheitsinformationen, wie beispielsweise Schlüssel für die Absicherung einer Netzzugangskommunikation, ausgehandelt werden. Dies erfolgt typischerweise zwischen einem Kommunika tionsteilnehmer und einem Authentisierungsserver, beispiels weise einem RADIUS/DIAMETER-Server .

In industriellen Anlagen werden vermehrt drahtlose Übertra gungstechnologien wie beispielsweise WLAN gemäß einem IEEE 802.11 Standard oder einem WiMAX-Forum Standard und zellulä rer Mobilfunk gemäß einem Long Term Evolution LTE- oder 5G- Standard des 3te Generations Partnerschaftsprojekts 3GPP zur Bereitstellung eines drahtlosen Netzwerks verwendet. Ebenso werden auch drahtgebundene Übertragungstechnologien, insbe sondere Ethernet oder Profinet, verwendet. Die US 2008/043686 Al beschreibt ein Verfahren zur Erkennung von Angriffen in einem schnurlosen Datenkommunikationsnetz werk. Dazu wird ein Netzzustand aus dem überwachten Schnur losverkehr abgeleitet. Vertrauenswürdige Informationen zum Zustand des drahtlosen Netzwerks werden beispielsweise von einem Authentisierungsserver bereitgestellt. Bei der vertrau enswürdigen Information handelt es sich beispielsweise um ein zwischen Authentisierungsserver und einer Mobilstation ausge handelten Typ eines Erweitertes Authentisierungsprotokolls (EAP) , einem Zustand der Mobilstation oder EAP-Typ spezifi sche Parameter.

Die bekannten Verfahren zur Schlüsseloffenbarung erfordern spezielle Netzwerkprotokolle und Netzwerkschnittstellen und sind somit nur in speziell dafür vorbereiteten Netzwerken an wendbar .

Es ist somit die Aufgabe der vorliegenden Erfindung, eine verschlüsselte Kommunikationsverbindung zwischen einem Gerät oder allgemein Client und einem Netzwerk, die insbesondere eine verschlüsselte Verbindung aufweist, ohne eine spezielle Anpassung der Netzwerkprotokolle und Netzwerkschnittstellen zu überwachen.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen be schriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.

Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfah ren zur Überwachung einer verschlüsselten Verbindung zwischen einem Client und einem Zugangspunkt in einem Netzwerk, wobei

- ein Erweiterbares Authentifizierungsprotokoll EAP für eine Zugangsauthentifizierung des Clients zum Netzwerk bei einem Authentifizierungsserver verwendet wird, und

- innerhalb des Erweiterbaren Authentifizierungsprotokolls ein Transportschicht-Sicherheits-Protokoll mit Schlüsselof fenbarungsfunktion (EAP-kdTLS) ausgeführt wird, bei dem eine Sicherheitsinformation zum kryptographischen Schutz der Ver- bindung einer Zwischenvorrichtung bereitgestellt und von der Zwischenvorrichtung an eine Überwachungsvorrichtung zur Über wachung der Verbindung übermittelt wird.

Dies hat den Vorteil, dass lediglich durch die Verwendung ei nes speziellen Authentifizierungsprotokolls über ein allge mein von einem Gerät und einem Authentifizierungsserver un terstütztes erweiterbares Authentifizierungsprotokoll EAP ein Mithören der verschlüsselten Kommunikation auf der Verbin dung, ermöglicht wird, wobei die mitgehörten Daten im Klar text durch die Zwischeneinrichtung analysiert werden können. Komponenten eines Netzwerks, beispielsweise gemäß einem WLAN oder WiMAX oder 5G-Standard oder 802. IC/MACsec müssen nicht angepasst werden, wenn sie eine Netzwerkzugangsauthentifizie- rung gemäß einem Erweiterbaren Authentifizierungsprotokoll unterstützen. Das Erweiterbare Authentifizierungsprotokoll wird in vielen Netzwerken, insbesondere auch Funknetzwerken, bereits genutzt und ist somit im Client und im Authentifizie rungsserver verfügbar. Somit kann die Zugangsauthentifizie- rung basierend auf dem Erweiterbaren Authentifizierungsproto koll und dem darin ausgeführten Transportschicht- Sicherheitsprotokoll mit Schlüsseloffenbarungsfunktion (EAP- kdTLS) über die Überwachungsvorrichtung von einem Dritten mitgehört werden. Dadurch kann unabhängig von einer Schlüs selverteilung gemäß beispielsweise einem RADIUS/DIAMETER- Spezifikation der nachfolgende Nutzdatenverkehr auf der Ver bindung mitgehört werden. Durch die Überwachung der Zu gangsauthentifizierung des Clients beim Authentifizierungs server wird die Sicherheitsinformation, insbesondere Schlüs selmaterial, ermittelt, mit dem nachfolgende Schlüsselverein barungsnachrichten für eine Nutzdatenverbindung auf der Ver bindung kryptographisch geschützt werden. Somit kann wiederum ein Verkehrs- Schlüsselmaterial, beispielsweise Sitzungs schlüssel, ermittelt werden und somit der verschlüsselte Nutzdatenverkehr auf der Verbindung entschlüsselt und über wacht werden. In einer vorteilhaften Ausführungsform ist ein Transport- schicht-Sicherheits-Protokoll TLS mit Schlüsseloffenbarungs funktion ein Multi-Context-TLS-Protokoll oder ein TLS- Protokoll mit Visibilitätserweiterung oder ein TLS-Protokoll mit Rotier- und Freigabefunktion.

