Der Feind in Deinem Server

Die letzte Woche begann mit einem Paukenschlag: Kleine Custom-Made Chips in Supermicro-Serverboards schleusen Malware in die Betriebsumgebungen ein. Apple, Amazon und Dutzende weitere Firmen sollen betroffen sein. Was war genau passiert? Reporter von Bloomberg hatten eine Geschichte aufgedeckt, nach der das chinesische Militär einen chinesischen Auftragsfertiger von Supermicro-Motherboards angeblich dazu gebracht hatte, spezielle Chips in den Boards zu verbauen. Diese waren in der Lage, Code direkt in den Kommunikationsstrom zwischen Businterface und Prozessor einzuschleusen. Die Server mit den Motherboards wären bei Apple, Amazon und einer Reihe weiterer, namhafter Firmen eingesetzt worden, bis Amazon die Chips im Rahmen einer externen Prüfung entdeckt hatte.

Das klingt fast zu reißerisch, um wahr zu sein. Und tatsächlich sind die Dementis relativ eindeutig und lassen wenig (wenn auch nicht gar keinen) Interpretationsspielraum zu. Doch die Fakten in der Geschichte klingen wasserdicht und die Story stammt von Bloomberg, einem Medium das viel zu verlieren und bislang einen Ruf als außergewöhnlich gut recherchierendes und fachkundiges Magazin hat. Man sollte auch nicht vergessen, dass die Chinesen wahrlich nicht die ersten sind, neue Hardware zu manipulieren, bevor sie beim Kunden eintrifft. Wie die Welt dank Edward Snowden weiß, war auch die NSA gern bereit, Router vor der Auslieferung abzufangen und mit eigenen Erweiterungen zu manipulieren.

Noch sind die Reaktionen auf den angeblichen Supermicro-Hack verhalten, zu viele Details der Geschichte können bis heute nicht extern verifiziert werden. Doch eigentlich spielt es keine Rolle, ob die Chinesen etwas sehr Naheliegendes geschafft und ihre „Werkbank der Welt“ für ihre Zwecke missbraucht haben, wenn klar ist, dass es die Amerikaner längst tun. Fest steht leider nur, dass IT-Hersteller, egal ob von Hard- oder Software, die im Ausland produzieren oder entwickeln, unter Generalverdacht stehen. Zu verlockend ist gerade bei Infrastrukturkomponenten die Aussicht durch ein paar Änderungen, an allen Sicherheitsmaßnahmen vorbei, Zugriff auf wertvolle Informationen zu erhalten.

Doch ist das wirklich richtig? Ging der Hack an allen Sicherheitsmaßnahmen vorbei? Nein, denn sonst wäre er nicht entdeckt worden. Im Prinzip versagten zwar viele Perimeter-Maßnahmen, weil der genutzte Angriffsvektor eine Abkürzung bereitstellte, doch die Daten mussten auf irgendeinem Weg aus den Rechenzentren der Opfer nach außen gelangen. Und genau hier wurden die externen Prüfer laut verschiedener Quellen fündig: Unerklärliche Netzwerkaktivitäten und Probleme mit Firmware-Updates führten zur Entdeckung des Hacks. Das zeigt einmal mehr, dass Informationssicherheit keine Aufgabe von Produkten ist, sondern eine Frage der richtigen Anwendung. Weil Netzwerkverkehr entstand, der nicht entstehen durfte, wurde selbst ein extrem raffinierter und gut ausgeführter Angriff gestoppt. Jedes Unternehmen, das jetzt nicht ein sehr genaues Auge auf seinen Outbound-Datenverkehr wirft, hat die Lektion aus der Bloomberg-Story nicht gelernt. Eine andere Lernerfahrung könnte auch die Herkunft des Herstellers beziehungsweise des Auftragsfertigers sein. Ja, es gibt oft keine deutsche Alternative für ein bestimmtes Produkt, manchmal aber schon. Und dann bedeutet Made in Germany eben nicht nur gute und innovative Technik, sondern auch ein Produkt ohne ab Werk eingebaute Hintertüren.