Zum Inhalt springen
Home » Wie lokale Server eines Universitätslabors gehackt werden können – auch ohne Internetanbindung

Wie lokale Server eines Universitätslabors gehackt werden können – auch ohne Internetanbindung

In einer Zeit, in der Künstliche Intelligenz (KI) und sensible Daten zunehmend in lokalen Servern verarbeitet werden, wie etwa in Forschungslaboren von Universitäten, wird oft angenommen, dass ein fehlender Internetzugang ausreichenden Schutz vor Cyberangriffen bietet. Doch selbst „air-gapped“ Systeme – also Server, die physisch vom Internet getrennt sind – sind nicht immun gegen Angriffe. Dieser Artikel beleuchtet die technischen Methoden, mit denen solche Server kompromittiert werden können, und erklärt, warum selbst isolierte Systeme in einem Universitätslabor verwundbar sind.

Was sind lokale, air-gapped Server?

Ein lokaler Server in einem Universitätslabor ist typischerweise ein Rechner oder eine Serverinfrastruktur, die für spezifische Aufgaben wie Datenanalyse, Simulationen oder die Speicherung sensibler Forschungsdaten (z. B. medizinische Studien, Patente) genutzt wird. Ein „air-gapped“ System ist physisch vom Internet und anderen externen Netzwerken isoliert. Zugriff erfolgt meist über lokale Terminals, USB-Sticks oder andere physische Medien. Universitäten nutzen solche Systeme, um sensible Daten vor externen Bedrohungen zu schützen. Doch die Annahme, dass Isolation gleich Sicherheit bedeutet, ist trügerisch.

Angriffsmethoden auf air-gapped Server

Cyberangriffe auf isolierte Server erfordern kreative Ansätze, da der direkte Netzwerkzugriff fehlt. Angreifer nutzen physische, elektromagnetische oder akustische Vektoren, um Daten zu exfiltrieren oder Schadcode einzuschleusen. Im Folgenden werden die wichtigsten Methoden detailliert beschrieben, mit Fokus auf ein Universitätslabor als Beispiel.

1. Physische Angriffe über USB-Sticks und Wechselmedien

Die häufigste Schwachstelle in air-gapped Systemen ist der Mensch. In einem Universitätslabor werden regelmäßig USB-Sticks verwendet, um Daten zwischen Geräten zu übertragen, etwa Forschungsergebnisse oder Software-Updates. Angreifer können diese Medien gezielt manipulieren:

  • Infizierte USB-Sticks: Ein Angreifer könnte einen präparierten USB-Stick im Labor „vergessen“ oder einem Mitarbeiter zukommen lassen (Social Engineering). Sobald der Stick angeschlossen wird, installiert sich Schadsoftware wie ein USB-Trojaner (z. B. USBFerry oder USB Thief). Diese kann Daten kopieren oder eine Hintertür für spätere Angriffe öffnen.
  • Technische Umsetzung: Moderne Malware nutzt „BadUSB“-Techniken, bei denen der USB-Stick sich als Tastatur oder Netzwerkgerät tarnt und automatisch bösartige Befehle ausführt. Beispielsweise könnte ein Skript sensible Daten aus dem Labor-Server auf den Stick kopieren, ohne dass der Nutzer etwas bemerkt.
  • Beispiel: 2010 infizierte der Stuxnet-Wurm iranische Atomanlagen, indem er über USB-Sticks verbreitet wurde, obwohl die Systeme air-gapped waren. In einem Universitätslabor könnte ein ähnlicher Angriff Forschungsdaten stehlen, etwa zu KI-Modellen oder chemischen Formeln.

2. Social Engineering und Insider-Bedrohungen

Mitarbeiter oder Studierende im Labor sind oft das schwächste Glied. Angreifer können durch gezielte Manipulation (Social Engineering) oder Bestechung Zugang erlangen:

  • Physischer Zugang: Ein Angreifer könnte sich als Techniker, Praktikant oder Gastwissenschaftler ausgeben, um Zugang zum Labor zu erhalten. Dort könnte er direkt auf den Server zugreifen oder ein kompromittiertes Gerät (z. B. ein USB-Adapter mit eingebauter Malware) anschließen.
  • Insider-Bedrohung: Ein bestochener oder unzufriedener Mitarbeiter könnte absichtlich Schadsoftware installieren oder Daten stehlen. In Universitäten, wo viele temporäre Mitarbeiter (z. B. Doktoranden) Zugang haben, ist dieses Risiko besonders hoch.
  • Technische Umsetzung: Ein kompromittierter Insider könnte ein Keylogger-Modul installieren, das Tastatureingaben aufzeichnet, oder einen Raspberry Pi mit WLAN-Funktion im Labor verstecken, um Daten später drahtlos zu übertragen.

3. Elektromagnetische Angriffe (TEMPEST)

Selbst ohne physischen Zugang können Angreifer elektromagnetische Signale ausnutzen, die Server unbeabsichtigt abgeben:

  • Abhören von EM-Strahlung: Jede elektronische Komponente (z. B. Prozessoren, Monitore) erzeugt elektromagnetische Wellen. Angreifer können mit speziellen Antennen (z. B. im Van-Sniffing-Verfahren) diese Signale aus bis zu 100 Metern Entfernung abfangen und rekonstruieren, um Bildschirminhalte oder Tastatureingaben auszulesen.
  • Technische Umsetzung: Die Technik, bekannt als TEMPEST-Angriff, wurde von der NSA entwickelt. In einem Labor könnte ein Angreifer ein Abhörgerät in einem benachbarten Raum platzieren, um Daten von einem Server-Monitor oder einer Tastatur zu erfassen, etwa Passwörter oder Forschungsergebnisse.
  • Beispiel: 2018 demonstrierten Forscher der Ben-Gurion-Universität, wie sie elektromagnetische Signale eines air-gapped Servers abfingen, um verschlüsselte Daten zu rekonstruieren.

