Missing Link: Angriffe auf Backbones – Wie gut sind Glasfaserkabel geschützt?
(Bild: Shutterstock)
DDoS- oder Ransomware-Angriffe sind Gegenstand vieler Warnungen von Netzbetreibern und Politik. Aber wie sicher sind eigentlich die Glasfaserkabel?
Netzausfälle nach Missgeschicken mit Baggern sind keine Seltenheit. Ein gezielter Angriff auf Glasfaserstrecken in der Region Paris Ende April, der bis nach Deutschland zu spüren war, rechtfertigt die Frage, ob diese Leitungen ausreichend geschützt sind. Für dieses Missing Link begeben wir uns auf Spurensuche und fragen nach möglichen Vorkehrungen, um Backbones in Europa abzusichern.
In den frühen Morgenstunden des 27. April 2022 laufen die Drähte der Mailing-Liste französischer Netzwerbetreiber, FRNOG [2], heiß. Zwei wichtige Glasfaserleitungen im Osten und Süden seien ausgefallen [3], mindestens zwei Netzbetreiber seien betroffen, lauten die ersten Mitteilungen. Das Drehkreuz Burgund-Franche-Compté sei abgeschnitten, meldete der B2B-Glasfaseranbieter Netalis. Nacheinander waren Leitungen zwischen Paris-Lyon, Paris-Straßburg und Paris-Lille ausgefallen.
Der Verband französischer Telekomunternehmen spricht wenig später von "vielen unterbrochenen Glasfaserverbindungen" in den Regionen Auvergne-RhFiber-Alpes, Bourgogne-Franche-Comté, Grand-Est und Île-de-France. Der stark betroffene Provider Free postet Bilder durchgeschnittener Kabel.
Gezielte Attacken gegen das Glasfasernetz in Frankreich
Es war sofort klar, dass es sich um einen gezielten Angriff und nicht um einen der gar nicht so seltenen Unfälle handelte, kommentierte Nicolas Guillaume, CEO der Nasca Group, zu der Netalis gehört, noch am selben Tag. "Bagger baggern nicht nachts um 3", erklärte Guillaume.
Netalis erlebte 90 Minuten Totalausfall in der Nacht, konnte aber auf andere Leitungen umschalten. "Wir haben sofort Anzeige erstattet und zivilrechtliche Ansprüche angemeldet", sagt Guillaume, der sich anders als viele Kollegen entschieden hat, offen über die Angriffe zu sprechen.
Die Ermittlungen liefen bei der Generaldirektion für innere Sicherheit der Pariser Staatsanwaltschaft und der Zentraldirektion der Kriminalpolizei zusammen. Laut einem Sprecher der Staatsanwaltschaft gehen die Ermittler nun Angriffen auf vier durchtrennte Glasfaserkabel an verschiedenen Orten in Frankreich nach. Direkt betroffen sei die Infrastruktur von zwei Unternehmen gewesen. Rund 300.000 Nutzer seien wegen ausfallender und stotternder Netzen in Mitleidenschaft gezogen worden, sagte der Sprecher der Staatsanwaltschaft gegenüber heise online. Diese Zahl erscheint der Vielzahl betroffener Netze und davon abhängiger Provider – bis hin zu einer glücklicherweise redundant ausgelegten Verbindung des DE-CIX zwischen Frankfurt und New York – sogar noch klein.
Computersabotage und Mitgliedschaft krimineller Vereinigung
Ermittelt wird wegen Sachbeschädigung zulasten nationaler Interessen (Computersabotage), Behinderung automatisierter Datenverarbeitungssysteme und Mitgliedschaft in einer kriminellen Vereinigung.
Der Angriff auf die französischen Netzverbindungen hatte eine neue Qualität, weil an mehreren Stellen fast gleichzeitig erfolgte und auch, weil er, wie Guillaume erläuterte, spezielle Abschnitte der Glasfaserinfrastruktur betraf. Es sind Segmente, die Verkehr zu internationalen Knotenpunkten – Point of Presence (PoP) – transportieren.
Wie gezielt die Angreifer genau diese Kabel ausgesucht haben, müssen die Ermittlungen zeigen. Sie hatten aber wohl leichtes Spiel. Denn einige Bilder von Orten des Geschehens zeigen Kabelschächte am Rande von Feldern, wo sich nachts ungestört die Schächte öffnen, die Faser zerschneiden und die Schachtdeckel dann wieder schließen lassen.
