Physische Sicherheit in Rechenzentren

Sicherheit lässt sich am einfachsten durch die Falsifikationstheorie erreichen. Wer wie ein Angreifer denkt, findet Schwachstellen am eigenen System. Ein Katalog bekannter Angriffsvektoren samt Abwehrmaßnahmen ist dabei insofern hilfreich, als er die Sinne schärft. Alle hier besprochenen Vorfälle stammen aus der Praxis.

Der Feind ist innen – oder möchte hinein

Der Gutteil der Angriffe auf Computersysteme erfolgt durch vor Ort befindliche Personen: eine gehörnte Assistentin kann mit Hammer oder einem Glas Campari Unmengen von Schaden anrichten. Externe Angreifer gehen oft denselben Weg: Social Engineering ist spätestens seit den Abenteuern von Kevin Mitnick in aller Munde. Seine in "Die Kunst der Täuschung" beschriebenen Angriffsszenarien sind mittlerweile die Einsteigerklasse.

Jack Wiles stellt in seinem Klassiker "Low Tech Hacking" Attacken vor, die mehrstufig erfolgen. Dabei spioniert der Angreifer das betreffende Unternehmen im ersten Schritt aus, um zusätzliche Informationen in Erfahrung zu bringen. Die eigentliche Attacke erfolgt später anhand des gesammelten Wissens: In vielen Fällen gibt sich der Social Engineer als Supportmitarbeiter oder Regierungsinspektor aus, der Passwörter und/oder ähnliche Informationen per Telefon stiehlt.

Grundsätzlich sind von Lieferanten und/oder Telekommunikationsunternehmen eintreffende Personen erst einmal quer durch die Bank als Angreifer zu betrachten. Die Uniformen aller größeren Unternehmen – Paketdienste gehören hier explizit dazu – sind auf dem Graumarkt leicht zu bekommen. Ein wirklich von Microsoft oder HP stammender Techniker hat mit Sicherheit kein Problem damit, wenn der Kunde vor dem Zutritt in den Serverraum bei dessen Arbeitgeber anruft – ist dies nicht der Fall, macht er sich verdächtig.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.