4. Akustische Angriffe

Eine weitere Methode nutzt Schallwellen, die von Server-Komponenten erzeugt werden:

  • Datenübertragung via Ultraschall: Schadsoftware kann Lüfter oder Festplatten eines Servers so manipulieren, dass sie akustische Signale im Ultraschallbereich erzeugen, die von einem nahen Gerät (z. B. einem Smartphone) aufgenommen werden. Diese Methode, „AirHopper“ genannt, ermöglicht Datenexfiltration ohne Netzwerkverbindung.
  • Technische Umsetzung: Ein infizierter Server moduliert Daten in Schallwellen, die ein kompromittiertes Gerät (etwa das Smartphone eines Mitarbeiters) empfängt und später weiterleitet, sobald es online ist.
  • Beispiel: 2016 zeigten Forscher, wie ein air-gapped System Daten über Lüftergeräusche an ein Mikrofon in 8 Metern Entfernung senden konnte.

5. Supply-Chain-Angriffe

Die Hardware selbst kann kompromittiert sein, bevor sie im Labor ankommt:

  • Manipulierte Komponenten: Angreifer könnten Server-Hardware (z. B. Chips, Netzteile) bereits in der Lieferkette mit Hintertüren ausstatten. Solche Angriffe wurden 2018 bei Supermicro-Servern vermutet, die angeblich von chinesischen Akteuren manipuliert wurden.
  • Technische Umsetzung: Ein kompromittierter Chip könnte Daten protokollieren oder eine Verbindung zu einem externen Netzwerk herstellen, sobald ein Wechselmedium angeschlossen wird. In einem Universitätslabor, wo Budgets oft begrenzt sind, werden solche Risiken selten geprüft.
  • Beispiel: Ein manipulierter Netzwerkadapter könnte Daten aufzeichnen und bei physischem Zugriff durch einen Angreifer ausgelesen werden.

6. Optische und thermische Angriffe

Weniger verbreitet, aber möglich sind Angriffe über optische oder thermische Signale:

  • LED-Manipulation: Schadsoftware kann die Status-LEDs eines Servers modulieren, um Daten an eine Kamera in Sichtweite zu übertragen. Diese Methode ist langsam, aber effektiv für kleine Datenmengen wie Passwörter.
  • Thermische Übertragung: Durch Manipulation der CPU-Auslastung kann ein Server Wärmemuster erzeugen, die von Sensoren in der Nähe ausgelesen werden („BitWhisper“).
  • Beispiel: In einem Labor könnte ein Angreifer eine Kamera in einem Fenster gegenüber platzieren, um LED-Signale eines Servers aufzuzeichnen.

Warum Universitätslabore besonders gefährdet sind

Universitätslabore sind ein ideales Ziel für Angriffe, da sie oft sensible Daten (z. B. Patententwürfe, KI-Modelle, biotechnologische Forschung) verarbeiten, aber geringere Sicherheitsstandards als militärische oder industrielle Einrichtungen haben. Häufige Schwachstellen:

  • Heterogenes Personal: Doktoranden, Gastforscher und studentische Hilfskräfte haben oft Zugang, ohne strenge Sicherheitsüberprüfungen.
  • Budgetbeschränkungen: Labore setzen auf kostengünstige Hardware, die selten auf Manipulation geprüft wird.
  • Hohe Datenmobilität: USB-Sticks und externe Festplatten sind allgegenwärtig, was die Einschleusung von Malware erleichtert.
  • Fehlende Sicherheitskultur: Im Gegensatz zu Unternehmen priorisieren Universitäten oft Forschung über IT-Sicherheit.

Abwehrmaßnahmen für Universitätslabore

Um air-gapped Server zu schützen, müssen Labore proaktive Maßnahmen ergreifen:

  1. Physische Absicherung: Zutrittskontrollen, Videoüberwachung und Abschirmung gegen elektromagnetische Strahlung (Faraday-Käfige).
  2. USB-Kontrollen: Nur verifizierte, verschlüsselte Wechselmedien zulassen; USB-Ports deaktivieren, wo möglich.
  3. Hardware-Prüfung: Regelmäßige Überprüfung von Server-Komponenten auf Manipulationen in der Lieferkette.
  4. Mitarbeiterschulung: Sensibilisierung für Social Engineering und Insider-Bedrohungen.
  5. Signalüberwachung: Einsatz von Detektoren für ungewöhnliche elektromagnetische oder akustische Signale.
  6. Datenverschlüsselung: Alle Daten auf dem Server sollten stark verschlüsselt sein, um Exfiltration zu erschweren.

Fazit

Selbst air-gapped Server in einem Universitätslabor sind nicht sicher vor Cyberangriffen. Physische Angriffe über USB-Sticks, elektromagnetische oder akustische Datenexfiltration, Social Engineering und manipulierte Hardware bieten Angreifern zahlreiche Wege, sensible Daten zu stehlen oder Systeme zu kompromittieren. Universitäten müssen ihre Sicherheitsmaßnahmen drastisch verbessern, um Forschungsdaten und geistiges Eigentum zu schützen. In einer Zeit, in der KI und sensible Daten zunehmend Ziel von Spionage sind, ist die Illusion der Sicherheit durch Isolation gefährlicher denn je.