Diese TLS-Protokolle mit Schlüsseloffenbarungsfunktion haben den Vorteil, bereits verfügbar zu sein. Somit können der Cli ent und der Authentifizierungsserver ohne signifikanten zu sätzlichen Entwicklungsaufwand mit dieser Funktion ausgestat tet werden.

In einer vorteilhaften Ausführungsform wird die Sicher- heitsinformation in der Zwischenvorrichtung überprüft und an den Zugangspunkt weitergeleitet.

In einer vorteilhaften Ausführungsform wird die Sicher- heitsinformation selbst oder eine aus der Sicherheitsinforma tion abgeleitete zweite Sicherheitsinformation von der Zwi schenvorrichtung ermittelt und an die Überwachungsvorrichtung zur Überwachung der Verbindung bereitgestellt.

Wird aus der Sicherheitsinformation über eine Ableitungsfunk tion ein abgeleiteter kryptographischer Schlüssel ermittelt, so muss die dafür verwendete Ableitungsfunktion derjenigen Ableitungsfunktion im Zugangspunkt entsprechen, die dort für die Ableitung des kryptographischen Schlüssels verwendet wird. Diese beiden abgeleiteten Schlüssel müssen einander entsprechen. Durch die Überprüfung in der Zwischenvorrichtung kann dies sichergestellt werden. Dadurch kann überprüft wer den, dass tatsächlich derjenige abgeleitete Schlüssel für den Schutz der Kommunikation verwendet wird, der durch die Si cherheitsinformation offenbart wird. Die ermittelte Sicher- heitsinformation kann insbesondere ein Meistersitzungsschlüs sel MSK, ein erweiterter Meistersitzungsschlüssel EMSK, ein Anwendungsmeistersitzungsschlüssel AMSK sein. Ein aus der Si cherheitsinformation abgeleiteter kryptographischer Schlüssel kann somit ein von den genannten Sitzungsschlüsseln abhängig gebildeter Schlüssel sein.

In einer vorteilhaften Ausführungsform wird die Sicher- heitsinformation nur an eine vom Authentifizierungsserver au- thentisierte und/oder autorisierte Überwachungsvorrichtung bereitgestellt .

Dies hat den Vorteil, dass lediglich überprüfte und autori sierte Überwachungsvorrichtungen die Sicherheitsinformationen erhalten .

In einer vorteilhaften Ausführungsform wird die Sicher- heitsinformation von der Zwischenvorrichtung zeitlich verzö gert an die Überwachungsvorrichtung bereitgestellt.

Dies hat den Vorteil, dass besonders sicherheitskritische Da ten auf der Verbindung nicht sofort beziehungsweise nicht in Echtzeit ermittelt werden können, sondern durch eine Zeitver zögerung die Ermittlung sicherheitskritischer Daten solange verzögert werden kann, bis kein Schaden daraus entstehen kann .

In einer vorteilhaften Ausführungsform wird die Sicher- heitsinformation über eine kryptographisch geschützte Verbin dung von der Zwischenvorrichtung an die Überwachungsvorrich tung bereitgestellt.

Dies hat den Vorteil, dass die Sicherheitsinformation nicht von einem unbefugten Dritten, der sich als Überwachungsvor richtung ausgibt, empfangen werden kann.

