Air Gapping, d. h. die räumliche Separierung von Systemen oder Daten, ist eine Cybersicherheitsstrategie, bei der ein System bzw. ein Datensatz von allen ungesicherten externen Netzwerken isoliert wird, einschließlich des öffentlichen Internets und unternehmenseigener LANs. Auf diese Weise werden potenzielle Wege gesperrt, über die Cyberbedrohungen kritische Systeme oder Daten erreichen könnten. Durch Eliminierung oder drastische Einschränkung der Netzwerkkonnektivität dienen räumlich getrennte Umgebungen als Pufferzone, die wichtige Vermögenswerte vor Kompromittierung von außen, Verbreitung von Malware oder unbefugtem Zugriff schützt.
Im Prinzip ist ein Air Gap (manchmal auch als Air Wall bezeichnet) eine Barriere auf Steuerungsebene, die physisch (d. h. keine Netzwerkverbindung) oder logisch (streng kontrollierte Zugangswege) implementiert werden kann. Der wesentliche Unterschied zwischen Systemen mit und ohne Air Gap ist die Konnektivität. Ein Backup-Server ohne Air Gap ist möglicherweise über APIs oder SMB-Shares erreichbar. Ein Backup-Server mit Air Gap hingegen kommuniziert mit nichts und niemandem, bzw. nur unter strikt regulierten, überwachten Bedingungen.
Dieses Konzept wird schon seit Langem beim Militär, von Nachrichtendiensten und in kritischen Infrastruktursystemen eingesetzt, in denen Geheimhaltung, Integrität und Überlebensfähigkeit unverzichtbar sind. Mittlerweile ist es jedoch auch in gewerblichen Umgebungen ein wichtiges Werkzeug als Schutz von unveränderbaren Backups, Compliance-Archiven und Notfallwiederherstellungssicherungen gegen moderne Bedrohungen wie Ransomware.
Unterschiedliche Air Gap-Konzepte
Air Gapping kann durch verschiedene architektonische Ansätze erreicht werden, die sich unterschiedlich auf Sicherheit, Handhabbarkeit und betriebliche Komplexität auswirken. Sehen wir uns die gängigsten Konzepte näher an:
Physischer Air Gap
Ein physischer Air Gap bezeichnet ein System, das vollständig von allen Netzwerkschnittstellen getrennt ist, ob verdrahtet oder drahtlos. Es sind keine Ethernet-Ports angeschlossen, es gibt kein freigegebenes WLAN und keine Verbindung zu einem externen oder internen Netzwerk. Der einzige Weg, Daten hinein- oder hinauszubefördern, ist über herausnehmbare Medien wie USB-Laufwerke, externe Festplatten oder Bänder. Dies ist die sicherste Form des Air Gapping, da sie keinerlei Fläche für digitale Angriffe bietet. Allerdings ist sie aus betrieblicher Sicht auch die aufwendigste. Datenübertragungen sind langsam, manuell und anfällig für menschliche Fehler. Sie sind auch in puncto Integritätsprüfung und Automatisierung problematisch, sofern nicht zusätzlich sichere Kontrollen (z. B. Offline-Signatur, Prüfsummenvalidierung) implementiert werden.
Beispiel: Kritische Systeme in Atomkraftwerken nutzen häufig Netzwerke mit physischen Air Gaps, um jegliche externe Kommunikation zu verhindern und die betriebliche Sicherheit und die regulatorische Compliance zu gewährleisten.
Logischer Air Gap
Ein logischer Air Gap hält die Netzwerkkonnektivität aufrecht, erzwingt aber strikte softwaredefinierte Zugangsbeschränkungen. Diese Systeme sind auf Netzwerk- oder Anwendungsebene mithilfe von Firewalls , VLANs, IAM-Richtlinien, Zugangskontrolllisten (Access Control Lists, ACLs) und rollenbasierter Authentifizierung segmentiert. Der Kerngedanke besteht darin, die Daten von allgemeinen Umgebungen aus logisch unerreichbar zu machen. Die Backup-Daten könnten beispielsweise in einem System gespeichert sein, das sich in einer separaten Sicherheitszone befindet und nur über eine spezielle Managementschnittstelle oder kontrollierte API zugänglich ist. Logische Air Gaps sind einfacher zu handhaben als physische, sie ermöglichen Automatisierung und sind einfacher zu skalieren. Allerdings müssen sie akribisch konfiguriert und kontinuierlich überprüft werden, um eine versehentliche Gefährdung oder Fehlkonfiguration zu verhindern.
