Sicheres Internet ist keine Fiktion

Das Internet von Grund auf neu erfinden, sicherer, zuverlässiger und schneller machen – unmöglich, würden die meisten Experten sagen. Auch deshalb trug das Projekt, das Adrian Perrig 2009 an der Carnegie Mellon University aufzubauen begann, den Namen SCI-FI, kurz für «Secure Communications Infrastructure for a Future Internet». Dass sich zehn Jahre später Internet Service Provider (ISPs), Banken und Behörden für seine Technologie interessieren würden, hätte sich der junge Professor damals wohl kaum träumen lassen.

Zunächst war sich das Team rund um Adrian Perrig noch nicht einmal sicher, ob sich das Internet überhaupt sicher machen lässt. Doch die Forschenden blieben beharrlich, bis sie schliesslich nach einem Jahr Arbeit doch noch eine Lösung fanden: Eine neuartige Internetarchitektur, die viele Probleme des heutigen Internets auf einen Schlag löst und sich mit geringem Aufwand umsetzen lässt. Der alte Name passte nicht mehr, und so wurde SCI-FI zu SCION, was auf Englisch «Nachfahre» bedeutet und für «Scalability, Control, and Isolation On Next-generation networks» steht.

Um sein ambitioniertes Projekt weiter voranzutreiben, baute Perrig 2013 eine neue Forschungsgruppe an der ETH Zürich auf. Mit jeder neuen Version der Software machte das Team einen Quantensprung: SCION wurde noch sicherer, noch schneller, noch reifer. Da SCION einen Teil seiner sicherheitssteigernden Wirkung bereits im kleinen Rahmen entfaltet und problemlos mit dem alten Internet zusammenspielt, stiess das Projekt schnell auf Interesse seitens der Industrie. Bereits 2017 wollten einige Internet Service Provider und Banken in der Schweiz SCION kommerziell einsetzen. Also gründete Adrian Perrig gemeinsam mit David Basin und Peter Müller, ebenfalls Professoren am Departement Informatik der ETH, das Spin-off Anapaya Systems.

Heute beschäftigt das Unternehmen rund zehn Mitarbeitende. Zu seinen Kunden zählen Internetanbieter wie Swisscom und SWITCH sowie Finanzunternehmen wie SIX und ZKB, und die Nachfrage steigt weiter. «Zurzeit haben mehrere grosse ISPs Interesse an SCION», sagt Adrian Perrig. «Auch bei Banken, Behörden und Gesundheitsorganisationen richten wir gerade sichere Kommunikation über SCION ein.»

Auch in der Forschung ist das Projekt gefragt: Forschende und Studierende der ETH sowie anderer Universitäten entwickeln die Architektur stetig weiter. Der Kern der Software ist frei im Netz verfügbar. «An dieser Open-Source-Komponente arbeiten die Forschungsgruppen und das Spin-off gemeinsam», sagt Perrig. «Andere Komponenten vertreibt nur die Firma, zum Beispiel das Management-System.»

Neue Architektur gegen alte Schwächen

Doch warum sollte man das Internet überhaupt neu erfinden? Das Grundgerüst der Internetkommunikation entstand in den Achtzigerjahren, als noch niemand ahnte, welche zentrale Rolle es einst in der Gesellschaft einnehmen würde. Teilweise werden zur Datenübertragung noch immer dieselben Protokolle eingesetzt wie schon vor 25 Jahren. Das macht das Internet angreifbar: Datenpakete können von Cyberkriminellen umgeleitet werden, Sicherheitszertifikate werden gefälscht, Distributed-Denial-of-Service-Attacken (DDoS-Attacken) setzen Internetdienste mit zahllosen überflüssigen Anfragen ausser Gefecht. Manchmal braucht es nicht einmal eine böse Absicht: Ein einfacher Konfigurationsfehler an einem Router kann zu grossflächigen Internetausfällen führen.

Zwar gibt es vereinzelte Lösungsansätze für diese Probleme, doch schaffen sie meist nur symptomatisch Abhilfe, gehen mit Einbussen der Bandbreite einher oder beschränken sich auf einzelne Internet-Domänen. Für das globale Netzwerk gibt es kaum Lösungen. «Die gängige Ansicht ist, das globale Internet könne man unmöglich verändern», erklärt Adrian Perrig. «Deshalb hat es ausser uns kaum jemand versucht.»

Die Beharrlichkeit der Forschenden hat sich gelohnt: SCION verhindert DDoS-Attacken und unberechtigte Umleitungen und macht das Internet schneller und stabiler. Das wird auf zwei Arten erreicht: Einerseits wird das Internet in Untereinheiten eingeteilt, andererseits funktioniert das Routing von Datenpaketen, also ihre Weiterleitung durch das Netz vom Sender zum Empfänger, anders.

Das Internet besteht aus einer Vielzahl lose verknüpfter Netzwerke. Ein Beispiel für ein solches Netzwerk ist ein ISP wie Swisscom oder SWITCH samt all seinen Kunden. Die Kommunikation zwischen den zahlreichen unterschiedlichen Netzwerken ist besonders anfällig für Fehler und Attacken. So ist es möglich, dass ein Datenpaket, das von Zürich nach Bern unterwegs ist, über andere Länder wie etwa Russland umgeleitet wird, ohne dass Sender und Empfänger etwas davon merken.