In einer vorteilhaften Ausführungsform wird ein öffentlicher Schlüssel des Clients und/oder des Authentifizierungsservers, der bei der Zugangsauthentifizierung zum Netzwerk validiert wurde, zur Verschlüsselung und zur Integrationsüberwachung der kryptographisch geschützten Verbindung zwischen der Zwi schenvorrichtung und der Überwachungsvorrichtung verwendet. Dies hat den Vorteil, dass zum Schutz der Übertragung der Si cherheitsinformation kein zusätzlicher Schlüssel verwaltet werden muss.

In einer vorteilhaften Ausführungsform werden über die Ver bindung geschützt übertragene Schlüsselverteilungsnachrichten und/oder Schlüsselvereinbarungsnachrichten mittels der Si cherheitsinformation von der Überwachungsvorrichtung ent schlüsselt und darin enthaltene Verkehrssitzungsschlüssel, die zum kryptographischen Schutz von Nutzdaten verwendet wer den, ermittelt.

In einer vorteilhaften Ausführungsform werden mit dem Ver kehrssitzungsschlüssel entschlüsselte Nutzdaten gegenüber ei ner Überwachungsrichtlinie überprüft und bei Verletzung der Überwachungsrichtlinie ein Alarm von der Überwachungsvorrich tung bereitgestellt oder weitere Maßnahmen, entsprechend ei ner Sicherheitsrichtlinie durchgeführt.

Dies hat den Vorteil, dass aktiv die über die Verbindung übertragenen Nutzdaten analysiert und über einen Alarm weite re Maßnahmen veranlasst werden können.

Gemäß einem zweiten Aspekt betrifft die Erfindung eine Anord nung zur Überwachung einer verschlüsselten Verbindung zwi schen einem Client und einem Zugangspunkt in einem Netzwerk, umfassend

- einen Client und einen Authentifizierungsserver, die derart ausgebildet sind ein Erweiterbares Authentifizierungsproto- koll EAP zur Zugangsauthentifizierung des Clients zum Netz werk zu verwenden und innerhalb des Erweiterbaren Authentifi- zierungsprotokolls EAP ein Transportschicht-Sicherheits TLS Protokoll mit Schlüsseloffenbarungsfunktion auszuführen,

- eine Zwischenvorrichtung, die derart ausgebildet ist eine Sicherheitsinformation von dem Authentifizierungsserver zu empfangen,

und - eine Überwachungsvorrichtung, die derart ausgebildet ist die Sicherheitsinformation von der Zwischenvorrichtung zur Überwachung der Verbindung zu empfangen.

Die erfindungsgemäße Anordnung ermöglicht insbesondere bei einem WLAN, WiMAX oder bei einem 5G-Mobilfunknetz lediglich durch die Verwendung des erweiterbaren Authentifizierungspro- tokolls mit dem Transportschicht-Sicherheitsprotokoll mit Schlüsseloffenbarungsfunktion Nutzdaten, die verschlüsselt über die Verbindung übertragen werden, zu entschlüsseln und somit zu überwachen. Dabei ist es nicht erforderlich, die Mo bilfunk- beziehungsweise Schnurloskomponenten, wie beispiels weise den Zugangspunkt oder weitere Funkzugangsknoten eines schnurlosen Netzwerks, speziell für diesen Zweck anzupassen.

In einer vorteilhaften Ausführungsform ist zwischen der Zwi schenvorrichtung und dem Authentifizierungsserver eine Ver trauensbeziehung ausgebildet.

Eine solche Vertrauensbeziehung kann beispielsweise durch das Betreiben der Zwischenvorrichtung und des Authentifizierungs- servers durch einen gemeinsamen Betreiber gegeben sein, der beide Komponenten kontrolliert und ebenso eine Kommunikati onsverbindung zwischen der Zwischenvorrichtung und dem Au thentifizierungsserver kontrolliert und manipulationssicher betreibt. Eine Vertrauensbeziehung kann aber auch durch eine Authentifizierung der Zwischenvorrichtung bei dem Authentifi- zierungsserver oder eine gegenseitige Authentifizierung der Zwischenvorrichtung und des Authentifizierungsservers ausge bildet sein.

