Rechenzentren und die Fülle an Informationen, die sie enthalten, sind ein wichtiges Angriffsziel für Cyberkriminelle. Findet der Angreifer jedoch keine dem Internet zugewandte Schwachstelle, erfordert das direkte Eindringen in ein Datenzentrum einen erheblichen Aufwand und viel Planung. Daher sind Cyberangriffe auf Rechenzentren in der Regel geduldige, ausgereifte Operationen, die auf Ausdauer setzen und unter dem Radar der Sicherheitsteams fliegen müssen.

 

Die wichtigsten Angriffsvektoren gegen Rechenzentren

 

Die erste Angriffstechnik auf Datenzentren umfasst das Ausnutzen des administrativen Zugriffs. Über Verwaltungsprotokolle können sich Angreifer durch die Hintertür Zugang zum Rechenzentrum verschaffen. Dabei müssen sie keine Anwendungsschwachstelle direkt ausnutzen. Durch die Verwendung von Standard-Verwaltungstools können sich Angreifer leicht in den normalen Verwaltungsverkehr einmischen. Zusätzlich zu den Standardpfaden, die von Administratoren verwendet werden, verlassen sich viele Rechenzentren auf lokale Authentifizierungsoptionen.

 

Diese können im Notfall verwendet werden, um auf Hosts und Arbeitslasten zuzugreifen. Lokale Authentifizierungsoptionen werden jedoch nicht immer protokolliert. Der Einfachheit halber werden oft dieselben Anmeldedaten für Hosts und Workloads verwendet. Finden Angreifer die Anmeldeinformationen durch die Kompromittierung eines Administrators, können sie unbemerkt auf das Rechenzentrum zugreifen. Dabei müssen sie nicht befürchten, dass ihre Aktivitäten protokolliert werden.

 

Angriffe durch die Hardware-Hintertür

 

Die lokale Authentifizierung ist ein Beispiel für eine Hintertür, durch die sich Angreifer Zugang zum Rechenzentrum verschaffen können. Es gibt jedoch auch andere Beispiele, die denselben Ansatz verfolgen und tiefer in die Hardware eindringen. Obwohl viele Hardwarehersteller ihre eigenen Versionen anbieten, basieren sie trotzdem alle auf das Intelligent Platform Management Interface (IPMI) und führen die gleichen Funktionen aus. IPMI und die dazugehörigen Protokolle weisen Sicherheitsschwächen auf und werden oft nur langsam aktualisiert und korrigiert.

 

Die Kombination aus IPMI-Schwachstellen und seiner immensen Leistungsfähigkeit macht es zu einem wichtigen Angriffsvektor für Cyberkriminelle. Durch die Verwendung von Standard-Verwaltungstools wie SSH (Secure Shell), Telnet oder RDP (Remote Desktop Protocol) können sich Angreifer problemlos im normalen Verwaltungsnetzwerkverkehr bewegen. IPMI und die zugehörigen Protokolle weisen gut dokumentierte Schwachstellen auf. Sie erhalten normalerweise nur langsam Updates und Fixes. Darüber hinaus gibt es derzeit IPMI-Schnittstellen von Hosts, die dem Internet ausgesetzt sind. Diese Schwachstellen machen IPMI zu einem wichtigen Angriffsvektor für böswillige Akteure, die versuchen, die Sicherheit von Rechenzentren zu gefährden.

 

Erfahren Sie mehr über Strg Alt Entf RDP Tastenkombination hier.

 

Fortgeschrittene Angreifer zielen tief

 

Hardware-Probleme in Rechenzentren enden nicht mit IPMI. Fortgeschrittene Cyberkriminelle zielen zunehmend auf physische Server, Router und Firewalls ab. Grundsätzlich verwenden diese Angreifer Rootkits, die unterhalb der Ebene des Betriebssystems angesiedelt sind. Mit herkömmlichen Methoden sind diese Schwachstellen nur schwer aufzuspüren. Diese Angriffstechniken ermöglichen es Hackern, genau die Geräte zu infizieren, die für den Schutz des Netzwerks zuständig sind. Sie nutzen die infizierte Hardware dann, um Angriffe auf tieferen Ebenen des Netzwerks zu starten. Das eigentliche Ziel der meisten Cyberangriffe ist der Diebstahl von Daten. Subtile Angreifer versuchen, sich unauffällig zu verhalten. Sie exfiltrieren geduldig Daten in einem Tempo, das keinen Verdacht erregt. Denkbar ist auch, die Datenexfiltration in versteckten Tunneln innerhalb des normalerweise erlaubten Datenverkehrs zu verschleiern.