Bagger, Brände, Bauernzäune
Dass informationelle Hauptschlagader einfach zugänglich sind, ist nichts Ungewöhnliches, bestätigt Marc Helmus, Gründungsmitglied der DENOG, in dem sich Deutscher Network Operator zusammengeschlossen haben. Helmus ist Glasfaserexperte und weiß, wie oft Leitungen "stumpfer Gewalt" – also etwa Baggern – zum Opfer fallen. Zwar sind die Glasfaserkabel gegen Einwirkungen geschützt; einer Baggerschaufel, einem Feuer oder einem Tonnen-schweren Anker, der an ihnen zerrt, halten sie aber kaum stand.
Wird bei Tiefbauarbeiten ein Kabel beschädigt, können Techniker rasch Abhilfe schaffen. Der Ort des Geschehens ist bekannt. Solche Ausfälle gibt es mit großer Regelmäßigkeit, wie ein Blick auf die vergangenen Monate zeigt.
Vom Brand im Kabelschacht zwischen Friesack und Paulinenaue in Brandenburg, der 11.000 Menschen über ein durch eingerammte Stahlträger durchtrenntes Glasfaserkabel im Landkreis Harburg ohne Mobilfunk ließ, bis zur vom Bagger durchtrennten Leitung im Unterwesterwald – die Liste für 2022 ist schon im ersten Vierteljahr lang. Auch ein Seekabel der Deutschen Telekom (DTAG) vor Hiddensee wurde im Februar beschädigt, und zwar während Bauarbeiten für ein neues Seekabel. Laut der Baufirma hatte sie von der Telekom falsche Pläne über die Lage des alten Seekabels erhalten [4].
Die meisten Ereignisse sind lokal beschränkt. Sie betreffen einige hundert, einige tausend oder vielleicht auch einmal Zehntausende Kunden und sind überwiegend nach wenigen Stunden oder Tagen behoben. Das ist Tagesgeschäft für Netzbetreiber.
Unscharfes Bild zu Sicherheitsvorfällen bei Behörden
"Kabelrisse passieren, sowohl Seekabel also auch an Land verlegte Kabel sind betroffen", schreibt Martin Spät vom Büro des Direktors der European Network and Information Security Agency (ENISA). 6 Prozent der großen Ausfälle im Telekommunikationsbereich entfallen laut der ENISA-Statistik [5] im vergangenen Jahr auf durchtrennte Kabel. Die konsolidierte Zahl der Glasfaserunterbrechungen für 2020 liegt bei 14 Prozent, dabei sind Glasfaserausfälle verschiedenster Provenienz – also auch als Teil von Systemausfällen oder menschlichem Versagen – zusammengefasst.
Ein klares Bild über die Situation zeichnen die Daten der Behörden nicht. Die Gesamtzahl der von den Mitgliedsstaaten an die ENISA gemeldeten Sicherheitsvorfälle in Telekommunikationsnetzen erscheint mit 170 Meldungen 2021 vergleichsweise gering. Die Bundesnetzagentur (BNETZA) meldete 2021 für Deutschland insgesamt 56 Sicherheitsvorfälle. Acht Prozent davon hätten bundesweite Auswirkungen entfaltet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt die Zahl von 57 Sicherheitsvorfällen für 2021. Nicht alle der fast 60 Vorfälle werden wohl an die ENISA weitergemeldet. Sonst würden die deutschen Vorfälle allein ein Drittel der ENISA-Meldungen ausmachen.
Natürlich seien manche Vorfälle Ergebnis bösartiger Attacken, schreibt Spät in einer Antwort an heise online. So suchten Diebe nach Kupferressourcen; und auch Vandalismus sei ein Grund für die Zerstörung von vergrabenen Kabeln.
"Auf der Haben-Seite schlägt zu Buche, dass die meisten Glasfaserstrecken und Unterseekabel redundant sind", versichert Spät, fügt aber auch hinzu: "Es ist klar, dass insbesondere die Seekabel strategische Assets der EU sind und die Sorge über die Sicherheit dieser Kabel wird in Europa immer größer." Schutz vor Unterbrechungen, aber eben auch vor dem Abhören der übertragenen Kommunikation stünden im Mittelpunkt der Sorge."ENISA beschäftigt sich dieses Jahr insbesondere mit der Sicherheit von Seekabeln", erläuterte Spät.
Zerstörte Seekabel, Glasfaserstrecken und die Zeitenwende
Zerstörte Seekabel lenkten gleich Anfang des Jahres 2022 die Aufmerksamkeit von Sicherheits- und Aufsichtsbehörden wieder einmal auf das Thema der bedrohten "Schlagadern". Am 7. Januar wurde eine von zwei Leitungen des Svalbard Kabels durchtrennt [6]. Über das nicht betroffene Zwillingskabel war der Verkehr zwischen Spitzbergen und dem Festland zwar gesichert worden.
