Aktuell richten sich die Maßnahmen gegen die Cyberangriffe noch auf den Schutz von Software und Netzwerke aus. Direkte Attacken auf Hardware geraten noch viel zu selten in den Blick der Verantwortlichen für Cybersicherheit. Dabei können Manipulationen an Servern, PCs oder IoT-Geräten gravierende Folgen haben.
Von Dell Technologies habe ich vor einiger Zeit bereits eine Auflistung der drei der gefährlichsten Formen von Hardware-Hacking bekommen, die ich der Leserschaft nicht vorenthalten möchte. Die Aufstellung zeigt, wie Unternehmen sich wirksam vor Manipulationen der Hardware schützen können.
Dell Technologies: Schutz gegen Hardware-Attacken
Die meisten Hackerattacken finden über das Internet statt. Manche Cyberkriminelle gehen allerdings mit Angriffen auf die Hardware einen deutlich direkteren Weg. Die drei gefährlichsten Methoden hat Dell Technologies analysiert und nennt Maßnahmen, um sich dagegen zu schützen.
Bei all den Berichten über KI-Manipulation, Ransomware-Attacken und Phishing geraten Hackerangriffe auf die Hardware selbst oft aus dem Fokus. Zwar kommen sie seltener vor, da Cyberkriminelle direkten Zugang etwa zu Servern, PCs und IoT-Geräten oder die Hardware-Lieferkette benötigen, ihr Schadenspotenzial ist jedoch enorm. Dell Technologies hat die drei wohl gefährlichsten Methoden des Hardware-Hackings unter die Lupe genommen und erklärt, wie man sie am besten bekämpft.
Manipulation via Implants
Ein besonderes Risiko für die Hardware-Sicherheit stellen sogenannte "Implants" dar. Gemeint sind manipulierte Hardware-Komponenten, die Kriminelle unbemerkt an einem bestehenden System andocken (etwa während routinemäßiger Wartungsarbeiten) oder in die Lieferkette der Hersteller einschleusen. Besonders interne Geräteschnittstellen sind gefährdet – Hacker öffnen das Gehäuse und bauen ihr verfälschtes Modul einfach ein. Über diese kompromittierten Chips oder Zwischenstecker können sie dann Daten abfangen, Befehle einschleusen oder bösartige Routinen ausführen. Derartige Manipulationen sind nur sehr schwer zu erkennen und gewähren Angreifern über einen langen Zeitraum direkten Zugriff auf das infiltrierte System.
So kann man sich schützen: Unternehmen sollten grundsätzlich ihre Hardware sicher lagern und vor Fremdzugriff schützen. Die Absicherung einzelner Ports kann über spezielle Schlösser, Abdeckungen und Siegel erfolgen, während Wartungsprozesse ausschließlich unter Einsatz geprüfter Hardware-Komponenten stattfinden darf. Ergänzend sind regelmäßige Firmware- sowie Software-Updates entscheidend, um Manipulationen zu verhindern. Intrusion-Detection- und -Prevention-Systeme tragen überdies dazu bei, verdächtige Aktivitäten frühzeitig zu erkennen und darauf zu reagieren. Abschließend sollten IT-Teams ihre Sicherheitsrichtlinien kontinuierlich überprüfen und aktualisieren.
Hacking via Service-Schnittstellen
Für die Wartung von Servern und Hardware-Komponenten sowie die Fehlerdiagnose sind Service-Schnittstellen (etwa USB oder UART) unverzichtbar. Sind diese physischen Zugänge jedoch nur unzureichend geschützt, besteht die Gefahr, dass Angreifer unautorisierte Änderungen am System vornehmen. Im Fokus solcher Attacken stehen in der Regel Konfigurationsdateien oder die Firmware von Geräten. Hacker können auf diese Weise Signaturprüfungen und weitere Sicherheitsmaßnahmen wie das sichere Hochfahren von Systemen (etwa Secure Boot im Kontext der UEFI-Firmware) verhindern.
So kann man sich schützen: IT-Teams sollten den Zugriff auf Service-Schnittstellen überwachen, protokollieren und sie nach jeder Nutzung deaktivieren. Ergänzend sorgen eine strukturierte Dokumentation sowie ein professionelles Log-Management für Transparenz und Nachvollziehbarkeit. Monitoring-Lösungen wie Prometheus und Grafana ermöglichen zudem eine frühzeitige Erkennung von Anomalien und Sicherheitsvorfällen, während der Einsatz von Konfigurationsmanagement-Tools eine konsistente und abgesicherte Systemkonfiguration gewährleisten kann.
