Eine Einschätzung der Gefährdung kleiner und mittelständischer Unternehmen durch die neuartige Ausspäh-Methode

In einer Welt der Computer und Informationen sind die Methoden, unbefugt an Informationen und Daten zu gelangen, diese zu manipulieren oder dem Angreifer sonst durch unbefugten Zugriff auf fremde Systeme einen Vorteil zu verschaffen, unerschöpflich.

Eine dieser, erst kürzlich aufgedeckten, Möglichkeiten, entpuppt sich als ein Angriff auf den Computer-Nutzer von völlig unerwarteter Seite. Bisher bekannt waren die Gefahren, die von einer Verbindung des Systems mit dem Internet ausging. Ohne eine solche Verbindung galt ein Computer als überaus sicher1 Vgl. hierzu etwa: https://www.pcwelt.de/ratgeber/Die_WLAN-Tricks_der_Profi-Hacker-Know-How-8352578.html, zuletzt abgerufen 18.04.2018. . Forscher von der Ben-Gurion Universität in Israel haben nun jedoch eine Möglichkeit entwickelt, über welche die reine Stromverbindung des Computers bereits ausreicht, um einen Zugriff auf die dort gespeicherten Daten zu erlangen. Einer Netzwerkverbindung bedarf es gerade nicht mehr2 Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, ...continue.

Neu an dieser Methode ist nicht die Infiltration von besonders gesicherten, also insbesondere von Netzwerken gelösten Computern (sog. air-gapped-Computer), sondern die Methode nach der im Anschluss der Infiltration auf die Datenmengen von außen zugegriffen werden zu kann3 Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, ...continue.

Vorgehen der Angreifer

Der Angriff über das Stromnetz setzt im ersten Schritt [1] den Einsatz sog. Malware4 Zur Erklärung des Begriffs: https://praxistipps.chip.de/was-ist-malware_28542, zuletzt abgerufen 18.04.2018. , in diesem Fall als sog. Bridgeware bezeichnet, voraus. Diese Bridgeware ist eine Software, designt um die fehlende Verbindung zwischen dem isolierten (air-gapped) Computer und dem Angreifer zu „überbrücken“5 Guri, Elovivi, „Bridgeware: The Air-Gap Malware“, https://dl.acm.org/citation.cfm?doid=3177230, S. 2 [76], zuletzt abgerufen 18.04.2018. . Diese Bridgeware kann z.B. mittels eines USB-Stick oder eines kurzzeitigen Netzanschlusses des Rechners auf diesem installiert werden6 https://www.netzwelt.de/betrugswarnungen/164680-powerhammer-forscher-demonstrieren-datenklau-via-steckdose.html, zuletzt abgerufen 18.04.2018. .

In einem zweiten Schritt [2] wird eine Art Empfänger verwendet. Dieser Empfänger wird entweder an der mit dem angegriffenen Rechner direkt verbundenen Stromleitung oder am Hauptstromverteiler angebracht, um dort die Stromimpulsmessung zu ermöglichen7 Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, ...continue.

Die Malware kann nun mit der Sammlung von Daten auf dem infiltrierten System beginnen (Schritt [3]). Der eigentliche „Überbrückungs“-Mechanismus verläuft dann über den Zugriff auf ungenutzte Kerne des Systems-Prozessors (Schritt [4]). Durch eine Überlastung dieser Kerne in bestimmten Abständen erzeugt die Software Signale. Die gesammelten Datensignale können auf diese Weise über das Stromnetz, an welchem der Rechner angeschlossen ist, versendet werden. In Form elektromagnetischer Emission gelangen diese dann an den Empfänger des Angreifers, um Sie von dort, etwa über Wi-Fi an diesen weiterzuschicken8 Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, ...continue. Über die Umwandlung dieser Signale bzw. Frequenzen in ein Binärsystem9 Zur Begriffserklärung siehe https://www.itwissen.info/Binaercode-binary-code-BC.html, zuletzt aufgerufen 18.04.2018. können schlussendlich die übertragenen Daten als solche erkenntlich gemacht und ausgewertet werden.

