Editorialbeitrag: “Made in China“ wird in Netzwerken kritisch betrachtet

Seit sich in den vergangenen 3 Jahren die Hinweise verdichten, dass viele Hackergruppierungen durch den chinesischen und dem russischen Staatsapparat finanziert werden, kritisieren immer mehr Berater aus der IT-Branche auch offen den Einsatz von Netzwerkgeräten aus dieser und unbekannter Herkunft in westlichen Netzwerken. Der Grund liegt in den besseren „Versteckmöglichkeiten“, die eine Hardware gegenüber reiner Software bietet. Was bei reiner Software von Sicherheitssystemen (Virenscanner) sehr gut überwacht werden kann, wird bei eigenständiger Hardware zum Problem:

Da Hardware in der Regel „gehärtet“ ist, bekommt eben dieses Sicherheitssystem keinen Zugriff auf die innere Software. Hintergrundprozesse können folglich auch nicht auf irritierende oder gar schädliche Nebenfunktionen überprüft werden.  Ist die Herkunft des Geräts unbekannt oder kann dem Produzenten nicht vertraut werden, wird die eigentlich als Sicherheitsmerkmal gedachte „Härtung“ eines Embedded OS folgerichtig per se zu einer Schwachstelle innerhalb der Cybersecurity.

Das Sicherheitsdilemma findet sich dabei im Detail:

Viele Anbieter von Netzwerkprodukten, deren Produkte „gescannt“ und für unbedenklich gehalten wurden, sind später in der Lage, ihre Firmware über das Internet automatisch zu aktualisieren. Als Folge muss entweder jede Firmwareversion immer wieder komplett neu geprüft werden - was allerdings wieder nur eine Art „Snapshot“ zu einem Zeitpunkt ist, und keine Sicherheitsgarantie. Am Ende muss man oft „blind“ darauf vertrauen, dass mit dem Firmwareupdate keine Schadsoftware nachgeladen wird.

Um diesem Dilemma vorzubeugen, fordern viele der westlichen Militäreinrichtungen als Sicherheitsfreigabe für den Betrieb in ihren Hochsicherheitsanlagen unter anderem neben der vollständigen Offenlegung des Quellcodes auch die Einbindung von eigenem Code, der ein Gerät zu 100% überprüfbar macht. Geräte die diese „Sicherheitstags“ des jeweiligen Betreibers aufzeigen, werden als „sicheres Gerät“ bevorzugt oder sogar exklusiv eingesetzt.

Im Nicht-militärischen Bereich zählen USV-Anlagen oder Batterien in der heutigen geopolitischen Lage jedoch ebenfalls zu diesen sicherheitskritischen Anwendungen, und sind ebenfalls attraktive Ziele für Hackerangriffe geworden: Das großflächige Kappen der Stromversorgung ist ein erheblicher Angriffsvektor, um eine Gesellschaft auf allen Ebenen, vom zivilen Leben über Verkehr und Wirtschaft bis hin zum Regierungsapparat massiv und nachhaltig zu blockieren oder zu erpressen.

Der Strom, den eine USV liefert, ist selbst keine „Sicherheitslücke“, egal welcher Herkunft das Gerät ist. Nicht aber die Netzwerkschnittstelle! Sicherheitskritische Anwender bevorzugen einen klaren Herkunftsnachweis und Sicherheitsprüfungen, bevor Geräte in Betrieb genommen werden.

GENEREX hat dem Thema Netzwerksicherheit mit dem CS141 bereits seit 2016 einen hohen Stellenwert zugemessen. Daher waren die Berichte über massive Sicherheitslecks bei Prozessoren die unter den Namen „Meltdown“, „Spectre“ oder neuerdings „ J4Log“ in 2022 in der Presse bekannt geworden, nie ein Problem für den CS141/BACS. Allerdings muss man wachsam bleiben – daher bleibt das Thema „Cybersecurity“ für GENEREX das Top Thema auch in diesem Jahr.

„Sicherheit“ kann am Ende nur gewährleisten, wer auch die Firmware kontrolliert!