zurück zur Übersicht

Mythos Airgap

Mythos Airgap: eine Insel ist kein wirksamer Schutz. Und sind die Angreifer erst einmal dort, habe sie oft freie Bahn.Was online ist kann gehackt werden…

Die Airgap wird oft als eine der wenigen Möglichkeiten verkauft, um ein System vollkommen vor Angreifern abzuschotten. Das dahinterliegende Argument ist einfach – „unser System hat keinerlei Verbindungen nach außen, dementsprechend können keine Angriffe stattfinden und wir müssen das System nicht absichern“.

Beliebte Abwandlungen dieses Arguments sind „Wir verkaufen eine Insellösung, eine Anbindung an kundeneigene Netzwerke ist nicht gestattet“ und „Unser System ist so proprietär, das kann nicht angegriffen werden“.

Vor allem die letzten beiden Argumente werden gerne von ICS Herstellern (IBM Cabling System, ein proprietäres Verkabelungsystem) bzw. Herstellern von Nischenprodukten (z.B., TETRA-Systeme, Mobiltelefonie, …) verwendet.

… was offline ist auch.

Die Realität sieht hingegen etwas anders aus.

Wahr ist, dass ein airgapped System vom Internet aus nicht zu erreichen ist – ein Angriff über z.B., eine Remote-Code-Execution Lücke ist somit nicht möglich. Auch ist es nicht möglich, dass ein Mitarbeiter infizierte E-Mails (also E-Mails mit Malware im Anhang) auf einem solchen System erhält.

Doch auch airgapped Systeme interagieren in irgendeiner Art und Weise mit Nutzern. Komplett autarke Systeme haben praktisch keine Anwendung in der IT. Wie auch – in der Regel sollen ja Informationen gesammelt, prozessiert und dann für einen irgendwie gearteten Zweck verwendet werden. Diesen definiert und kontrolliert normalerweise der Nutzer des Systems.

Es mag misanthropisch klingen, aber es ist leider eine Tatsache: Wo ein Mensch ist, ist immer auch ein Sicherheitsrisiko.

Ist die Malware erst auf dem System, hat sie – wenn sich der Betreiber nur auf den Schutz durch die Airgap verlässt – erschreckend freie Bahn.

Auch Computerviren werden durch die Luft übertragen

Die Interaktion mit Nutzern kann genutzt werden und wird genutzt um Inselsysteme mit Malware zu infizieren und zu manipulieren. Ein ausgezeichnetes Beispiel hierfür ist noch immer Stuxnet. Stuxnet infizierte jeden Rechner, mit dem es in Berührung kam und schaffte es so, irgendwann über einen infizierten USB Stick das tatsächliche Zielsystem zu erreichen – ein System, das nie an ein größeres Netzwerk oder das Internet angeschlossen war.

Weg 1: der vergiftete USB-Stick

Doch man muss gar nicht bis in die Welt der Geheimdienste abtauchen, um dieser Technik zu begegnen. Teil eines fast jeden Tiger-Team Assessments ist der klassische Trick, infizierte USB-Sticks auf dem Parkplatz/der Toilette des Auftraggebers zu *verlieren*. (lesenswert zum Thema: der Artikel über die Studie zu gefundenen USB Sticks) Die Neugier ist eine Tief verwurzelte Eigenschaft des menschlichen Geistes. Hier wird sie zur Falle: Wird ein solcher USB-Stick an dem Zielsystem angeschlossen, hat man die Airgap schon überwunden.

Das gilt übrigens nicht nur für USB-Sticks: technisch betrachtet kann jeder MP3-Player, jede Digitalkamera und auch jedes über USB angeschlossene Handy zum Überträger werden.

Weg 2: Poisonphone

Die Chance ist recht gering, dass Mitarbeiter – egal welcher Firma – kein Smartphone besitzen. Es gibt in Deutschland mehr Smartphones als Menschen. Weltweit sind laut Schätzungen über zwei Milliarden Smartphones im Einsatz. Und die Zahl steigt ständig.

Was vielen nicht klar ist: ein Smartphone birgt eine ganze Sammlung von komplexen Angriffsvektoren. Ortet ein Mobilgerät ein WLAN, versucht es automatisch sich zu verbinden. Erlaubt der User das, schafft er – möglicherweise unbewusst – eine Netzwerkbrücke ins Internet. Das Gleiche gilt, wenn das Handy an einen Rechner angeschlossen wird. Während man dem Kollegen noch stolz die Urlaubsfotos auf dem großen Monitor zeigt, bleibt die Brücke intakt. Gleiches gilt natürlich ebenso für mitgebrachte Privatlaptops.