 

Die Sicherheit des Rechenzentrums sicherstellen

 

Rechenzentren sind für jedes Unternehmen einzigartig. Sie unterscheiden sich je nach Anwendung und Art der Interaktion mit den Benutzern. Die häufigste Art ist heute das private Unternehmensrechenzentrum. Angriffe auf diese Rechenzentren sind in der Regel Erweiterungen von Angriffen auf größere Unternehmen. So können Angreifer beispielsweise zunächst über eine Phishing-Mail oder Social Engineering in den Laptop eines Mitarbeiters eingedrungen sein. Anschließend versuchen die Angreifer in der Regel, sich innerhalb des Netzwerks zu etablieren, indem sie sich vom ursprünglichen Opfer auf andere Hosts und Geräte ausbreiten. Um den laufenden Angriff zu kontrollieren, bauen Angreifer Hintertüren oder versteckte Tunnel ein, um von innerhalb des Netzwerks zu kommunizieren.

 

Im Laufe der Zeit erstellen die Angreifer eine Karte des internen Netzwerks, identifizieren wertvolle Ressourcen und kompromittieren auf diesem Weg Geräte und Benutzeranmeldedaten. Das begehrteste Diebesgut für Angreifer sind die Zugangsdaten von Administratoren. Schließlich sind Administratoren oft die einzigen Personen, die auf Daten in großem Umfang zugreifen können. Der entscheidende Punkt ist, dass ein Cyberangriff in der Regel ausgereift ist, wenn er das Rechenzentrum erreicht. Der verdeckte Befehls- und Kontrollverkehr und die Kompromittierung von Benutzer- und Administratorinformationen sind Voraussetzungen, die zum Eindringen in das Rechenzentrum führen. Ein gängiger Ansatz besteht darin, Daten in Stapeln aus dem Rechenzentrum zu verschieben. Dies kann direkt im Internet oder in einem zwischengeschalteten Bereich erfolgen. Ein subtiler, geduldiger Angreifer kann versuchen, die Daten so langsam wie möglich abzurufen. Dies macht es weniger wahrscheinlich, dass der Prozess Verdacht erregt.

 

Wirksamer Schutz von Serverräumen und Rechenzentren

 

Ein Rechenzentrum mit Servern, Speichern und Netzwerken ist oft das Herzstück eines Unternehmens. Der Schutz von Prozessen und IT-Systemen ist eine wesentliche Aufgabe. Strukturierte Prozesse für den Zugriff auf Rechenzentren sind unerlässlich. Die Zugriffskontrolle sollte mit mehreren parallel genutzten Programmen verwaltet werden. Sowohl erfolgreiche als auch nicht erfolgreiche Identifikationsvorgänge werden protokolliert und gespeichert. Wichtig ist auch, nicht nur Zutritt, sondern auch Austritte aus dem Rechenzentrum zu protokollieren.

 

Im Falle einer nicht konformen Abmeldung können so temporäre Zutrittsberechtigungen entzogen und später der Zutritt verweigert werden. Organisatorische Vorschriften und Verfahrensdokumentationen dokumentieren die Verantwortlichkeiten für den Zugriff auf Rechenzentren, die Erteilung von Berechtigungen, Kontrollen und Überwachungen sowie unabhängige Audits von Verfahren, gemäß den Standards ISO 27001 und SSAE 16. Um die Sicherheitsmaßnahmen des Rechenzentrums zielgerichtet umzusetzen, gehört die Einrichtung von Sicherheitszonen zu den organisatorischen Aufgaben des Rechenzentrumsbetreibers. Auf diese Weise können sensible Bereiche getrennt werden, um für jeden Bereich ein homogenes Sicherheitskonzept umzusetzen.

War das hilfreich?

Weitere Artikel

Atera ist jetzt SOC 2 Typ 2 konform!

Jetzt lesen

Was ist ein IT-Sicherheitskonzept?

Jetzt lesen

Was ist ein Ransomware-Angriff?

Jetzt lesen

Was ist eine Brute Force Attacke?

Jetzt lesen

Stärken Sie Ihr IT-Team mit KI-gestützter IT

Nutzen Sie die Leistung der KI, um Ihre IT-Effizienz zu 10-fachen. Befreien Sie Ihr Unternehmen von den Einschränkungen der gestrigen IT-Tools.