Gefahrenpotenzial der Methode „Powerhammer“

Obwohl die Methode „Powerhammer“ durchaus kompliziert ist, befanden die Forscher der Studie, dass sie nicht die Möglichkeiten interessierter und fähiger Angreifer übersteigt10 Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, ...continue. Die Gefahr bei dieser Methode besteht zunächst in der Überwindung der Isolation besonders geschützter Rechner. Die größere Gefahr eines Angriffs mit der Methode „Powerhammer“ wird daher wohl eher für besonders gesicherte Systeme wie etwa Verteidigungssysteme, kritische Infrastruktur, Finanzsektor und andere Industrien bestehen. Private Rechner sind üblicherweise an Netzwerke angeschlossen, über welche sich mittels der gängigen Methoden einfacher und besonders auch mit Abfluss größerer Datenmengen auf einen Computer zugreifen lässt.

Im Weiteren beschreibt die Studie, dass die Malware keine besonderen Mechanismen benötigt um die Sicherheitssysteme des Computers zu überwinden, da sie lediglich die Nutzintensität des Prozessors manipuliert. Aus diesem Grund bezeichnen die Forscher die Methode „Powerhammer“ als besonders schwer aufzudecken11 Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, ...continue. Daher kann auch für private Nutzer ein Interesse bestehen, sich gegen die oben beschriebene Angriffsvariante zu schützen.

Schutzmöglichkeiten für Nutzer

Grundsätzlich können Nutzer sich gegen die Verwendung von Malware12 https://www.netzwelt.de/malware/162237-malware-so-schuetzt-euch-viren-trojaner-wuermern.html, zuletzt abgerufen 18.04.2018. mit diesen Methoden schützen13 https://www.netzwelt.de/malware/162237-malware-so-schuetzt-euch-viren-trojaner-wuermern.html, zuletzt abgerufen 18.04.2018. :

1. Verwendung eines aktuellen Anti-Viren-Programms.
2. Soweit der Rechner (wenn auch vorübergehend) mit einem Netzwerk verbunden ist, sollten unbekannte Links und Anhänge (z.B. in E-Mails) nicht geöffnet oder heruntergeladen werden.
3. Auch das Öffnen von unseriösen Web-Seiten, birgt das Risiko der Infiltration mit Malware.

Speziell auf die Methode „Powerhammer“ bezogen, empfiehlt die Studie14 Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, ...continue:
1. den Stromfluss über die Leitungen zu kontrollieren um hierüber auf ungewöhnlichen Belastungsspitzen oder etwa versteckte Übertragungsrythmen zu stoßen.
2. sogenannte EMV-Filter zu verwenden, um die elektromagnetischen Emissionen, welche von Dritten gelesen werden können, zu reduzieren. Diese Filter werden grundsätzlich verwendet, damit die elektromagnetische Emission keine Störungen anderer Systeme herbeiführt, können aber hier auch der Verhinderung des Empfangens solcher Signale durch unbefugte Dritte verhindern. Die Studie beschreibt allerdings auch, dass ein Großteil der gängigen Filter für den Frequenzbereich in dem Datenübertragungen noch möglich waren, keine Eignung hat.
3. eine Software einzusetzen, welche selbst konfuse Überlastungssignale erzeugt, um die regelmäßigen Signale, welche die Malware erzeugen könnte, zu stören.
4. die Verwendung eines Intrusion-Prevention-System (IPS), welches Anomalien in der Prozessornutzung erkennt und meldet15 Vgl. z.B. auch https://www.security-insider.de/was-ist-ein-intrusion-prevention-system-ips-a-612859/, zuletzt aufgerufen 18.04.2018. . Da mit der bloßen Überwachung von Prozessorleistungen keine personenbezogenen Daten gespeichert oder verarbeitet werden, wird hier auch keine Rechtfertigung nach der zukünftig in Kraft tretenden Datenschutzgrundverordnung erforderlich sein16 Anders denkbar im Falle von Angriffserkennungssystemen (Intrusion Detection System), welche den gesamten Datenverkehr auswerten um hier ...continue. Ein solches System würde bei der Methode „Powerhammer“ allerdings zu einer enormen Anzahl an Fehlmeldungen führen, da hohe Belastungsspitzen der Prozessoren auch aufgrund zahlreicher nicht-angreifender-Systeme entstehen. Darüber hinaus ließe sich eine IPS-Software über Umgehungstechniken der infiltrierenden Malware selbst austricksen.

