Kommentare zu den Chip Manipulationen

Hardware-Hack: Kleiner Chip mit gewaltigen Auswirkungen

Hardware-Hack: Kleiner Chip mit gewaltigen Auswirkungen

Hardware-Manipulation bei Supermicro

Thomas Ehrlich, Country Manager DACH von Varonis kommentiert:

Thomas Ehrlich, Country Manager DACH von Varonis

Mit der mutmaßlichen Manipulation von Servern, die bei knapp 30 US-amerikanischen Behörden und Unternehmen, darunter auch illustre Namen wie Apple und Amazon, eingesetzt wurden oder werden, haben staatlich geförderte Angriffe scheinbar eine neue Dimension erreicht. Diese Hardware-Hintertür ermöglicht einen umfassenden, dauerhaften und privilegierten Zugriff auf eine Vielzahl von Systemen und Daten. Dass die Manipulation auffiel (dem Bericht zufolge ist dies schon 2015 geschehen) und jetzt auch öffentlich wurde, wird zu einer Sensibilisierung führen und gezielte Abwehrmaßnahmen ermöglichen. Welche Schäden bislang entstanden sind, ist jedoch kaum zu ermitteln.

Die Art und Weise sowie vor allem die technische Brillanz des Chips, der in etwa so groß ist wie eine Bleistiftspitze, mögen neu und überraschend sein. Staatliche und überaus professionelle Angriffe sind jedoch keine Überraschung. Es wird durch den aktuellen Fall vielmehr deutlich, wie lange geplant und langfristig angelegt diese Angriffe sind. Man legt jetzt die Basis für mögliche Angriffe in vielleicht ein paar Jahren, testet die eigenen Taktiken, spioniert die „gegnerischen“ Systeme aus, um am Tag X zuschlagen zu können. In unserer so stark digital vernetzten Welt bedeutet dies enorme Auswirkungen, auf die die Ransomware-Wellen des letzten Jahres nur ein kleiner Vorgeschmack waren.

Ja, dieser Bericht sollte CEOs und CISOs auch in Deutschland Sorgen bereiten. Aber die Bedrohung war auch schon gestern vorhanden. Sicherheitsverantwortliche sollten stets unter der Annahme agieren, dass sie und ihre Nutzer jeden Tag Ziel von Angriffen sind bzw. sein können. Ganz einfach deshalb, weil es sich genauso verhält. Ob es sich dabei um einen böswilligen oder arglosen Insider, einen hochprofessionellen Hacker oder ein Script-Kiddie handelt, spielt letztlich keine Rolle.

Dieser Hack macht deutlich, was eigentlich ohnehin schon bekannt war: Angreifer werden es immer hinter den Perimeter schaffen, werden immer in fremde Netzwerke und Infrastrukturen eindringen. Ob dies nun mittels Social Engineering, Sicherheitslücken oder manipulierter Hardware geschieht, spielt dabei letztlich keine Rolle. Entscheidend ist vielmehr, was die Angreifer dann im System anstellen. Einfach gesagt: Sind sie nur „drin“, stören sie nicht weiter. Verhalten sie sich jedoch bösartig, etwa indem sie Daten abgreifen oder Prozesse manipulieren, müssen sie daran gehindert werden. Hier schützt nur eine intelligente Überwachung des Nutzer- und Maschinenverhaltens (UEBA), das abnormale Aktivitäten erkennt, die Verantwortlichen warnt und entsprechende Gegenmaßnahmen einleitet.

Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software kommentiert:

Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software

Derzeit machen Nachrichten die Runde, dass chinesische Hacker Spionage-Chips auf Servern großer US-amerikanischer IT-Konzerne wie Apple, Amazon und sogar Facebook eingeschleust haben sollen. Insgesamt wird gemutmaßt, dass rund 30 Unternehmen in den USA betroffen sind. Die Chips würden den Angreifern erlauben, die betroffenen Server zu übernehmen. Das FBI vermutet laut den Informationen von Bloomberg chinesische Militärhacker hinter den Spionageaktivitäten. Die Spionage-Chips sollen in die Server des Herstellers Super Micro in China ab Werk eingebaut worden sein.

Dieser Angriff zeigt, dass sich die Cyber-Gefahrenlandschaft noch einmal deutlich zugespitzt hat und dass die Bedrohung ab Werk und nicht erst im Internet auf die Unternehmen wartet. Bereits vor einigen Jahren gab es Probleme mit Chips, die in Servern eingebaut wurden, auch hier gab es Vorwürfe, dass diese manipuliert wurden, um Spionage zu betreiben, nun der neue aktuelle Fall mit noch größerem Ausmaß.

Unternehmen müssen sich auf solche Gefahrenquellen vorbereiten, indem sie Echtzeit-Sicherheitslösungen einsetzen, die alle auffälligen Vorgänge im Unternehmensnetzwerk, auf dem Server oder aber auf einzelnen Rechnern sofort an ein zentrales System melden. Diese Art von Angriff wird von uns als 5th Generation Angriff bezeichnet und ist ein Zeichen dafür, dass noch viele Unternehmen nicht adäquat auf diese Angriffsvektoren und -Formen vorbereitet sind.

Leider müssen die betroffenen Unternehmen davon ausgehen, dass die Chips seit 2015 im Einsatz sind und Betriebsgeheimnisse und Daten an die Angreifer weiterkommuniziert haben. Angeblich waren sie jedoch nicht an Kundendaten, sondern mehr an Unternehmensdaten interessiert.

Eine Möglichkeit diese Art von Angriffen einzuschränken, ist eine Micro-Segmentierung. Darüber hinaus erfordert die Aufarbeitung eine enge Zusammenarbeit zwischen den betroffenen Unternehmen und den zuständigen Behörden, um Rückschlüsse auf die Initiatoren der Attacken treffen zu können. Unseren Kunden empfehlen wir den Einsatz unseres ThreatCloud-Systems, um solche Angriffe in Echtzeit zu blocken.