In einer vorteilhaften Ausführungsform ist die Zwischenvor richtung als ein Authentifizierungsproxy ausgebildet, der mit dem Authentifizierungsserver einer ersten Netzwerkzone zuge ordnet ist oder die Zwischenvorrichtung ist einer zweiten Netzwerkzone zugeordnet, die unterschiedlich von der ersten Netzwerkzone ist, der der Authentifizierungsserver zugeordnet ist . Im Fall eines Authentifizierungsproxys ist üblicherweise eine Vertrauensbeziehung durch das Betreiben des Authentifizie rungsproxys und des Authentifizierungsservers in einer ge meinsamen ersten Netzwerkzone gegeben, in der die Authentizi tät und Übertragung von Daten zwischen Authentifizierungs- proxy und Authentifizierungsserver sichergestellt ist. Ist die Zwischenvorrichtung in einer zweiten Netzwerkzone, der Authentifizierungsserver aber in einer ersten Netzwerkzone ausgebildet, so ermöglicht dies einen von einem Netzwerkpro vider der ersten Netzwerkzone unabhängigen Zugriff auf die ausgehandelte Sicherheitsinformation, die im Nachgang zum Schutz des Netzwerkzugangs genutzt wird.

Gemäß einem dritten Aspekt betrifft die Erfindung eine Zwi schenvorrichtung zur Überwachung einer verschlüsselten Ver bindung zwischen einem Client und einem Zugangspunkt in einem Netzwerk, umfassend

eine Prüfeinheit, die derart ausgebildet ist eine Sicher- heitsinformation zu überprüfen und weiterzuleiten und

eine Bereitstellungseinheit, die derart ausgebildet ist, die Sicherheitsinformation selbst oder ein aus der Sicherheitsin formation abgeleitete zweite Sicherheitsinformation zu ermit teln und zur Überwachung der Verbindung (102) bereitzustel len. Die Zwischenvorrichtung ist des weiteren derart ausge bildet, das beschriebene Verfahren durchzuführen.

Gemäß einem vierten Aspekt betrifft die Erfindung eine Über wachungsvorrichtung zur Überwachung einer verschlüsselten Verbindung zwischen einem Client und einem Zugangspunkt in einem Netzwerk, die derart ausgebildet ist, eine Sicher- heitsinformation zu empfangen und mittels der Sicherheitsin formation über die Verbindung geschützt übertragene Schlüs selverteilungsnachrichten und/oder Schlüsselvereinbarungs nachrichten zu entschlüsseln und darin enthaltene Verkehrs sitzungsschlüssel, die zum kryptographischen Schutz von Nutz daten verwendet werden, zu ermitteln und zum Entschlüsseln der Nutzdaten zu verwenden. Gemäß einem fünften Aspekt betrifft die Erfindung ein Compu terprogrammprodukt, das direkt in den Speicher eines oder mehrerer digitaler Computer ladbar ist, umfassend Programm codeteile, die dazu geeignet sind, die Schritte des Verfah rens durchzuführen.

Ausführungsbeispiele des erfindungsgemäßen Verfahrens und der erfindungsgemäßen Anordnung sind in den Zeichnungen beispiel haft dargestellt und werden anhand der nachfolgenden Be schreibung näher erläutert. Es zeigen:

Figur 1 ein Ausführungsbeispiel einer erfindungsgemäßen An ordnung zur Überwachung einer verschlüsselten Ver bindung zwischen einem Client und einem Zugangs punkt in einem Netzwerk in schematischer Darstel lung;

Figur 2 ein Ausführungsbeispiel einer erfindungsgemäßen

Zwischenvorrichtung in Blockdarstellung;

Figur 3 ein Ausführungsbeispiel einer erfindungsgemäßen

Überwachungsvorrichtung in Blockdarstellung;

Figur 4 eine Authentisierung in einem Netzwerk entsprechend dem Stand der Technik in Form eines Ablaufdia gramms ;

Figur 5 ein erstes Ausführungsbeispiel des erfindungsgemä ßen Verfahrens in Form eines Ablaufdiagramms ; und

Figur 6 ein zweites Ausführungsbeispiel des erfindungsgemä ßen Verfahrens in Form eines Ablaufdiagramms .