SCION fasst jeweils mehrere Netzwerke zu sogenannten Isolation Domains (ISDs) zusammen. Die ISDs können beispielsweise geografisch eingeteilt sein, sodass alle Schweizer Netzwerke einer ISD angehören. Die Kommunikation zwischen zwei Netzwerken in derselben Isolation Domain verlässt diese ISD nicht. So gilt für den internen Datenverkehr eine einheitliche Rechtsgrundlage und vertrauliche Daten können nicht über andere Länder umgeleitet werden. Mehr Internetzensur braucht man laut Perrig nicht zu befürchten, denn ein weiteres Merkmal von SCION ist die Transparenz des Netzwerks. «Sie als Endkunde können sehen, wo Ihre Datenpakete durchgehen», erklärt er. «Jegliche Sperren oder andere Eingriffe ins Netz sind somit klar sichtbar.»

Diese Transparenz erreicht SCION, indem es das Routing von Datenpaketen grundsätzlich anders löst. Während Pakete heute «blind» von einem Router zum nächsten weitergereicht werden, «weiss» ein SCION-Datenpaket, wo es durch muss. Da ihm jeweils mehrere Pfade zur Auswahl stehen, kann der jeweils schnellste Pfad verwendet werden, wohingegen Datenpakete im heutigen Internet durch Angriffe oder Routing-Fehler auf Umwege geschickt werden oder ganz verloren gehen können. SCION-Router haben zudem das Potenzial, effizienter und stromsparender zu sein. «Bei einem grossflächigen Einsatz von SCION würde das Internet rund fünf Prozent weniger Strom verbrauchen», sagt Adrian Perrig.

Mathematisch bewiesen

Ein sicheres Internet – zu schön, um wahr zu sein? «In fast zehn Jahren Forschung haben wir noch keine grossen Sicherheitslücken bei SCION gefunden», sagt Perrig. «Es gibt neue Arten von Angriffen, die nur auf SCION möglich sind, ihre Konsequenzen sind allerdings viel milder als im heutigen Internet. Es ist, wie wenn jemand mit einer Wasserpistole anstatt mit einer echten Feuerwaffe schiesst: Es ist zwar unangenehm, aber der Schaden hält sich in Grenzen.»

Sicherheit ist ein rares Gut im heutigen Internet. So überrascht es auch nicht, dass jede neue «sichere» Lösung mit Skepsis betrachtet wird. Das Team hinter SCION arbeitet daran, die Zweifel zu beseitigen. Hier setzen die beiden anderen Mitgründer von Anapaya Systems an: Peter Müller ist der Leiter des Chair of Programming Methodology, David Basin leitet die Information Security Group. Als Experten auf ihrem jeweiligen Fachgebiet arbeiten sie daran, die Sicherheit und Korrektheit von SCION mathematisch zu beweisen. David Basin erklärt es folgendermassen: «Ein SCION-Netzwerk kann als ein grosses verteiltes System aus Routern und Host-Computern betrachtet werden, die Daten nach bestimmten Regeln austauschen. Dieses ganze System kann man als ein mathematisches Objekt darstellen und dann seine Eigenschaften beweisen, beispielsweise, dass kein Angreifer den Pfad eines Datenpakets verändern kann.»

In der Theorie lässt sich also mathematisch herleiten, dass SCION hält, was es verspricht – vorausgesetzt, die einzelnen Komponenten, beispielsweise die Router, funktionieren ebenfalls genau nach Spezifikation. Das ist das Gebiet von Peter Müller: «Davids Gruppe beweist, dass das System als Ganzes bestimmte Eigenschaften hat. Meine Gruppe zeigt, dass jede Komponente tut, was sie sollte, und dass der Code stabil und sicher ist.» Das Zusammenführen dieser beiden Beweisebenen würde SCION das Attribut «fully verified» verleihen – ein entscheidender Wettbewerbsvorteil. Aber so einfach ist es nicht. SCION ist komplex und entwickelt sich stetig weiter. Trotzdem hoffen die Forschenden, den vollständigen Beweis in den nächsten Jahren erbringen zu können. Gemäss Basin lohnt sich dieser Aufwand. «Auf diese Weise kann man wirklich Vertrauen in die Technologie haben», sagt er. «Man kann sicher sein, dass es keine Backdoors gibt. Das ist einmalig.» Ausserdem lassen sich durch die Anwendung Formaler Methoden auch mögliche Verbesserungen des Designs und der Implementierung des Systems finden.

Sicheres Internet für die ETH

Wie lange dauert es also noch, bis das gesamte Internet auf die vielversprechende neue Technologie umgestellt wird? «Es braucht Zeit, teilweise Jahrzehnte, bis sich eine neue Technologie durchsetzen kann», erläutert Müller. Die grössten Hürden für einen Wechsel sind administrativ. Die neue Architektur bedingt eine Umschulung von Netzwerkadministratoren. Auch das Erlangen von kryptografischen Zertifikaten wird etwas aufwendiger: Bei dem auf Sicherheit getrimmten System braucht jede Domäne zwingend ein solches Zertifikat. Ob SCION jemals weltweit zur Anwendung kommen wird, ist noch offen. Aber das ist laut Peter Müller auch nicht unbedingt das Ziel. «Jede Verbindung über SCION macht die Kommunikation ein Stückchen sicherer», sagt der Forscher.