Beispiel: Ein Bankinstitut segmentiert seine Backup-Infrastruktur in ein separates VLAN mit strikten ACLs, sodass die Backup-Daten von einer etwaigen Kompromittierung des Produktionsnetzwerks unberührt bleiben.
Netzwerk-Air Gap
Bei einem Netzwerk separiert der Air Gap Systeme durch Hinzufügen kontrollierter unidirektionaler Kommunikationswege zwischen einzelnen Zonen. Diese Einrichtungen umfassen häufig Datendioden, unidirektionale Synchronisation, API-Gateways oder schreibgeschützte Proxys, die den Dateneingang, nicht aber den Datenausgang zulassen. So werden Datenexfiltration oder Command-/Control-Backflows begrenzt – eine unabdingbare Voraussetzung für sichere Umgebungen. Ein Produktionssystem könnte beispielsweise Protokolle an ein schreibgeschütztes Audit-Archiv exportieren, das Daten über einen sicheren Push-Mechanismus empfängt, aber nicht antwortet. Diese Art von Air Gapping erreicht ein Gleichgewicht zwischen Isolierung und Nutzbarkeit. Allerdings sind dafür in der Regel spezielle Hardware- oder systemspezifische Proxy-Konfigurationen nötig, um die direktionale Integrität durchzusetzen.
Beispiel: Ein Auftragnehmer im Verteidigungssektor nutzt Hardware-Datendioden, um telemetrische Daten von klassifizierten internen Systemen an externe Monitoring-Tools zu senden, ohne durch einen Antwort-Kommunikationspfad exponiert zu sein.
Operational Air Gap
Ein Operational Air Gap verlässt sich nicht nur auf die Architektur. Er nutzt zeit- oder prozessbasierte Kontrollen, um den Zugang zu kritischen Daten zu beschränken. Die Systeme können per Vorgabe offline oder getrennt gehalten und nur in bestimmten Zeitfenstern oder unter menschlicher Aufsicht online gebracht werden. Gängige Implementierungen sind beispielsweise feste Firewall-Regeln, eine vom Administrator ausgelöste Kopplung sicherer Datenträger oder Cron-basiertes Schalten von Zugangspunkten. Dieses Verfahren hängt jedoch stark von der betrieblichen Disziplin ab und ist damit anfällig für menschliche Fehler. In Umgebungen, in denen eine Vollzeitisolierung nicht praktikabel ist, hat sich diese Methode trotzdem bewährt. Sie wird häufig in Backup-Workflows eingesetzt, in denen der Speicher nur kurzzeitig zum Aufspielen oder Wiederherstellen von Daten genutzt wird.
Beispiel: Ein Gesundheitsdienstleister verbindet seinen Backup-Speicher jede Nacht eine Stunde lang mit dem Netzwerk. In dieser Zeit haben nur Backup-Jobs Zugriff, anschließend wird die Verbindung zum Netzwerk automatisch wieder getrennt.
Soft Air Gap
Als Soft Air Gap werden Speichersysteme bezeichnet, die über das Netzwerk zugänglich bleiben, aber strikte Unveränderbarkeit und richtlinienbasierte Schutzmechanismen implementieren und so vor Manipulation und Löschung von Daten geschützt sind. Das ist kein Air Gap im traditionellen Sinn, da die Daten über APIs immer noch zugänglich sind. Das Verhalten entspricht jedoch dem eines Air Gap, da die Daten selbst von Nutzern mit entsprechenden Zugangsrechten innerhalb der definierten Aufbewahrungsfrist nicht geändert, überschrieben oder gelöscht werden können.