Weil wenige Wochen zuvor bereits die Seekabelinfrastruktur des Lofoten-Vesteralen Sea Observatory (LoVe) gekappt wurde, nährte der Svalbard Vorfall den bereits in vergangenen Jahren von Militärs oder US-Thinktanks wie dem Atlantic Council geäußerten Verdacht, Russland ziele sehr gezielt auf die Kommunikationsinfrastruktur westlicher Länder.
"Im schlimmstmöglichen Szenario könnte das russische Militär Dutzende von Seekabeln aufs Korn nehmen, die andere Teile von Europa mit dem globalen Internet verbinden – und die auch Verkehr von der und in die Ukraine transportieren", schrieb der Atlantic Council [7] Ende Januar 2022. Mögliche Ziele könnten die 16 Seekabel vor Irland sein und einige von ihnen zu kappen würde den Verkehrsfluss in den globalen Netzen stark beeinträchtigen – "und ein paar dieser Kabel liegen ganz in der Nähe russischer Militärübungen", menetekelte der Atlantic Council.
"Die russische Navy hat die Kompetenzen, Unterseekabel zu untersuchen und zu unterbrechen", schreibt das Militärtechnologieblatt WarZone [8]. 2021 etwa habe das russische Erkundungsschiff Yantar entlang der irischen Küste operiert und aufgrund seiner Ausstattung mit Tiefsee-fähigen Tauchbooten habe die Yantar unter dem Verdacht gestanden, die an der irischen Küste landenden Atlantikkabel auszuspähen.
Geopolitik oder…
Für Svalbard, das in den vergangenen Jahren Zankapfel zwischen Russland und Norwegen wurde, wurde ein russischer Anschlag aufs Kabel von englischsprachigen Medien rasch als plausible Erklärung beschrieben, vor allem, nachdem Norwegens Polizei eine natürliche Ursache für das Abreißen des Kabels angeblich ausgeschlossen hatte.
Dag H Stølan vom Betreiber des Svalbard-Kabels, dem Norwegian Space Agency Ableger Space Norway, will von einer eindeutigen Schuldzuweisung aber nichts wissen. "Es gibt bislang keine Bestätigung dafür, dass der Ausfall Ergebnis menschlicher Intervention ist", antwortete Stølan auf Anfrage von heise online. "Der Grund kann erst bestätigt werden, wenn die endgültigen Reparaturen abgeschlossen sind." Man möge bitte nicht vergessen, dass die Fehlerstelle in 500 bis 2000 Meter Tiefe liege. Erst die Reparatur werde es ermöglichen, Rückschlüsse auf fundierter Basis zu ziehen. Die Reparaturen würden wohl noch bis zum 3. Quartal dauern.
...Gelbwesten?
Auch im Fall der Attacken aufs französische Netz mahnt Guillaume zur Vorsicht. Zwar ist für Frankreichs Fall glasklar, dass hier keine Bagger oder Bohrer am Werk waren. Direkt eine Verbindung mit Russland und dem Ukraine-Krieg herzustellen, bleibe aber aktuell schlicht Spekulation, meint der französische Netzexperte.
"Wäre es eine große Attacke einer ausländischen Macht, würde man erwarten, dass die Attacke noch breiter angelegt ist und an anderen Stellen im Netz ansetzt", meint Guillaume. Er sei nicht paranoid, aber ganz habe er die Theorie wohl doch nicht aus dem Kopf bekommen können, trotz der sehr geringen Wahrscheinlichkeit.
Guillaume macht überdies noch auf einen anderen, mindestens ebenso plausiblen Ansatz aufmerksam. In Frankreich gibt es viele Menschen, die denken, die durchschnittenen Kabel gehen auf das Konto von Subunternehmern der Kabelfirmen – wegen schlechter Bezahlung und schlechter Arbeitsbedingungen. Am 27. April wurde nämlich auch gestreikt in vielen Firmen, die Endnutzern Anschlüsse mit Glasfaser herstellen, erläutert Guillaume.
Das bedeutet nicht, dass die Geopolitik draußen ist bei der Suche nach den Schuldigen im Krieg um die Informationshoheit. Wer ein Beispiel für die gezielte Zerstörung von Infrastruktur sehen will, muss nur in den Jemen blicken. Dort zerstöre die Saudi-UAE geführte Militärkoalition im Januar einen Kabelanlandepunkt in Al-Hudaydah am Roten Meer [9]. Und natürlich werden Historiker die Angriffe auf die ukrainische Netzinfrastruktur unter die Lupe nehmen. Da gibt es keinen Zweifel an der russischen Verantwortlichkeit.
