Der Ethernet Switch und Cybersecurity

Cybersecurity im ÖPNV nur ein Hype?

Noch ist es nicht soweit, aber wir sind kurz davor: Der Begriff Cybersecurity beginnt in der ÖPNV-Branche zu einem Hype zu avancieren und damit Buzzwords wie smart, künstliche Intelligenz, IoT und Industrie 4.0 zu folgen.

Es ist unumstritten richtig, sich um die Themen Datenschutz, Datenintegrität und Dienstverfügbarkeit zu kümmern und Mechanismen zu entwickeln, um Unbefugte fernzuhalten. Dafür wird zunächst eine Analyse von Risiko, Szenarien und Motivation eines Cyberangriffes sowie von potentiellen Schwachstellen erstellt. Daraus leiten sich Maßnahmen und Regeln ab, deren Wirksamkeit davon abhängt, wie sie in der Systemarchitektur und -integration, aber auch im täglichen operativen Betrieb umgesetzt werden.

Die Schwachstelle in der IT ist nicht die Hardwarekomponente selbst.

Die Schwachstelle in der IT ist nicht die Hardwarekomponente selbst. Ein Beispiel, welches das veranschaulicht ist der Cyberangriff auf Uber im September 2022, bei dem die Kompromittierung durch einen gültigen Anwenderkonto und die Zugangsdaten eines Mitarbeiters erfolgte.

Eine Frage wie “Trägt der Ethernet Switch zur Cybersecurity bei?“ ist folglich so nicht zutreffend. Wie man leicht erkennen kann, ist Cybersecurity kein Feature einer einzelnen Komponente. Das gilt auch dann, wenn ein Gerät die Anforderungen nach IEC 62443 erfüllt oder der Hersteller ein Zertifikat für eine Komponente nach IEC 62443-4-2 oder ISO 21343 vorlegen kann.

Eine Komponente allein kann keinen ausreichenden Schutz gewährleisten. Es ist ohnehin fraglich, ob die genannten Standards bei Systemen zur Fahrgastinformation und Fahrgastzählung, Entwerter oder Videoüberwachung im ÖPNV zutreffend sind. Der Hype um den Begriff Cybersecurity treibt aber die Marktteilnehmer dazu, diese Standards stumpf zu konsumieren.

>> Lesen Sie auch: Cyber Security bei der Vernetzung im ÖPNV

Auf die Technik kommt es an

Es führt kein Weg dran vorbei, dass ein Systemarchitekt die Komponenten technisch evaluiert. Nur so können wirksame Schutzmaßnahmen definiert werden. Die Analyse erfolgt top-down – von der Anwendungs- und Systemschicht hin zur Komponentenebene. Für Komponenten gilt es aus technischer Sicht zu evaluieren, inwiefern sie eine Schwachstelle für das angedachte Angriffsszenario darstellen und wie sie mit ihren Funktionen zum Cyberschutz beitragen können.

Das technische Know-how zur Komponente und deren Technologie kann niemand besser erklären als der Hersteller selbst. Daher sollten sich Cyberschutzverantwortliche immer zuerst mit dieser einen Frage an die Komponentenhersteller wenden: „Wie ist die Funktionsweise des Geräts?“

Mit diesem Beitrag gehen wir genau dieser Frage nach und erläutern die grundlegende Architektur eines Ethernet Switches. Wir betrachten den Ethernet Switch als ein eigenständiges Gerät, das die Kommunikation auf Layer 2 im lokalen IP-Netzwerk herstellt, so wie es typischerweise im Linienbus oder Tram der Fall ist.

Die Architektur eines Ethernet Switches

Primäre Funktion

Der Ethernet Switch stellt einen Knotenpunkt in einem lokalen Netzwerk (LAN) dar. Seine primäre Funktion besteht darin, Teilnehmer zu einem Netzwerk auf physikalischer Ebene zu verbinden (Layer 1) und die Adressierung jedes Teilnehmers auf logischer Ebene (Layer 2) zu ermöglichen.

Switching Engine

Das Kernstück ist die Switching Engine. Sie beinhaltet eine Queue-Control-Einheit sowie eingehende (ingress) und ausgehende (egress) Buffer. Die eigentliche Datenvermittlung erfolgt vollständig in der Hardware. So ist die Datenvermittlung mit sehr geringer Latenzzeit (µs-Bereich) möglich.