Dieses Modell wird in der Regel mit S3 Object Lock, Versionskontrolle und WORM-Erzwingung (write-once-read-many), häufig im Compliance- oder Governance-Modus umgesetzt. Konfigurierte Aufbewahrungsrichtlinien gewährleisten, dass die Daten unveränderbar sind und nicht gelöscht werden können und damit vor Ransomware und Insider-Bedrohungen geschützt sind, ohne dass auf die durch Automatisierung und Remote-Zugriff gegebenen Vorteile verzichtet werden muss.
Beispiel: Ein Medienunternehmen archiviert Produktionsdaten in einem S3-kompatiblen Objektspeicher mit Object Lock und stellt damit sicher, dass Inhalte in der Editing-Sperrfrist nicht einmal von Administratoren oder automatisierten Systemen gelöscht oder geändert werden können.
Vorteile von Air Gapping
Air Gapping ist nicht nur ein theoretisches Sicherheitsmodell, es liefert greifbaren betrieblichen Wert über mehrere Domänen hinweg. Wird das Konzept korrekt implementiert, verbessert es nicht nur die Sicherheit, sondern auch die Compliance und die Beständigkeit der Daten.
- Schutz gegen Ransomware: Moderne Ransomware-Angriffe richten sich häufig zunächst gegen Backups und Schattenkopien, um diese zu verschlüsseln oder zu löschen, bevor die primären Daten angegriffen werden. Systeme mit Air Gapping sind von Natur aus nicht zugänglich und damit immun gegen solche Angriffe.
- Wahrung der Datenintegrität: Durch die Trennung der Daten von Wegen, über die sie geändert werden könnten, stellt Air Gapping sicher, dass gespeicherte Daten langfristig unverändert bleiben. Dies ist in regulierten Branchen und Langzeitarchiven unverzichtbar, in denen Manipulationsschutz vorgeschrieben ist.
- Schutz gegen Insider-Bedrohungen: Air Gaps mindern das Risiko, das durch böswillige oder kompromittierte Insider entsteht, indem sie deren Zugriff auf die Systeme begrenzen. Bei entsprechender Durchsetzung der Zugriffskontrollen haben nicht einmal Nutzer mit Administratorrechten Zugriff auf durch Air Gapping geschützte Daten.
- Einhaltung von Vorschriften: Rahmenwerke wie SEC 17a-4, FINRA, HIPAA und DSGVO schreiben die Aufbewahrung von Daten in unveränderbarer und auditfähiger Form vor. Air Gapping trägt vor allem in Kombination mit Object Locking und Aufbewahrungsrichtlinien dazu bei, die technische Compliance nachzuweisen.
- Gesicherte Notfallwiederherstellung: im Falle einer weitreichenden Datenschutzverletzung, Fehlkonfiguration oder Systemkompromittierung sind durch Air Gapping geschützte Daten eine saubere, vertrauenswürdige Quelle für die Wiederherstellung und können diese beschleunigen und verlässlicher machen.
Fazit
In einer Welt, in der Cyberbedrohungen traditionelle Verteidigungsmechanismen aushebeln und direkt die Datensicherungs- und Wiederherstellungsinfrastruktur angreifen, ist Air Gapping eine wichtige Grundlage für Cyber-Resilienz. Unabhängig davon, ob Air Gapping physisch, logisch oder durch Richtlinien implementiert wird, bleibt das Ziel gleich: sicherzustellen, dass kritische Daten selbst im schlimmsten Fall zuverlässig vor Kompromittierung, Beschädigung oder Löschung geschützt sind.
Bei einer wirksamen Air-Gapping-Strategie müssen Sicherheit, Automatisierung und betriebliche Flexibilität im Gleichgewicht sein. Hier kommen Software-Defined Storage-Systeme wie DataCore Swarm ins Spiel. Als On-Premises S3-kompatible Objektspeicherplattform unterstützt Swarm die zentralen Grundsätze von Air Gapping durch unveränderbares Object Locking, detaillierte Zugriffskontrollen und Netzwerksegmentierung. So können Unternehmen Air Gap-ähnlichen Schutz erreichen, ohne Abstriche bei Skalierbarkeit oder Effizienz machen zu müssen.
Schließlich geht es bei Air Gapping nicht um Isolierung, sondern um Überleben, eine Fähigkeit, die in der modernen Bedrohungslandschaft den Ausschlag geben kann.
