Peter Dempsey von Axis Communications zufolge können Cyberangriffe von überall aus gestartet werden und jahrelang unbemerkt bleiben. Deshalb ist es unerlässlich, Rechenzentren mit widerstandsfähiger Sicherheitshardware auszurüsten, um Verstöße gegen die immer strenger werdenden Vorschriften zu vermeiden.
Für Cyberkriminelle stellen Rechenzentren ein lukratives und attraktives Angriffsziel dar, unabhängig davon, ob sie den Diebstahl von Daten, die Störung kritischer Systeme oder den Einsatz von Ransomware beabsichtigen. In einem Rechenzentrum gibt es zahlreiche Systeme, Prozesse und Hardwaregeräte. Deshalb ist eine winzige Lücke im Verteidigungswall, der diese Systeme schützt, oft genug für den Angreifer. Er kann und wird diese Schachstelle dann zum weiteren Vordringen in die Systeme ausnutzen – wofür es viele Möglichkeiten gibt.
Es wurde festgestellt, dass mehr als 20.000 DCIM-Systeme (Data Center Infrastructure Management) öffentlich zugänglich sind und es einem Angreifer ermöglichen, ein Rechenzentrum durch Änderung der Temperatur- und Luftfeuchtigkeitsgrenzwerte zu stören. Unterbrechungsfreie Stromversorgungen (USV) sind ebenfalls anfällig und ermöglichen Hackern den Zugriff auf die Stromversorgung von Rechenzentren. Außerdem ist in den Rechenzentren eine Fülle von Geräten des Internets der Dinge (IoT) vorhanden, die als Angriffsvektoren genutzt werden könnten. Betreiber von Rechenzentren müssen die Schwachstellen kennen und sich bemühen, jeden Teil ihrer Infrastruktur wirksam zu schützen.
APT31 – Bereiten Sie sich auf verdeckte Angriffe vor
Es ist möglich, dass viele Rechenzentren bereits unbemerkt infiltriert worden sind. Angreifer setzen zunehmend ausgeklügelte „Living-off-the-Land“-Angriffe (LOTL) ein. Dabei nutzen sie die Kerntools vorhandener Computersysteme aus, anstatt ihre eigenen schädlichen Dateien zu installieren. Diese Art der Infiltration ist schwer zu erkennen und kann jahrelang unbemerkt bleiben. Solange, bis der böswillige Akteuer bereit ist, zum entscheidenden Schlag auszuholen.1
Diese Akteure können sogar bedeutende Organisationen sein. In vielen Fällen konnten in kritischen Netzwerken LOTL-Payloads entdeckt werden, die von staatlich gesponserten Agenten stammten. Das britische National Cyber Security Centre hat jetzt die staatlich gesponserte Hackergruppe APT31 beschuldigt, einen Angriffsversuch auf eine Gruppe von Abgeordneten unternommen zu haben. Eine Liste weiterer Ziele lässt erkennen, dass sich die Cyberbedrohung durch APT31 auch auf die britische Wirtschaft, kritische nationale Infrastrukturen und Lieferketten erstreckt.2
Dies unterstreicht die Notwendigkeit für die Manager von Rechenzentren, einen proaktiven Sicherheitsansatz zu verfolgen, der sich nicht nur auf bekannte Prinzipien der Cybersicherheit stützt, sondern auch eine aktive Überwachung und strenge Due-Diligence-Prüfungen einbezieht. Und dies ist in dem regulatorischen Umfeld, in dem wir heute leben, besonders wichtig.
NIS2 – Erkennung von Datenanomalien in kritischen Infrastrukturen
In der NIS2-Richtlinie (NIS2) und im Cyber Resilience Act der EU (CRA) werden Rechenzentren als kritische Infrastruktur neu klassifiziert. Damit fallen sie jetzt in dieselbe Kategorie wie das Gesundheitswesen und der Energie- und Transportsektor und müssen dieselben strengen gesetzlichen Bestimmungen erfüllen. Die Betreiber von Rechenzentren sind dazu gezwungen, ihre Sicherheitsmaßnahmen zu verschärfen, ob sie nun unter die Zuständigkeit dieser Gesetzgebung fallen oder nicht.
