Unbekannte Schwachstellen von Servern

Der Schlüssel unter der Fußmatte, ein gekipptes Fenster oder eine schlecht gesicherte Kellertür: Bequemlichkeit und Unvorsichtigkeit laden Diebe geradezu ein. Nicht viel anders sieht es bei der IT-Infrastruktur aus. Die Cyberkriminellen haben massiv aufgerüstet und nutzen jede nur erdenkliche Lücke für ihre Raubzüge aus. Zwar stehen Unternehmen heute modernste Technologien zur Verfügung, um sich gegen Hacker zu wehren. Der beste Schutzwall bringt jedoch wenig, wenn vergessene oder unerkannte Sicherheitslücken zum Einfallstor für die Kriminellen werden. Schwachstellen in der Server-Hardware finden sich über den kompletten Produktlebenszyklus – von der Fertigung über den Betrieb bis zur Entsorgung. „Auch die Hersteller stehen in der Verantwortung, ihre Systeme während des kompletten Lebenszyklus abzusichern“, sagt Peter Dümig von Dell Technologies Deutschland.

Infiltration mit Malware während der Herstellung

Nur wenige Unternehmen machen sich Gedanken darüber, ob die bestellte Hardware auf dem Weg vom Fertigungsband bis zum Aufstellen im eigenen Rechenzentrum kompromittiert wurde. Ein Angriff auf die physische Lieferkette ist mithilfe eingeschleuster Malware und Sniffing-Tools oder durch den Einbau manipulierter Komponenten wie Netzwerkkarten möglich. Letztere leiten den Datenverkehr an eine zweite IP-Adresse weiter, sodass wichtige Informationen in die Hände Cyberkrimineller gelangen können.

Da die meisten Hersteller ihre Rechner über OEMs fertigen lassen, ist das Risiko für Manipulationen groß: Macht sich ein Fremder auf dem Werksgelände an den Geräten zu schaffen, fällt das unter Umständen nicht gleich auf. Hinzu kommt, dass viele Lieferungen erst einmal zwischengelagert werden, bis die Bestellung komplett ist. Hier kann eine digitale Verifizierung der Konfiguration helfen, um Veränderungen jeder Art auf die Spur zu kommen. Dazu wird ein kryptografisches Zertifikat erstellt, das eine Bestandsaufnahme aller Komponenten und Konfigurationen des Systems zum Zeitpunkt der Fertigstellung im Werk anhand eindeutiger Kenndaten abbildet.

Übernahme des UEFI

Das Unified Extensible Firmware Interface ist ein stark unterschätzter Angriffspunkt für Cyberkriminelle. Antivirensysteme richten hier nichts aus, da sie noch nicht aktiv geladen sind und auch keinen Zugriff auf die Module haben. Quartiert sich nun ein Angreifer in die Firmware ein, bedeutet das im schlimmsten Fall eine vollständige Kompromittierung des Systems. Schadsoftware, mit der man Privilegien im innersten Bereich des Rechners erlangt, kann alle anderen darüberliegenden Schichten auslesen. Eine solche Kompromittierung ist schnell passiert, wenn beispielsweise aktuelle Firmware über eine manipulierte Webseite heruntergeladen wird.

Aus diesem Grund ist eine Hardware notwendig, die nach dem Zero-Trust-Prinzip niemandem vertraut und alles kontrolliert, was sich durch ein sogenanntes induktiv konstruierbares Vertrauen erreichen lässt. Dabei wird die Firmware der Server durch einen in Silizium eingebrannten Fingerabdruck – Stichwort „Silicon Root-of-Trust“ – inklusive Verschlüsselung bei der Verifizierung geschützt. Lösungen, die weiter oben im Stack Sicherheitsprüfungen vornehmen sowie die entsprechenden Ergebnisse zusammenführen und bewerten, verstärken zusätzlich die Abwehr.

Außerachtlassen von Security-Features

Oftmals nutzen Unternehmen in die Hardware integrierte Abwehrmaßnahmen nicht oder deaktivieren diese sogar. Dabei lässt sich beispielsweise mit Hilfe der Systemsperre der Server softwareseitig verriegeln, sodass unerwünschte Konfigurationsänderungen, die weitreichende Folgen haben können, verhindert werden. Funktionen, die die Daten während der Nutzung oder der Übertragung schützen, und selbstverschlüsselnde Laufwerke, die skalierbare und flexible Optionen bieten, tragen ebenfalls zur Absicherung bei.

Verschlüsselung bei der Datenabsicherung wiederum ergibt nur Sinn, wenn der Key selbst gut geschützt wird. Mit einem kryptografischen Key-Management-System sind Unternehmen in der Lage, alle sicherheitsrelevanten IT-Prozesse zentral zu verwalten. Zudem ist eine externe Lösung unabdingbar: Wird ein Schlüssel standardmäßig im RAID-Controller gespeichert, ist der Zugriff bereits in der Maschine verankert – mit weitreichenden Folgen bei einem Angriff.

Anstecken unbekannter Geräte

Keylogger sind ein beliebtes Werkzeug von Hackern. Dabei handelt es sich in der Regel um Software, mit deren Hilfe sich die Tastatureingaben eines Anwenders aufzeichnen lassen. Keylogger gibt es aber längst auch als Hardware. Da eine Box zwischen Tastaturkabel und Rechner auffallen würde, packen die Kriminellen lieber einen kleinen Mikrochip mit der Schadsoftware unsichtbar in ein klassisches Kabel. Zwar blockieren viele Virenschutzprogramme fremde Neugeräte, allerdings haben die Hacker auch darauf die passende Antwort: Das kompromittierte Kabel wechselt einfach seine Hardware-Identifikationsnummer innerhalb von Sekundenbruchteilen, bis es schließlich die ID eines erlaubten Geräts erraten hat. Da auf dem Rechner oftmals keine visuelle Abfrage angezeigt wird, bleibt der Angriff unbemerkt.

Ausrangieren des Geräts

Am Ende des Lebenszyklus eines Servers oder Speichermediums steht eine fachgerechte Entsorgung an. Festplatten, SSDs und USB-Sticks müssen gelöscht werden, sodass auch wirklich keine Informationen wiederhergestellt werden können. Die früher praktizierte Verfahrensweise mit mehrmaligem Überschreiben der Daten reicht jedoch nicht aus, denn dabei werden zahlreiche Bereiche ausgespart, die den Hackern wertvolle Informationen liefern können. Um dieses Schlupfloch zu schließen, löschen moderne Lösungen auch verborgene, vom Laufwerk nicht mehr zugängliche Nutzerdaten wie defekt deklarierte Blöcke.