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen. Figur 1 zeigt eine Anordnung zur Überwachung einer verschlüs selten Verbindung 102, insbesondere einer drahtlosen Verbin dung, zwischen einem Client 101 und einem Zugangspunkt 103 in einem lokalen Netzwerk 110. Der Client 1 ist beispielsweise ein Gerät, das über das lokale Netzwerk 110 mit anderen Gerä ten, Steuer-, Diagnose- oder Überwachungsvorrichtungen kommu niziert. Das Gerät kann beispielsweise ein Feldgerät einer Automatisierungsanlage, eine Vorrichtung in einer Energieer- zeugungs- oder Energieverteilungsanlage, aber auch eine Vor richtung in einem Büronetz oder allgemein ein Teilnehmer ei nes Kommunikations- oder Datennetzwerks, in dem das lokale Netzwerk 110 ein Zugangsnetzwerk ausgebildet ist. Der Zu gangspunkt 103 ist beispielsweise als ein Access Point gemäß einem WLAN Standard ausgebildet. Unter Verschlüsselung wird hierbei ein kryptographischer Schutz der Verbindung verstan den. Dabei kann die Vertraulichkeit und/oder Integrität der übertragenen Daten geschützt werden. Bei einer verschlüssel ten Übertragung von Nutzdaten, z.B. Steuerdaten oder Sensor daten, können die Nutzdaten nur entschlüsselt werden, wenn der verwendete kryptographische Schlüssel vorliegt. Bei in tegritätsgeschützten Übertragung von Nutzdaten können die die Integrität schützenden kryptographischen Prüfsummen (Nach- richtenauthentisierungscode, Message Authentication Code) nur überprüft werden, wenn der verwendete kryptographische

Schlüssel vorliegt.

Die Anordnung 100 umfasst des Weiteren einen Authentifizie- rungsserver 105, der derart ausgebildet ist, eine Zu- gangsauthentifizierung des Clients 101 beim lokalen Netzwerk durchzuführen. Eine Zwischenvorrichtung 104 ist dem Authenti- fizierungsserver 5 zugeordnet und mit dem Zugangspunkt 103 verbunden. Eine Überwachungsvorrichtung 106 ist mit der Zwi schenvorrichtung 104 verbunden. Die Verbindungen zwischen dem Zugangspunkt 103 und der Zwischenvorrichtung 104 sowie der Zwischenvorrichtung 104 und dem Authentifizierungsserver 105 sowie dem Zugangspunkt 103 und der Überwachungseinheit 106 können eine direkte oder eine indirekte Verbindung mit Zwi schenknoten sein. Die Verbindungen können als drahtgebundene oder drahtlose Verbindungen ausgebildet sein. Die Verbindung 102 zwischen dem Client 101 und dem Zugangspunkt 103 ist bei spielsweise eine drahtlose Verbindung gemäß dem WLAN-Standard IEEE 802.11 des Instituts für Elektro- und Elektronik

ingenieure ausgebildet. Die Verbindung 102 kann aber auch als drahtgebundene Verbindung, die beispielsweise über ein siche res Media-Access Control-Protokoll nach IEEE 802. lae (MACsec) ausgebildet ist, sein. Bei der Verbindung kann es sich auch um ein mobilfunkbasiertes Netzwerk handeln. Dazu kann z.B. eine 5G-Funkzugangstechnology (3GPP 5G New Radio) als WLAN- Funktechnologie in einem privaten Funknetzwerk verwendet wer den, oder es kann ein virtuelles lokales Netzwerk über ein Mobilfunknetz realisiert werden (z.B. MulteFire, mobile vir tual private LAN Service, LAN Support in 5G) .

Zur Zugangsauthentifizierung des Clients 101 beim Authentifi- zierungsserver 105 wird ein erweiterbares Authentifizierungs- protokoll, im Weiteren kurz auch als EAP bezeichnet, verwen det, mit dem sich der Client 101 gegenüber dem Authentifizie- rungsserver authentifiziert. Das EAP-Protokoll wird dabei insbesondere als ein EAP-TLS-Protokoll mit einer Schlüsselof fenbarungsfunktion (EAP-kdTLS ) verwendet . Neben der Authenti- fizierung des Clients 101 werden über dieses EAP-kdTLS- Protokoll ein oder mehrere Sicherheitsinformationen, insbe sondere Sitzungsschlüssel für die Absicherung der Netzzu gangskommunikation, beispielsweise zum Aufbau einer geschütz ten Nutzdatenverbindung über die Verbindung 102, ausgehan delt.

In Figur 2 ist ein Ausführungsbeispiel einer Zwischenvorrich tung 104 dargestellt. Diese umfasst eine Prüfeinheit 41, die derart ausgebildet ist, die Sicherheitsinformation zu über prüfen und weiterzuleiten. Die Zwischenvorrichtung umfasst des Weiteren eine Bereitstellungseinheit 42, die derart aus gebildet ist, die Sicherheitsinformation selbst oder eine aus der Sicherheitsinformation abgeleitete zweite Sicherheitsin formation zu ermitteln und zur Überwachung der Verbindung 102 bereitzustellen. Figur 3 zeigt ein Ausführungsbeispiel einer Überwachungsvor richtung 106. Die Überwachungsvorrichtung 106 ist derart aus gebildet, die Sicherheitsinformation zu empfangen und mittels der Sicherheitsinformation geschützt über die lokale Verbin dung übertragene Schlüsselverteilungsnachrichten und/oder Schlüsselvereinbarungsnachrichten zu entschlüsseln und darin enthaltene Verkehrssitzungsschlüssel, die zum kryptographi- schen Schutz von Nutzdaten verwendet werden, zu ermitteln und zum Entschlüsseln der Nutzdaten bzw. zur Überprüfung von kryptographischen Prüfsummen der Nutzdaten zu verwenden.

