Testen Sie Ihre Adresse:
Ende September 2024 hat SIX das Finance IPNet abgeschaltet, das Netz, das die Banken jahrelang mit den Interbank-Zahlungssystemen verbunden hat. Der Nachfolger heisst Secure Swiss Finance Network (SSFN) und beruht auf einer Technologie aus der ETH Zürich, dem Protokoll SCION. Für die IT-Leitung einer Bank oder eines Vermögensverwalters ist das kein Infrastrukturdetail, sondern der Zugang zum Clearing-System SIC, der das Schloss gewechselt hat. Die Frage ist nicht mehr, ob SCION auf dem Papier überzeugt, sondern wer migrieren muss, in welcher Frist, und wo dieses Mass an Netzsicherheit überdimensioniert ist. Hier sind die Antworten, ohne den üblichen Marketinglack.
Das Internet, das alle nutzen, beruht auf einem Routing-Protokoll aus den 1980er-Jahren, BGP.. Es funktioniert, hat aber einen strukturellen Mangel, niemand kontrolliert wirklich den Weg, den die Datenpakete nehmen. Eine fehlerhafte oder böswillige Routenankündigung am anderen Ende der Welt kann Schweizer Verkehr umleiten, das nennt man BGP-Hijacking.. Für eine Interbank-Transaktion ist diese Unsicherheit nicht akzeptabel.
SCION, kurz für Scalability, Control and Isolation On Next-generation networks, wurde genau dafür entworfen, die Kontrolle über den Weg zurückzugewinnen. Statt das Netz allein entscheiden zu lassen, wählt der Absender, über welche Routen seine Pakete laufen, und kann erzwingen, dass sie im Inland bleiben. Der Weg ist Ende-zu-Ende authentifiziert, was eine Umleitung technisch sehr schwierig macht.
Die Architektur gliedert sich in Isolationsdomänen, die Isolation Domains oder ISD. Jede bündelt eine Reihe von Netzen, die einander vertrauen und denselben Vertrauensanker teilen. Ein Ausfall oder ein Konfigurationsfehler in einer Domäne breitet sich nicht auf die anderen aus, daher das Wort Isolation. Konkret hat ein Vorfall in einem ausländischen Netz keinen Grund, den Austausch zwischen zwei Schweizer Banken in derselben Domäne zu beeinträchtigen.
SCION ist kein akademisches Versprechen. Das Protokoll wurde vom Team um Professor Adrian Perrig an der ETH Zürich entwickelt und danach von der Spin-off Anapaya Systems in den Produktivbetrieb gebracht, gegründet 2017. Es läuft heute auf mehreren operativen Netzen, darunter das SSFN für die Finanzbranche, aber auch dedizierte Netze für Gesundheit, Energie und Forschung. Die Reife ist da, und die Herkunft ist durchgehend schweizerisch.
Das Secure Swiss Finance Network ist eine gemeinsame Initiative der Schweizerischen Nationalbank (SNB) und von SIX, dem Betreiber der Finanzmarktinfrastrukturen. 2021 lanciert, ist es nach dem Aus von Finance IPNet zum einzigen Zugangsweg für die Clearing-Dienste geworden.
Das SSFN trägt den kritischen Austausch des Finanzplatzes, allen voran das Interbank-Zahlungssystem SIC. Zur Einordnung, das SIC verarbeitet im Schnitt rund 200 Milliarden Franken und 2,6 Millionen Transaktionen pro Tag. Mehr als hundert Teilnehmer sind bereits angebunden. Es geht also um ein Produktivnetz, das den Kern des nationalen Zahlungssystems betreibt, nicht um ein Pilotprojekt.
Die Umstellung ist für die betroffenen Institute keine Option. SIX hat bereits Ende 2022 das Aus von Finance IPNet angekündigt, wirksam Ende September 2024. Jeder SIC- oder euroSIC-Teilnehmer, der weiter mit der Infrastruktur austauschen will, läuft nun über das SSFN. In der Praxis braucht die Migration eines Instituts meist drei bis sechs Monate vom Entscheid bis zur Inbetriebnahme, die physische Anbindung eingerechnet.