Fazit

Über die Möglichkeiten sich vor solchen Angriffen zu schützen hinaus, sei insbesondere dem privaten Nutzer und den meisten kleinen und mittelständischen Unternehmen mitgeteilt, dass neben der hohen Komplexität der beschriebenen Angriffsmethode die hierüber zu gewinnenden Datenmengen im Vergleich zu anderen Methoden letztlich gering sind17 https://www.techbook.de/easylife/powerhammer-hacken-steckdose, zuletzt abgerufen 18.04.2018; Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: ...continue. Somit dürften im Wege dieser Ausspähmethode überwiegend Passwörter oder Adressen, sowie ähnlich kleine Datenblöcke abgerufen werden. Auch dies spricht dafür, dass eine Gefahr vorwiegend für besonders isolierte, wichtige Systeme, besteht, wo eine andere Möglichkeit als die Infiltration über ein angebundenes Netzwerk nicht zur Verfügung steht. Um dennoch einem etwaigen Angriff vorzubeugen, stehen dem oben genannten Nutzer einige Werkzeuge zur Auswahl.

Referenzen   [ + ]

1.  Vgl. hierzu etwa: https://www.pcwelt.de/ratgeber/Die_WLAN-Tricks_der_Profi-Hacker-Know-How-8352578.html, zuletzt abgerufen 18.04.2018.
2.  Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, zuletzt abgerufen 18.04.2018.
3.  Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, S. 1, zuletzt abgerufen 18.04.2018; vgl. auch Guri, Elovivi, „Bridgeware: The Air-Gap Malware“, https://dl.acm.org/citation.cfm?doid=3177230, S. 1 [75], zuletzt abgerufen 18.04.2018.
4.  Zur Erklärung des Begriffs: https://praxistipps.chip.de/was-ist-malware_28542, zuletzt abgerufen 18.04.2018.
5.  Guri, Elovivi, „Bridgeware: The Air-Gap Malware“, https://dl.acm.org/citation.cfm?doid=3177230, S. 2 [76], zuletzt abgerufen 18.04.2018.
6.  https://www.netzwelt.de/betrugswarnungen/164680-powerhammer-forscher-demonstrieren-datenklau-via-steckdose.html, zuletzt abgerufen 18.04.2018.
7.  Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, S. 5, zuletzt abgerufen 18.04.2018.
8.  Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, S. 5, zuletzt abgerufen 18.04.2018.
9.  Zur Begriffserklärung siehe https://www.itwissen.info/Binaercode-binary-code-BC.html, zuletzt aufgerufen 18.04.2018.
10. Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, S. 5, zuletzt abgerufen 18.04.2018.
11. Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, S. 12, zuletzt abgerufen 18.04.2018.
12.  https://www.netzwelt.de/malware/162237-malware-so-schuetzt-euch-viren-trojaner-wuermern.html, zuletzt abgerufen 18.04.2018.
13.  https://www.netzwelt.de/malware/162237-malware-so-schuetzt-euch-viren-trojaner-wuermern.html, zuletzt abgerufen 18.04.2018.
14.  Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, S. 13, zuletzt abgerufen 18.04.2018.
15. Vgl. z.B. auch https://www.security-insider.de/was-ist-ein-intrusion-prevention-system-ips-a-612859/, zuletzt aufgerufen 18.04.2018.
16. Anders denkbar im Falle von Angriffserkennungssystemen (Intrusion Detection System), welche den gesamten Datenverkehr auswerten um hier Auffälligkeiten aufzudecken, MMR 2017, 795.
17. https://www.techbook.de/easylife/powerhammer-hacken-steckdose, zuletzt abgerufen 18.04.2018; Guri, Zadov, Bykhovsky, Elovici, „PowerHammer: Exfiltrading Data from Air-Gapped Computers through Power Lines“, https://arxiv.org/pdf/1804.04014.pdf, S. 15, zuletzt abgerufen 18.04.2018.