Das Verhalten jeder Hardware, Software und Firmware in einem Netzwerk muss regelmäßig analysiert werden, um selbst harmlos erscheinende ungewöhnliche Aktivitäten zu erkennen. Die Überprüfung muss über die Grenzen des Rechenzentrums hinausgehen, da NIS2 sowohl für die Aktivitäten des Personals als auch für kritische Einrichtungen gilt. Gerätehersteller und, was noch wichtiger ist, jede Stufe ihrer Lieferkette fallen ebenfalls in den Geltungsbereich.
Schwachstellen in der Lieferkette ermitteln
Wenn Cyberkriminelle nicht direkt in ein Rechenzentrum eindringen können, versuchen sie möglicherweise, eine schädliche Payload in Geräte zu injizieren, deren Bereitstellung noch bevorsteht. Deshalb sind IoT-Geräte ein fruchtbarer Boden für Cyberkriminelle: Sie sind standardmäßig mit dem Netzwerk verbunden und werden oft nicht so gründlich überprüft, wie es bei offensichtlicheren Angriffstechniken der Fall wäre. Genau wie bei LOTL-Payloads lassen sich auch IoT-Geräte schwer als infiziert erkennen, weil die Angreifer ein implizites Vertrauen in Bezug auf diese Geräte ausnutzen können.
Angriffe auf Lieferketten sind äußerst gefährlich und nehmen zu. Im Jahr 2022 übertrafen sie direkte Malware-Angriffe bereits um 40 %.3 Deshalb lässt sich ein implizites Vertrauen keinesfalls mehr rechtfertigen: Die Lieferanten müssen detailliert nachweisen, dass ihre Lieferkette sicher und frei von Schadsoftware ist. Sie müssen Maßnahmen ergreifen, um sicherzustellen, dass keine unbefugten Änderungen vorgenommen werden können. Rechenzentren müssen ihrerseits jede Lieferantenbeziehung neu bewerten, um sicherzustellen, dass sich über diesen Weg keine Gefährdungen einschleichen.
Glücklicherweise können die Lieferanten mithilfe moderner Technologien die Legitimität ihrer Hardware recht sauber nachweisen. Die modulare Hardware vertrauenswürdiger Plattformen schützt signierte Firmware und sorgt so für Vertrauen in die Integrität eines Geräts entlang der gesamten Lieferkette. Ein sicheres Hochfahren verhindert bereits generell die Ausführung jeder nicht autorisierten Firmware. Und auf einigen Geräten können kryptografische Schlüssel und Zertifikate intern gespeichert werden, um ihre Zugriffssicherheit zu stärken und gleichzeitig die Cyberabwehr zu vereinfachen.
Umgang mit regulatorischem Druck
Vorschriften wie NIS2 zwingen Rechenzentren dazu, entweder sofort Maßnahmen zu ergreifen oder eine hohe Geldstrafe zu riskieren. Danach haften Betreiber von Rechenzentren nicht nur für interne Sicherheitsverletzungen, sondern auch für solche, die durch Sicherheitslücken Dritter verursacht werden. Die Sicherheit muss also durchgängig neu bewertet werden.
Es liegt auf der Hand, dass ein hohes Maß an physischer Sicherheit mit Kameras, Wärme- und Radardetektion sowie einem Zugangskontrollsystem von entscheidender Bedeutung ist, da ein Angreifer vor Ort eine Vielzahl von Störungen verursachen könnte. Aber auch die logische Sicherheit ist wichtig, um zu verhindern, dass Angreifer virtuell auf die Website gelangen. Jegliche Hard- und Software, ob vorgeschrieben oder nicht, sollte regelmäßig katalogisiert, analysiert, priorisiert und dokumentiert werden.
Die Einhaltung muss durch klare Nachweise belegt werden und auch die Lieferanten müssen sich daran halten. Kein Lieferant von hochwertigen Produkten würde etwas auf den Markt bringen wollen, das nicht auf dem gesetzlich geforderten Stand ist. Die Zusammenarbeit mit Lieferanten, denen ihre Produkte am Herzen liegen, ist der Weg für Rechenzentren, eine intelligentere und sicherere Welt zu schaffen.