Kompromittierung via Fault Injection
Eine weitere, deutlich elaboriertere Hacking-Methode ist die Fault Injection. Gemeint sind physische Attacken, bei denen IT-Systeme durch künstlich erzeugte Fehler oder Störungen dazu verleitet werden, sicherheitskritische Prüfmechanismen wie Integritätsprüfungen beim Boot-Vorgang zu überspringen. Typische Methoden sind das Manipulieren der Stromversorgung (sogenanntes Voltage Glitching) oder der gezielte Einsatz elektromagnetischer sowie optischer Impulse.
Cyberkriminelle können so Authentifizierungen umgehen oder sensible Daten auslesen. Die große Gefahr dieser Angriffsmethodik liegt darin, dass Hacker durch Fault Injection selbst starke Sicherheitsmaßnahmen aushebeln können. Gerade bei IoT-Geräten, die in kritischen Infrastrukturen eingesetzt werden, kann das gravierende Folgen haben.
So kann man sich schützen: Zu den physischen Schutzmechanismen gegen Fault Injection zählt unter anderem die Abschirmung der Hardware. Sie findet oft über metallische Schutzschichten statt, die oberhalb sensibler Schaltungen angebracht werden und elektromagnetische Strahlung absorbieren oder ableiten. Auch direkt in die Gehäuse der Hardware lassen sich abschirmende Strukturen implementieren. Auf Chip-Ebene kann die sogenannte Encapsulation helfen, Fault Injection zu verhindern. Dabei werden Chips und Drähte mit Epoxidharz überzogen – ein positiver Nebeneffekt ist, dass die Komponenten so auch vor Korrosion und anderen Schäden geschützt sind. Auf Firmware-Ebene ist es sinnvoll, sicherheitskritische Berechnungen mehrfach oder auf verschiedenen Pfaden durchzuführen.
"Viele Unternehmen wissen gar nicht, dass gerade in diesem Moment kompromittierte Hardware in ihren Systemen steckt", warnt Peter Dümig, Senior Field Product Manager Server bei Dell Technologies. "Sie sollten daher regelmäßig den physischen Teil der IT-Infrastruktur auf Herz und Nieren überprüfen. Auch wenn Attacken auf die Hardware seltener vorkommen als die alltäglichen Angriffe via Phishing-Mail, sollten sich Unternehmen nicht in falscher Sicherheit wiegen, denn eines ist sicher: es gibt kaum gewieftere Personen als Hacker."
Wie setzt ihr in eurer Unternehmensumgebung die Schutzmaßnahmen in Bezug auf Hardware-Sicherheit um?
MVP: 2013 – 2016
Dell hat mit IDARC ein sehr gutes Stück Software geschaffen um die Serverhardware nicht nur zu administrieren sondern stets mit aktuellen Treibern zu versorgen. Dies wird von Dell auch gut unterstützt.
Anders als zum Beispiel Wortmann, wo es niemals Treiberupdates gibt.
Dieser Artikel kommt bei mir in die Schublade – Allgemeines BlaBla die in letzter Zeit immer voller wird.
so long
Yumper
+ Betr. "BlaBla":
Da fass' Dir mal selbst an die Nase. Insb. die im Abschnitt "Manipulation via Implants" beschriebenen Angriffe spielen sich auf galvanischer Ebene ab. Wo da jetzt iDRAC-Controller eine grössere Rolle als Teil einer Verteidigungsglinie spielen sollen, erschliesst sich mir nicht.
+ Betr. "stets mit aktuellen Treibern zu versorgen":
Aber nicht für Linux oder BSD, unter denen geschätzte drei Viertel aller Webserver laufen.
Betr. "Viele Unternehmen wissen gar nicht, dass gerade in diesem Moment kompromittierte Hardware in ihren Systemen steckt", warnt Peter Dümig, Senior Field Product Manager Server bei Dell Technologies.":
Angesichts (1) lehnt sich Dell da aber ziemlich weit aus dem Fenster. Zitat aus dem Golem-Artikel: "Bei Controlvault handelt es sich laut Blogbeitrag der Forscher … um eine hardwarebasierte Sicherheitslösung …". Peinlich.
_
(1) https://www.golem.de/news/controlvault-gefaehrliche-firmware-luecken-in-millionen-von-dell-laptops-2508-198868.html