Nein, Sie haben keine Wanze in Ihrem Server
Seit Bloomberg Anfang Oktober über manipulierte Server-Platinen berichtete, machen sich viele Unternehmen Sorgen um die Sicherheit ihrer Hardware. Dazu besteht kein Anlass.
Am 4. Oktober 2018 berichtete die Bloomberg Business Week, in den Hauptplatinen bestimmter Server seien winzige digitale Wanzen gefunden worden. Zu den betroffenen Unternehmen sollte unter anderem Apple gehören. Der Bericht wurde umgehend von allen Beteiligten dementiert. Bloomberg hat daraufhin auf journalistischer Ebene nachgelegt, bleibt aber auf technischer Ebene jegliche Beweise schuldig. So gibt es keinerlei technische Detailinformation, keine Fotos, niemand hat bisher ein Exemplar einer manipulierten Platine oder des angeblich darauf montierten Mikrochips gesehen. Ohne substanzielle Beweise ist der Bericht wenig glaubwürdig, wie unter anderem Erich Moechel vom ORF darlegt.
Auch wir haben große Zweifel an Bloombergs Story. Problematisch ist insbesondere, dass bisher keine „Indicators Of Compromise“, kurz IOCs, veröffentlicht wurden. IOCs gehören zum Standard-Repertoire der IT-Sicherheit. Sind diese Einbruchsspuren erst einmal bekannt, können ähnliche Angriffe leicht erkannt werden. Ohne IOCs dagegen sind Manipulationen an der Hauptplatine eines Servers extrem schwer zu erkennenen. Falls es sie überhaupt gibt. Bisher ist kein konkreter Fall bekannt – nur die schlecht belegten Behauptungen von Bloomberg. Will man aber das Motherboard eines Servers tatsächlich gründlich auf Manipulationen untersuchen, so muss man einen extremen Aufwand treiben, wie Joe FitzPatrick erläutert.
Der Experte für Hardware-Sicherheit erklärt ausführlich, wie so eine Analyse vor sich geht. Dabei wird unter anderem die betreffende Hardware vollständig in sämtliche Bauteile zerlegt und diese wiederum geöffnet. Dabei werden das Motherboard und seine Bauteile komplett zerstört. Aber das Hauptproblem sind die Ressourcen, die der Vorgang bindet: Während viel Zeit und Geld in die Hardware-Analyse fließen, werden unweigerlich wichtigere Schutzmaßnahmen vernachlässigt. Denn in jedem Netz gibt es Sicherheitslücken in der Software. Diese werden ständig angegriffen.
Wer also einen sechsstelligen Betrag in die IT-Sicherheit investieren will, sollte lieber die klassische Netzwerksicherheit stärken, statt für viel Geld und ohne Ergebnis eine Platine zerlegen zu lassen.