Figur 4 zeigt eine Authentifizierung eines Client 1 und einem Zugangspunkt 3 eines lokalen eine bei einem Authentisierungs- server 5 gemäß dem herkömmlichen EAP-TLS-Protokoll . In einem ersten Schritt Ml wird eine Übertragungsverbindung gemäß ei ner Schicht 3 eines ITU/ISO OSI-Modells zwischen dem Client 1 und dem Zugangspunkt 3 aufgebaut. Im Verfahrensschritt M2 au thentifiziert sich der Client 1 über das EAP-TLS-Protokoll beim Authentifizierungsserver 5. Der Authentifizierungsserver 5 kann beispielsweise gemäß einem Radius- oder ein Diameter- protokoll gemäß dem IETF-Standard RFC 2865 bzw RFC 6733 ar beiten .

Nach einer erfolgreichen Authentifizierung des Clients 1 übermittelt der Authentifizierungsserver 5 Sicherheitsinfor mation zur kryptographisch gesicherten Übertragung von Daten auf der Verbindung zwischen dem Client 1 und dem Zugangspunkt 3, siehe M3.

Diese Sicherheitsinformation umfasst beispielsweise einen o- der mehrere Schlüssel, beispielsweise einen Meistersitzungs schlüssel MSK oder einen erweiterten Meistersitzungsschlüssel EMSK. Die mindestens eine Sicherheitsinformation wird nun zur Verschlüsselung und/oder Überprüfung von Schlüsselverteil- und Schlüsselvereinbarungsnachrichten beispielsweise eines 4- Wege-Handshakes eines WLAN-Verbindungsaufbaus verwendet, sie he Verfahrensschritt M4. Dieser Nachrichtenaustausch ist so mit verschlüsselt bzw. kryptographisch geschützt und von ei- nem Dritten nicht auslesbar bzw. nicht manipulierbar. Bei dem Verbindungsaufbau im Schritt M4 werden nun Verkehrssitzungs schlüssel, im Englischen als Traffic Session Key TSK bezeich net, ermittelt und im Verfahrensschritt M5 zum verschlüssel ten und/oder integritätsgeschützten Datenaustausch von Nutz daten verwendet.

Figur 5 zeigt nun ein Ausführungsbeispiel des erfindungsgemä ßen Verfahrens anhand eines schematischen Nachrichten- Ablaufdiagramms zwischen den Komponenten der in Figur 1 dar gestellten Anordnung. Nach einem Aufbau einer Verbindung zwi schen dem Client 101 und dem Zugangspunkt 103, siehe Ml, wird nun ein erweiterbares Authentifizierungsprotokoll EAP, siehe Sl, in einer Ausprägung für Transportschicht- Sicherheitsprotokolle mit Schlüsseloffenbarungsfunktion für die Zugangsauthentifizierung des Clients 101 zum Netzwerk zwischen dem Client 101 und dem Authentifizierungsserver 105 verwendet, siehe S2. Dabei wird die Sicherheitsinformation, die zur Absicherung der weiteren Netzzugangskommunikation M4 zwischen dem Client 101 und dem Zugangspunkt 103 verwendet wird und zwischen dem Client 101 und dem Authentifizierungs server 105 ausgehandelt wurde, auch der Zwischenvorrichtung 104 bereitgestellt, siehe Al. Transportschicht- Sicherheitsprotokolle mit Schlüsseloffenbarungsfunktion wer den nachfolgend auch abgekürzt als kdTLS-Protokolle bezeich net. Als kdTLS-Protokoll kann beispielsweise das bereits ge nannte Multi-Context-TLS-Protokoll oder ein TLS-Protokoll mit Visibilitätserweiterung oder ein TLS-Protokoll mit Rotier- und Freigabefunktion sein. Bei jedem dieser kdTLS-Protokolle wird die zwischen dem Client 101 und dem Authentifizierungs server 105 ausgehandelte Sicherheitsinformation der Zwischen vorrichtung 104 bereitgestellt. Bei der Sicherheitsinformati on handelt es sich beispielsweise um einen Meistersitzungs schlüssel MSK oder einen erweiterten Meistersitzungsschlüssel EMSK.