Das SSFN wird nicht von einem einzigen Akteur betrieben. Es ist ein Multi-Operator-Netz, das heisst, Sie wählen den Zugangsanbieter, der Sie anbindet, mit seinen eigenen Servicegarantien. Hier kommt ein Schweizer Telekomanbieter ins Spiel, der eine zertifizierte Anbindung liefern kann, Thema des letzten Abschnitts.
Das ist die Frage, die kommerzielle Präsentationen umgehen. SCION und das SSFN sind bemerkenswert, aber sie richten sich nicht an alle. Hier die Abwägung nach Profil, klar entschieden.
| Profil | Vom SSFN betroffen | Relevanz von SCION | Verdikt |
|---|---|---|---|
| Bank als SIC- oder euroSIC-Teilnehmer | Ja, Zugang obligatorisch | Hoch | Migration zwingend, zu planen |
| Service-Bureau und Dienstleister für SIC-Flüsse | Ja, indirekt | Hoch | Migration nötig, um in der Kette zu bleiben |
| Vermögensverwalter, Versicherung | Nur bei direktem SIC-Austausch | Mittel | Zu prüfen, oft über einen Bankpartner |
| KMU, E-Commerce, Standardindustrie | Nein | Gering bis keine | Überflüssig, ein VPN oder MPLS genügt |
| Gesundheit, Energie, sensibler öffentlicher Sektor | Nicht über SIC betroffen | Aufkommend | Dedizierte SCION-Netze in Entwicklung |
Ein Punkt gehört klar gesagt. Wenn Ihr Unternehmen nicht mit der SIC-Infrastruktur austauscht, haben Sie keine Pflicht zur Migration auf das SSFN und kurzfristig wohl auch kein Interesse daran. Um zwei oder drei Standorte mit gutem Sicherheitsniveau zu verbinden, deckt ein verschlüsseltes Business-VPN den Bedarf ohne die Komplexität einer zertifizierten Anbindung. Für latenzempfindlichen Austausch über mehrere Standorte bleibt ein MPLS-Netzwerk mit Redundanz die Standardantwort. SCION wird relevant, wenn die Souveränität des Wegs und die Ende-zu-Ende-Authentifizierung zur Anforderung werden, nicht zum Komfort
Die Finanzbranche hat den Weg geöffnet, doch das Modell wiederholt sich. Dedizierte SCION-Netze entstehen für das Gesundheitswesen, für Energieversorger und für den Kartenzahlungsverkehr. Eine Versicherung oder eine Gesundheitseinrichtung, die hochsensible Daten verarbeitet, kann also mittelfristig von einem gleichwertigen Vertrauensnetz betroffen sein, ohne über das finanzielle SSFN zu laufen. Das ist ein Trend, den man beobachten sollte, noch keine allgemeine Pflicht.
SCION auf eine regulatorische Pflicht zu reduzieren, wäre ein Fehler. Das Protokoll bringt echte operative Vorteile, die das Interesse über die SIC-Teilnehmer hinaus rechtfertigen.
SCION nutzt mehrere Wege gleichzeitig, das ist Multipathing. Fällt ein Weg aus, wechselt der Verkehr in weniger als einer Sekunde auf einen anderen, ohne Eingriff. Wo ein klassisches Netz von einem manchmal langsamen Wiederherstellungsmechanismus abhängt, behandelt SCION Redundanz als Dauerzustand. Für einen Handelsraum oder ein Zahlungssystem macht diese Kontinuität den Unterschied.
Viele Unternehmen haben ihre Daten in Schweizer Rechenzentren zurückgeholt, und das ist gut so. Doch zwischen zwei Standorten kann der Verkehr weiterhin über ausländische Netze laufen, ohne dass es jemand merkt. SCION erlaubt das Geofencing des Wegs, also zu erzwingen, dass die Pakete im Land bleiben. Die Souveränität endet nicht mehr dort, wo die Daten ruhen, sie reicht bis zur Route, die sie nehmen.