Gegenmaßnahmen
Gegenmaßnahmen 1 – Mehr Ermittlungskapazitäten, höhere Strafen gefordert
Frankreichs große und kleinere regionale Betreiber fordern als Reaktion auf die Anschläge im April eine Verschärfung der Gesetze, höhere Strafen und auch mehr Kapazitäten für Polizei und Justiz, Anschläge auf Fiber POPs, Data Center und Glasfaser-Infrastrukturen zu ermitteln. Solche Ermittlungen dauerten derzeit oft Jahre oder verliefen im Sande, klagte ein FRNOG-Mitglied noch im April.
Arthur Dreyfuss, Präsident des französischen Telekommunikationsverbands, unterstrich in einer Mitteilung des französischen Telekommunikationsverbands [10], er warne die Behörden seit vielen Monaten vor dem Wiederaufleben böswilliger Angriffe auf die Telekom-Infrastrukturen. Nach den Mobilfunkmasten seien nun erneut Glasfasernetze das Ziel von Vandalismus und Sabotage. Die Regierung müsse präventive Maßnahmen, Verfolgung und Bestrafung intensivieren, so die Forderung.
Die Bundesnetzagentur habe gemeinsam mit BSI und Bundesdatenschutz bereits einen Katalog von Sicherheitsanforderungen [11] veröffentlicht, antwortet sie auf die Frage, ob die neue geopolitische Lage auch eine Neubewertung der Sicherheitsmaßnahmen für Glasfaserleitungen mindestens im Backbone erforderlich machen damit. Dieser werde aktuell neu gefasst – die ständige Anpassung sei übrigens Standard.
Gegenmaßnahme 2 – Resilienz
DENOG-Glasfaserkenner Helmus sieht, wie viel Arbeit im Alltag der Netzbetreiber in die Widerstandsfähigkeit von Glasfaserstrecken und Kabelstationen gesteckt wird. Die Maßnahmen reichen von der Gestaltung der Kabel und der Schächte bis zu immer ausgefeilterer Sensorik und Monitoring. Schlösser und Plomben für die Schächte können aber eben bei Arbeiten am Kabel vergessen werden.
Messungen der Kabel helfen schon heute, die Bruchstellen zu finden, wenn Vandalen und nicht Bauarbeiter oder betrunkene Landwirte am Werk waren. Doch werden auch Dinge wie noch mehr Kameraeinsatz in Schalt- und Repeater Stationen diskutiert, ebenso wie Türsensoren und digitale Sensorik, die Erschütterungen oder Temperaturänderungen rund um die liegenden Glasstrecken ins Monitoring Center zurückmeldet. Damit ließen sich Tonnen von Daten gewinnen, vielleicht fast zu viele, um die notwendigen herauszufiltern, überlegt Helmus. Zudem, selbst wenn eine eingesetzte KI Anomalien erkennt und etwa extreme Temperaturen meldet, um den Brandsatz im Kabelschacht zu verhindern, ist es dann schon zu spät [12].
Gegenmaßnahme 3 Redundanz
Nach wie vor die vielleicht beste Maßnahme zur Absicherung, da sind sich die Experten überall einig, sind redundante Verbindungen. Unverzichtbare Verkehre müssten im Zweifel möglicherweise sogar auf zwei Backup-Strecken umschalten können. Erklärte Politik ist die Redundanz bei großen Knoten wie dem DE-CIX in Frankfurt am Main. "Die Möglichkeiten, einen DE-CIX in die Knie zu zwingen, ist verhältnismäßig gering", schätzt Helmus.
Physikalischer Redundanz werde sehr großgeschrieben am DE-CIX, teilt Christoph Dietzel, Leiter Produktmanagement und Forschung & Entwicklung auf Anfrage mit. DE-CIX Kapazitäten würden daher auf verschiedene Unterseekabel aufgeteilt und dabei auch überprüft, wie die Leitungen verlaufen, um überlappungsfrei auf unterschiedlichen Unterseekabeln zu terminieren.
"Wir lassen uns dies auch von den Lieferanten bestätigen – also, wir lassen uns im Prinzip die GPS-Koordinaten der gesamten Strecke geben – und wir kaufen möglichst diverse Verbindungen auf verschiedenen Unterseekabeln und Strecken ein, damit auch bei solchen Ausfällen die Konnektivität auf jeden Fall aufrechterhalten werden kann", so Dietzel.