Im Verfahrensschritt M31 empfängt die Zwischenvorrichtung 104 die Sicherheitsinformation vom Authentifizierungsserver 105. Die Zwischenvorrichtung 104 überprüft die aus dem Erweiterba ren Authentifizierungsprotokolls für Transportschicht- Sicherheits-Protokoll mit Schlüsseloffenbarungsfunktion, kurz als EAP-kdTLS bezeichnet, ermittelte Sicherheitsinformation mit der vom Authentifizierungsserver 105 empfangenen Sicher- heitsinformation, siehe A2. Die Sicherheitsinformation um fasst neben beispielsweise Schlüsselmaterial auch weitere Schlüssel- und Verbindungsparameter, die bei der Überprüfung abgeglichen werden. Die vom Authentifizierungsserver 105 empfangene Schlüsselinformation wird an den Zugangspunkt 103 weitergeleitet, siehe M32. Im Zugangspunkt 103 und im Client

101 wird aus der Sicherheitsinformation und den mitgeliefer ten Schlüssel- und Verbindungsparametern die tatsächlich für die weitere Kommunikation auf der Verbindung 102 verwendete Sicherheitsinformation erstellt, siehe A4, A4". Die weitere Kommunikation zwischen dem Client 101 und dem Zugangspunkt

103 wird nun mit dieser Sicherheitsinformation verschlüsselt, siehe M4.

Parallel dazu ermittelt die Zwischenvorrichtung 104 die auf der Verbindung 102 verwendete Sicherheitsinformation, siehe A3. Die verwendete Sicherheitsinformation kann entweder die vom Authentifizierungsserver 105 empfangene Sicherheitsinfor mation selbst oder eine abhängig von den Schlüssel- und Ver bindungsparametern aus der Sicherheitsinformation abgeleitete zweite Sicherheitsinformation sein. Die Zwischenvorrichtung

104 übermittelt die Sicherheitsinformation beziehungsweise die abgeleitete zweite Sicherheitsinformation an die Überwa chungsvorrichtung 106, siehe S3.

Die Überwachungsvorrichtung 106 überwacht nun die Verbindung

102 zwischen dem Client 101 und dem Zugangspunkt 103, ent schlüsselt bzw. überprüft mit der Sicherheitsinformation bei spielsweise Nachrichten eines WLAN 4-Wege-Handshake- Protokolls und ermittelt einen dabei ausgehandelten Verkehrs sitzungsschlüssel TSK, siehe A5. Dieser wird verwendet, um eine mit diesem Verkehrssitzungsschlüssel TSK geschützte Korn- munikation zwischen dem Client 101 und Zugangspunkt 103 Ver bindung zu verschlüsseln, siehe M5.

Die so verschlüsselte Nutzdatenübertragung auf der Verbindung 102 kann somit durch die Überwachungsvorrichtung 104 ent schlüsselt und überwacht werden. Zusätzlich kann die Überwa chungsvorrichtung 106 die über die Verbindung 102 entschlüs selten Nutzdaten gegenüber einer Überwachungsrichtlinie über prüfen und bei Verletzung der Überwachungsrichtlinie ein Alarmsignal bereitstellen, siehe A6.

Die Überwachungsvorrichtung 106 entschlüsselt bzw. überprüft somit Schlüsselvereinbarungsnachrichten und/oder Schlüssel verteilungsnachrichten, die während des Verbindungsaufbaus zwischen dem Client 101 und dem Zugangspunkt 103 ausgetauscht werden, und ermittelt darin enthaltene oder ausgehandelte Verkehrssitzungsschlüssel, die zum kryptographischen Schutz von Nutzdaten verwendet werden.

Die Sicherheitsinformation wird vorzugsweise nur an eine au- thentisierte und autorisierte Überwachungsvorrichtung 106 be- reitgestellt . Die Authentifizierung beziehungsweise Autori- sierung der Überwachungsvorrichtung 106 kann beispielsweise durch eine Authentifizierung der Überwachungsvorrichtung 106 beim Authentifizierungsserver 105 erfolgen. Die Überwachungs vorrichtung 106 kann sich jedoch auch gegenüber einer anderen Komponente, z.B. einer Client-Komponente oder einer Zwischen vorrichtungskomponente, authentisieren . Eine Bestätigung der Autorisierung der Überwachungsvorrichtung 106 wird dann dem Authentifizierungsserver 105 bereitgestellt.