Adressierung

Die Adressierung in einem Layer-2 Switch basiert auf MAC-Adressen. Jeder Teilnehmer hat eine weltweit einmalige MAC-Adresse (bspw. FC:FA:B7:01:02:03). Die Kommunikation erfolgt in Datenpaketen (Frames). Jedes Datenpaket beinhaltet eine Empfänger-MAC-Adresse (DA) und eine Absender-MAC-Adresse (SA). Anhand DA entscheidet die Queue-Control-Einheit, an welchen Port das ankommende Datenpacket geleitet wird. Die Adressen werden dafür in einer MAC-Tabelle hinterlegt. Die Aktualisierung der MAC-Tabelle erfolgt automatisch, indem die Queue-Control-Einheit die Zuordnung von Port und Absender-MAC-Adresse (SA) speichert.

Policy

Ein Managed Ethernet Switch bietet die Möglichkeit, Einstellungen (Policy) für ankommende oder ausgehende Buffer vorzunehmen. Die Policy-Einstellung erlaubt außerdem die Nutzung von Filter, die zur bedingten Weiterleitung oder Weiterverarbeitung der Pakete eingesetzt werden. Dadurch wird die Unterstützung von VLAN und Spanning Tree (STP/RSTP) oder DHCP-Optionen ermöglicht.

Die Policy wird mittels einer Control Interface eingestellt. In der Regel ist das die Management-Schnittstelle. Diese Einstellung wird üblicherweise als Konfiguration des Switches bezeichnet. Die Managementdienste sind Softwareprogramme, die in einem embedded Betriebssystem (Management OS) laufen.

Administration

In der Regel bietet ein Managed Ethernet Switch mindestens zwei Schnittstellen für die Administration: Einen lokalen Service-Port, der nicht netzwerkfähig ist und oft als USB- oder serieller Port ausgeführt ist; und ein netzwerkfähiges Protokoll, das den Zugang zu Management-Diensten über das Netzwerk ermöglicht. Nach außen verhält sich diese Schnittstelle wie ein gewöhnlicher Teilnehmer und ist über IP im Netzwerk adressierbar. In der Switching Engine wird dazu ein spezieller Port bereitgestellt, der interne Management-Port.

Der Management-Port kann sowohl gewöhnliche Pakete als auch Management-Frames verarbeiten. Die Management-Frames sind als solche getaggt und werden immer vom Queue Control zum Management-Port geleitet. Dort entscheidet die Logik, also die Software oder der Dienst, wie diese Frames prozessiert werden. Diese Dienste sind im Netzwerk über eine IP-Adresse erreichbar und gehören zu den Layern 4-7. Wer einen Zugang zu den Management-Services hat, hat auch die Kontrolle über das Gerät.

Der Ethernet Switch ist keine Firewall

Ein Layer-2 Ethernet Switch vermittelt die Daten der Teilnehmer ohne den Frame-Inhalt bzw. die eigentlichen Nutzdaten zu analysieren. Wie man in der Architekturdarstellung leicht erkennen kann, erfolgt die Vermittlung ausschließlich auf einer Hardwareebene in einem sogenannten ASIC (Application Specific Integrated Circuit).

Die Management-Software im Layer-2 Ethernet Switch kann mangels Rechenleistung die Ethernet-Frames, die zwischen den Teilnehmern zu übertragen sind, nicht in der nötigen Geschwindigkeit simultan prozessieren, so dass daraus eine nützliche Applikation entstehen kann. Der Durchsatz der Datenvermittlung wird drastisch eingeschränkt, sobald die Management-Software in die Paketverarbeitung eingreift. Aus diesem Grund ist eine Paketinspektion im Layer-2 Ethernet Switch nicht sinnvoll. Das gilt auch für die Verschlüsselung auf Layer-3 (IPsec) und für jegliche softwareseitigen Firewall-Mechanismen.

Softwareupdate und Sicherheit

Bei einem Software-Update eines Layer-2 Ethernet Switches wird die Management-Software erneuert. In der Regel wird das gesamte Image ausgetauscht. Einbettung fremder Services in das Image ist von extern kaum praktikabel, Services können nur herstellerseitig eingebaut werden. Updates von ASIC-Funktionen sind technisch in diesem Kontext nicht möglich.

Fazit: Was hat der Ethernet Switch mit Cybersicherheit im Netzwerk zu tun?

Die technischen Gegebenheiten eines Ethernet Switches sprechen für sich: Ein Layer-2 Switch vermittelt Daten anhand von MAC-Adressen; Managed Switches bieten Dienste auch auf höheren Layern an. Für eine Paketinspektion ist der Switch nicht gebaut und kann deswegen keine Firewall-Aufgaben übernehmen. Auf Software-Ebene bergen Updates keine Gefahren, da das gesamte Image kontrolliert ausgetauscht wird. Wenn es um das Thema Cybersecurity im IP-Netzwerk geht, sollte die Aufmerksamkeit in erster Linie auf das System und in zweiter Linie auf mögliche Angriffsmotive und Szenarien gerichtet werden. Erst danach können einzelne Netzwerkteilnehmer unter die Lupe genommen werden.