Maximale Diversität bedeutet aus DE-CIX-Sicht: verschiedene Betreiber, verschiedene Unterseekabel, verschiedene Vorprodukte, verteilte Plattform und Router mit inhärenter Redundanz und das Ganze nicht nur zwischen den großen Standorten wie Frankfurt und New York – davon profitierte man im Rahmen der Angriffe in Frankreich. Auch zwischen den Rechenzentren eines Standorts werde nach dem Redundanzprinzip verfahren. Denn, so Dietzel, es müsse gerade nicht ein Angriff sein, sondern es kann ein lokaler Ausfall durch Straßenbau sein.
Frankreich sei hier durch die starke Konzentration von Verkehrsflüssen auf Paris schlechter dran als Deutschland, anerkennt Guillaume, der für Netalis gerade an zusätzlichen direkten Faserstrecken zwischen Frankreich und der Schweiz arbeitet. Vor dem Ende des Jahres sollen seinen Kunden in den Genuss der direkten Leitungen zwischen Dijon und Besancon, Lausanne und Zürich kommen. Für redundante Strecken müsse noch mehr getan werden in Frankreich. Die kleinen regionalen Netzbetreiber arbeiteten dafür. Bei steigendem Preisdruck sei es letztlich an der öffentlichen Hand, diese Bemühungen um Resilienz zu unterstützen, fordert er.
Gegenmaßnahme 4 – Obskurität oder doch lieber Transparenz?
Noch eine weitere Forderung erhebt Guillaume: weniger Transparenz darüber, wo die Glasfasern liegen. Durch Seiten, die die genaue Lage preisgeben, würden sie zum Ziel.
Zugleich müssten für die Planung von Redundanz und Resilienz genaue Pläne vorhanden sein, sagt Kurt Jaeger, Geschäftsführer der Dr.-Ing. Nepustil GmbH, eines kleinen Full Service Providers. Jaeger, der im Vorstand der ISP Service eG kleinere Provider vertritt, fordert, dass verteilt vorliegende Karten zusammengeführt werden müssten, damit jemand kritische Pfade analysieren kann. Eine Studie, die das für die USA tat, kam zu alarmierenden Ergebnissen, sagt er. Dort entschied man sich tatsächlich dafür, die Informationen zur Verschlusssache zu machen.
"Natürlich sollte man solche Informationen nicht einfach ins Internet stellen", sagte Jaeger, "und natürlich ist das Sammeln an einer Stelle attraktiv für den State Actor." Aber, gegen Crowdsourcing-Ansätze wie OpenInfrastructure [13] gebe es kaum rechtliche Schranken. Daher lautet sein Rat: Analyse zulassen und Redundanzen schaffen, wo nötig auch mit staatlicher Unterstützung.
[14](bme [15])
URL dieses Artikels:
https://www.heise.de/-7123783
Links in diesem Artikel:
[1] https://www.heise.de/thema/Missing-Link
[2] https://www.mail-archive.com/frnog@frnog.org/
[3] https://www.heise.de/news/Frankreich-Unbekannte-durchtrennen-Glasfaser-Backbones-7068664.html
[4] https://www.heise.de/news/Seekabel-durchtrennt-Telekommunikation-auf-Hiddensee-ausgefallen-6525303.html
[5] https://www.enisa.europa.eu/publications/telecom-annual-incident-reporting-2020
[6] https://www.heise.de/news/Satellitenanbindung-Wichtiges-Unterseekabel-nach-Spitzbergen-ausgefallen-6321434.html
[7] https://www.atlanticcouncil.org/blogs/new-atlanticist/cord-cutting-russian-style-could-the-kremlin-sever-global-internet-cables/
[8] https://www.thedrive.com/the-war-zone/43828/undersea-cable-connecting-norway-with-arctic-satellite-station-has-been-mysteriously-severed
[9] https://www.hrw.org/news/2022/04/18/yemen-latest-round-saudi-uae-led-attacks-targets-civilians
[10] https://www.fftelecoms.org/communiques-et-dossiers-de-presse/les-operateurs-orange-sfr-free-et-la-fftelecoms-condamnent-fermement-les-actes-de-vandalisme/
[11] https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/KatalogSicherheitsanforderungen/Sicherheitsanforderungen-node.html
[12] https://www.heise.de/news/Mutmasslicher-Brandanschlag-Tausende-Berliner-ohne-Strom-und-Internet-4006291.html
[13] https://openinframap.org/%20
[14] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[15] mailto:bme@heise.de
Copyright © 2022 Heise Medien