Die Authentifizierung des Wegs macht BGP-Hijacking sehr schwer ausnutzbar. Dazu kommen ein Schutz gegen verteilte Überlastangriffe und eine Verschlüsselung, die pro Netzsegment anwendbar ist. Für die sensibelsten Domänen ist der Zugang an Zertifikate gebunden. Sicherheit ist keine aufgesetzte Schicht, sie ist Teil der Architektur.
SCION zu verstehen ist eine Sache, es zu betreiben eine andere. Die Anbindung folgt klaren Voraussetzungen, die man einplanen muss.
Der SCION-Zugang für das SSFN beruht auf einer Anbindung über dedizierte Glasfaser, vom Typ FTTO. Ein Consumer-Anschluss über VDSL oder geteilte Glasfaser eignet sich nicht, weil er weder die Bandbreitengarantie noch die nötige Isolation bietet. Der Zugang zu sensiblen Domänen ist zudem an Zertifikate gebunden, die im Rahmen der SSFN-Governance verwaltet werden. Bei Standorten ohne dedizierte Glasfaser ist die Tiefbaufrist oft der eigentliche Engpass, weshalb sich frühzeitige Planung lohnt, bei passender Infrastruktur auch eine Anbindung über Dark Fiber.
In einem Multi-Operator-Netz bestimmt die Wahl des Zugangsanbieters die reale Servicequalität. Ein seriöser SCION-Zugang geht mit einer Verfügbarkeitszusage in der Grössenordnung von 99,95 Prozent und einer garantierten Wiederherstellungszeit von vier Stunden einher. Celeste, seit über fünfunddreissig Jahren Schweizer Telekomanbieter mit eigener Infrastruktur und Niederlassungen in Genf, Lausanne, Basel, Zürich und Bern, bietet diese Anbindung als SCION Access für Finanzinstitute an, die auf das SSFN migrieren. Die Dimensionierung, Bandbreiten und Anzahl Standorte, wird je nach Adresse und realem Bedarf offeriert.
Das auf SCION gebaute SSFN ist seit dem Aus von Finance IPNet der obligatorische Zugangsweg zum SIC-Clearing, und die betroffenen Teilnehmer haben beim Zeitplan keine Wahl. Für alle anderen bleibt SCION eine bemerkenswerte, aber oft überdimensionierte Technologie, reserviert für Flüsse, die wirklich Wegsouveränität verlangen. Der richtige Reflex ist nicht, dem Trend zu folgen, sondern Ihren Austausch präzise zu qualifizieren und dann das anzubinden, was angebunden gehört, mit einem Anbieter, der das erwartete Serviceniveau garantieren kann. Für den zertifizierten Zugang selbst ist SCION Access der direkte Einstieg.
| Kriterium | IPsec-VPN | MPLS | SCION |
|---|---|---|---|
| Souveränität des Wegs | Nicht garantiert | Teilweise | Nativ, Geofencing |
| Widerstand gegen BGP-Hijacking | Gering | Gering | Hoch by Design |
| Natives Multipathing | Nein | Je nach Angebot | Ja, Umschaltung unter einer Sekunde |
| SSFN-Compliance | Nein | Nein | Ja |
| Typischer Anwendungsfall | Aussenstellen, Homeoffice | Latenzempfindliche Multistandorte | SIC-Austausch, hohe Souveränität |
| Nötige Anbindung | Standard-Internet | Betriebene Leitung | Dedizierte Glasfaser FTTO |
Unsere Datenschutzbestimmungen einschliesslich unserer Online-Datenschutzerklärung sowie die Möglichkeiten zum Widerruf der Datenverarbeitung oder zur Abbestellung von Newslettern finden Sie hier: Datenschutzbestimmungen
Unsere Datenschutzbestimmungen einschliesslich unserer Online-Datenschutzerklärung sowie die Möglichkeiten zum Widerruf der Datenverarbeitung oder zur Abbestellung von Newslettern finden Sie hier: Datenschutzbestimmungen