Die Sicherheitsinformation kann von der Zwischenvorrichtung 104 auch zeitlich verzögert an die Überwachungsvorrichtung 106 bereitgestellt werden. In einer Variante wird die Sicher- heitsinformation von der Zwischenvorrichtung 104 über eine kryptographisch geschützte Verbindung, siehe Verbindung 107 in Figur 1, an die Überwachungsvorrichtung 106 bereitge stellt. Dabei wird die Sicherheitsinformation verschlüsselt und/oder integritätsgeschützt übertragen. Zur Verschlüsselung und/oder Integritätsüberwachung der kryptographisch geschütz ten Verbindung 107 wird bevorzugt ein öffentlicher Schlüssel des Clients 101 und/oder des Authentifizierungsservers 105 verwendet. Somit ist eine Überwachung der Verbindung 102 zwi schen dem Client 101 und dem Zugangspunkt 103, siehe S4 in Figur 5, lückenlos möglich.

Der Authentifizierungsserver 105 und die Zwischenvorrichtung

104 stehen in einer Vertrauensbeziehung zueinander, um eine sichere und vertrauenswürdige Handhabung und Übertragung der Schlüsselinformation M31 zu garantieren. Die Zwischenvorrich tung 104 kann beispielsweise als Authentifizierungsproxy aus gebildet sein, die zusammen mit dem Authentifizierungsserver

105 einer gemeinsamen Netzwerkzone angehören. Diese erste Netzwerkzone, in Figur 5 durch die gestrichelte Linie 108 dargestellt, wird beispielsweise von einem Netzbetreiber be trieben .

Figur 6 zeigt eine Anordnung zur Überwachung der verschlüs selten Verbindung 102 zwischen Client 101 und Zugangspunkt 103, bei der eine Zwischenvorrichtung 204 in einer zweiten Netzwerkzone 109 angeordnet ist, die von der ersten Netzwerk zone 108, der der Authentifizierungsserver 105 zugeordnet ist, unterschiedlich ist. In einer solchen Anordnung wird im Verfahrensschritt SO eine Vertrauensbeziehung zwischen der Zwischenvorrichtung 204 und dem Authentifizierungsserver 105 ausgebildet. Beispielsweise kann dies durch eine Authentifi- zierung der Zwischenvorrichtung 204 beim Authentifizierungs server 105 erfolgen. Es kann aber auch eine Identifizierung der Zwischenvorrichtung 204 einer weiteren Komponente erfol gen, die nicht Teil der Authentifizierungsinfrastruktur der ersten Netzwerkzone 108 ist. Diese Authentifizierungsinforma- tion liegt bevorzugt dem Authentifizierungsserver vor.

Dies ermöglicht einen vom Netzwerkbetreiber der ersten Netz werkzone unabhängigen Zugriff auf die ausgehandelte Schlüs selinformation, siehe Al, die im Nachgang zum Schutz des Netzwerkzugangs genutzt wird. Die Zwischenkomponente 204 stellt die Sicherheitsinformation mit Schlüssel- und Verbin dungsparametern der Überwachungsvorrichtung 106 bereit, siehe S5. Die Sicherheitsinformation wird insbesondere über eine geschützte Verbindung, beispielsweise über eine TLS- Verbindung oder eine IPsec-Verbindung, zwischen Zwischenvor richtung 204 und Überwachungsvorrichtung 106 übertragen. Dazu kann insbesondere ein öffentlicher Schlüssel der Überwa chungsvorrichtung 106 verwendet werden. Der Authentifizie- rungsserver 105 stellt in dieser Variante die Sicherheitsin formation oder eine aus der Sicherheitsinformation abgeleite te zweite Sicherheitsinformation dem Zugangspunkt 103 zur Verfügung, siehe S6. Die weiteren in Figur 6 dargestellten Abläufe entsprechen den für Figur 5 beschriebenen Abläufen.

Eine Übertragung, insbesondere eine drahtlose Übertragung, von Steuerdaten zwischen einem Client und einem Zugangspunkt, kann somit überwacht werden, ohne bestehende Netzwerkinfra struktur, insbesondere den Client 101 und den Zugangspunkt 103, speziell anpassen zu müssen.

Alle beschriebenen und/oder gezeichneten Merkmale der Erfin dung können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschrie benen Ausführungsbeispiele beschränkt.