Hintergrund
Wie Sie vielleicht wissen, stammt der Begriff „Firewall“ ursprünglich von einer physischen Barriere in Gebäuden und Fahrzeugen, die dafür sorgt, dass sich ein Brand nicht von einem Raum oder Bereich zum nächsten ausbreitet. Diese physischen Firewalls haben Zeit-/Temperaturratings, die in Stunden gemessen werden und angeben, wie lange sie bei einer bestimmten Temperatur standhalten, bevor sie unweigerlich versagen. Weder physische noch softwarebasierte Firewalls sind dafür ausgelegt, dauerhaft zu halten. Solange das Feuer oder die Bedrohung jedoch gestoppt wird, bevor die Firewall versagt, erfüllt sie ihre Aufgabe, die übrigen Abschnitte der Struktur bzw. des Netzwerks zu schützen.
Datendioden hingegen basieren auf kompromissloser Technologie, die ursprünglich entwickelt wurde, um unautorisierte Zugriffe auf nukleare Waffensysteme zu verhindern. Sie erzwingen eine physische Trennung oder „Air-Gap“ zwischen Netzwerksegmenten, die durch die Gesetze der Physik garantiert wird – Daten können niemals in die entgegengesetzte Richtung fließen, und Angreifer können daher nicht über eine Datendiode in Netzwerke eindringen. Es gibt kein Stunden-Rating, keine Anzahl von Brute-Force-Versuchen, die sie überwinden könnte, und selbst im Ausfallzustand sind sie absolut sicher: Es besteht schlicht keine Verbindung mehr.
Firewalls
Firewalls beruhen auf flexibel konfigurierbarem Code, der – analog zur physischen Firewall – Bedrohungen zwar verlangsamt, sie aber nicht zwangsläufig vollständig aufhält. In vielen Fällen, insbesondere wenn zusätzliche Inspektionsfunktionen zum Einsatz kommen, reicht die softwareseitige Barriere einer Firewall aus, um kleinere Angriffe abzuwehren, so wie eine physische Firewall ein kleines Feuer zurückhalten würde. Moderne Cyber-Bedrohungen gleichen jedoch koordinierten Angriffen mit Flammenwerfern, die gleichzeitig von mehreren Seiten auf jedes Segment gerichtet sind. Firewalls wurden nie dafür konzipiert, solche großangelegten Angriffe vollständig zu stoppen, und niemand sollte das von ihnen erwarten.
Datendioden
Im Gegensatz dazu trennen hardwarebasierte Datendioden Netzwerke physisch von externen Bedrohungen durch einen echten Air-Gap. Ihre fehlende routbare, konfigurierbare Konnektivität schränkt zwar die Flexibilität ein, trägt jedoch maßgeblich zur Sicherheitsstärke bei. Hochentwickelte Angriffe können sogar komplexe Zugriffsrechte, Passwörter, Multi-Factor-Authentication oder Biometrics überwinden, doch die physische Lücke einer Datendiode mit elektronischen Mitteln zu überwinden, bleibt unmöglich. Datendioden wurden entwickelt, um genau das zu schützen, was niemals kompromittiert werden darf, und gehören nach wie vor zu den stärksten Cyber-Security-Maßnahmen.
Sicherheit
Ob Datendioden sicherer sind als softwarebasierte Firewalls, steht außer Frage – das sind sie. Owl-Datendioden arbeiten mit einem hardwarebasierten Sicherheitsmechanismus und gewährleisten 100 %ige Vertraulichkeit und Segmentierung zwischen Netzwerken, während Firewalls rein auf konfigurierbaren Code und Policies setzen. Datendioden sind unempfänglich für Software-Bugs, Zero-Day-Exploits oder Fehlkonfigurationen, die Firewalls häufig gefährden. Zudem bieten sie Schutz vor dem Unbekannten: Sie benötigen weder regelmäßige Patches noch Wartung, und ihr Sicherheitsmechanismus wird im Laufe der Zeit nicht schwächer.
Virtuelle vs. Physische Segmentierung
Wie eine physische Brandschutzwand bieten softwarebasierte Firewalls keine echte Trennung der Netzwerksegmente, sondern lediglich eine virtuelle Barriere. Cyber-Bedrohungen können diese Barriere mit ausreichend Zeit und Ressourcen durchbrechen. Firewalls enthalten zudem „Löcher“ oder Ausnahmen, durch die Daten – und potenziell auch Angriffe – hindurchgelassen werden. Wer diese Öffnungen kennt, kann die Abwehr noch schneller überwinden.
Würde man die physische Firewall-Metapher auf eine Datendiode übertragen, entspräche das eher dem vollständigen baulichen Trennen zweier Gebäudeteile (bzw. Netzwerksegmente). Um den geschützten Bereich zu erreichen, müsste ein Angreifer die Bedrohung physisch vom einen Abschnitt zum anderen transportieren – also die Segmente wieder verbinden.
Funktionen
Nicht die Sicherheit, sondern lange Zeit die Kommunikationsfähigkeit stellte die eigentliche Frage: Können Datendioden denselben hohen Funktionsumfang und dieselbe Flexibilität bieten, die Firewalls zum traditionellen Mittel der Netzwerksicherheit gemacht haben? Owl hat Jahrzehnte in Ingenieurskunst und intelligentes Design seines Software-Layers investiert, der auf der patentierten Hardware-Plattform aufbaut. Diese ausgeklügelte Schicht aus Konnektivität, Kompatibilität und Funktionalität hebt Owl-Datendioden von anderen unidirektionalen Netzwerkprodukten ab und bietet eine Lösung, die sowohl in puncto Sicherheit Firewalls übertrifft als auch vergleichbare Kommunikationsmöglichkeiten bereitstellt.
Zusammenfassung
Mit modernster Datendiode-Technologie von Owl ist der Fähigkeitsunterschied zu Firewalls aufgehoben: Hardware-erzwungene Air-Gap-Sicherheit trifft auf vollwertige Kommunikationslösungen bei niedrigerem Gesamtbetriebskosten. Owl-Datendioden sind einfacher zu installieren und zu warten als Firewalls, in vielen Varianten – auch als bidirektionale Lösungen – erhältlich und preislich wettbewerbsfähig. Während Firewalls wohl weiterhin als Standard-Absicherung „abgehakt“ werden, gehen Owl-Datendioden weit darüber hinaus und gewährleisten heute und in Zukunft zuverlässige, unbesiegbare Sicherheit.