Ein Smartphone ohne Internetzugang macht keinen Sinn, also muss davon ausgegangen werden, dass praktisch alle davon mit einer beängstigenden Menge unterschiedlichster Cyberbedrohungen in Kontakt kommen. Virenscanner haben immer noch die wenigsten Nutzer installiert (es wird auch mit guten Gründen bezweifelt, dass sie überhaupt irgendeinen Nutzen bringen), und die vorhandenen Apps sind auf den Schutz des Handys oder Tablets selbst ausgelegt, nicht auf die Unterbrechung der Infektionskette für Malware, die auf völlig andere Systeme zielt.

Wer übrigens glaubt, ein Apfel auf dem Gerät würde per se vor solchen Risiken schützen, irrt leider. Die XCode-Ghost-Story (Details darüber können Sie hier nachlesen) beweist, dass jeder App-Store unterlaufen werden kann – und dass dies auch geschieht.

Weg 3: Giftiges Update

Nicht immer geht das Risiko von dubiosen Quellen aus. Selbst abgeschottete Systeme benötigen hin und wieder ein Update. Auch über diesen Weg ist ein Inselsystem angreifbar: Kann garantiert werden, dass alle an der Entwicklung des Updates beteiligten Rechner die ganze Zeit absolut ausreichend abgesichert waren? Sind alle bei der Programmierung verwendeten Libraries kontinuierlich und zuverlässig gescannt worden? Sind die IDEs (Integrated Development Environment), mit denen die Entwickler gearbeitet haben, permanent gründlich überwacht worden, um sicherzustellen, dass auch diese nicht unbemerkt Schadcode in das Update eingefügt haben? Auch das ist bereits beobachtet worden, wir berichteten darüber.

Kein mir bekannter Softwarehersteller würde auch nur für einen dieser Punkte eine verbindliche Garantie übernehmen.

In der Praxis selten umsetzbar

Die Exfiltration von Daten (wenn dies überhaupt erwünscht ist) ist freilich eine weitere Herausforderung, für welche es aber durchaus auch Lösungen gibt. Und oft genügt es den Tätern auch einfach, Schaden anzurichten.

Dass diverse Hersteller ihre Systeme als Inselsysteme konzipieren und diesen Umstand auch vertraglich festlegen ist nett, die praktische Umsetzung ist aber unrealistisch. Sehr viele dieser Systeme haben in irgendeiner Weise eine Verbindung zu einem Standard-Unternehmensnetzwerk z.B., über Remote-HMIs, Daten-Kollektoren oder Wartungszugänge für Hersteller. Eine solche „konzeptionelle Airgap“ ist als Security-Feature also ungeeignet.

Proprietäre Systeme sind heutzutage auch selten so propriäter wie es Hersteller gerne hätten. Oft läuft die eigene Software – welche tatsächlich vollständig proprietäre Protokolle nutzt – auf Standard Windows Servern oder div. Management-Clients die Systeme wie Windows XP benutzen.

Wenn Hersteller eigene Hardware liefern, handelt es sich dabei oft um eigene PCI(e) Karten die wiederum in Standardservern verbaut wurden. Für das Kernprodukt des Herstellers sind mit großer Wahrscheinlichkeit tatsächlich keine Sicherheitslücken bekannt (eben auf Grund der Proprietärität) – für die Infrastruktur rundherum, auf welcher das Kernprodukt aufbaut, vermutlich aber schon.

Fazit: Airgap kann Sinnvoll sein, aber nur als Ergänzung

In bestimmten Fällen ist es durchaus sinnvoll, hoch kritische Systeme so weit wie möglich vom Internet und auch aus dem Unternehmensnetzwerk herauszuhalten. Bewusst eine Airgap einzuplanen ist dabei die Ultima Ratio. Diese Maßnahme darf aber nicht als Ersatz für jegliche Sicherheit betrachtet werden, sondern lediglich als Ergänzung.

Wer wirklich nach dem Stand der Technik Absicherung betreiben will, kommt an einer umfassenden Sicherheitsstrategie nicht vorbei. Diese Strategie muss dann aber die gesamte IT-Landschaft umfassen, nicht nur wenige Kernsysteme.

Erst eine starke Kombination aus App Security,  Endpoint Protection, Netzwerküberwachung und kontinuierlicher Mitarbeiterschulung sorgt dafür, dass eine beabsichtigte Insel auch eine Insel bleibt.

Nur dann hat man dort auch seine Ruhe.

Schreibe einen Kommentar