
Trotz Air Gap: Wie Datendiebstahl auch ohne Internetverbindung möglich ist
von Tina Siering

Warum Datendiebstahl auch ohne Internetverbindung möglich ist
Ein "Air Gap“ ist eine Maßnahme zur Abschottung von Computersystemen oder Netzwerken, um sie vor unbefugtem Zugriff oder Infektionen durch Malware oder andere Bedrohungen zu schützen. Dabei werden die Systeme so konfiguriert, dass sie keine Verbindung zum Internet oder anderen Netzwerken haben und somit nicht von außen erreichbar sind. Ein "Air Gap“ kann zum Beispiel in Regierungseinrichtungen, militärischen Einrichtungen oder Unternehmen genutzt werden, um äußerst sensible Daten zu schützen.
Ohne dauerhafte Verbindung zum Internet kein Risiko für Cyberangriffe, soweit die logische Schlussfolgerung in der Theorie. In der Praxis kann es leider auch anders aussehen, wie israelische Sicherheitsexperten kürzlich bewiesen haben.
Der israelische Sicherheitsforscher Mordechai Guri der Ben-Gurion-Universität hat eine Studie über eine weitere Methode zum Exfiltrieren von Daten aus einem Air-Gap-Netzwerk veröffentlicht. Es wurde eine Möglichkeit gefunden, das Funktionsprinzip der Spannungsumschaltung für das Exfiltrieren von Daten zu nutzen. Im beschriebenen Szenario wurde der untersuchte Rechner mit einer bösartigen Malware (COVID-bit genannt) kontrolliert. Unter Ausnutzung elektromagnetischer Niederfrequenzstrahlung gelang es, in luftgestützte Systeme einzudringen, die von dem betreffenden Computer erzeugt wurden.
Guri und sein Team konnten die CPU-Last modifizieren – und damit auch ihre Frequenz und Spannung. Der infizierte Rechner sendete sodann elektromagnetische Strahlung in einem Niederfrequenz-Bereich von 0 bis 48 kHz aus. Der Angreifer muss sich nicht im gleichen Raum wie das Zielsystem befinden, da die erzeugte elektromagnetische Strahlung eine Wand durchdringen kann. Einige wenige Meter von der CPU entfernt reichten.
Zusammengefasst: Die Malware war in der Lage, elektromagnetische Wellen so zu beeinflussen, dass sie zum Transport von Daten hätten missbraucht werden können. Angreifer, die mit passenden Empfängern ausgerüstet sind, könnten die Daten über kurze Distanz direkt auf dem Smartphone auswerten.

Quelle: https://arxiv.org/pdf/2212.03520.pdf
Damit COVID-Bit und andere Cyberangriffe auf abgeschirmte Rechner funktionieren, muss jedoch initial maßgeschneiderter Malware eingeschleust werden (z. B. durch einen betrügerischen Insider). Mitunter reicht hierfür sogar schon ein kompromittierter USB-Stick.
Der simulierte Cyberangriff der israelischen Forscher zeigt aber nicht die einzige Form, wie Cyberkriminelle sich Zugang zu Air-gapped-Systemen verschaffen können.
Weitere physikalische Signale, die sich zum Datendiebstahl eignen
PCs oder Laptops erzeugen durch ihren Betrieb zwangsläufig physikalische Signale, auch wenn sie nicht mit dem Internet verbunden sind. Die elektromagnetischen Signale, die sich die Sicherheitsforscher zunutze gemacht haben, sind nur ein kleiner Teil der Physik, die sich ganz unbemerkt von den menschlichen Sinnen rund um einen laufenden Rechner abspielen. Andere mögliche Angriffsvektoren und Kanäle sind:
Ultraschall
Ultraschall ist ein hochfrequenter Schall, der im Bereich von 20 kHz bis mehreren Gigahertz liegt. Frequenzen von mehr als 20 kHz können vom menschlichen Ohr nicht mehr wahrgenommen – aber von Cyberkriminellen für die Datenübertragung missbraucht werden. Hierzu braucht es eine Malware, die Daten verschlüsseln, komprimieren und per Ultraschall übertragen kann. Ein weiteres, ebenfalls infiziertes Gerät in der Nähe, beispielsweise ein Tablet oder Smartphone, kann diese Daten empfangen und übertragen.
Elektromagnetismus
Jeder elektrische Strom erzeugt ein elektromagnetisches Feld. Steuert man den Strom, steuert man auch das Feld – wie wir am COVID-Bit Cyberangriff der israelischen Forscher gesehen haben und die Manipulation der CPU ist dabei nur eine Option. Denkbar wäre hier auch eine Malware, die eine Sequenz von Signalen an den Bildschirm des Rechners sendet und das Monitorkabel in eine Funkantenne umwandelt. Durch gezielte Manipulationen der Frequenzen ist es dann möglich, Daten zu versenden, die mit einem FM-Empfänger empfangen werden können. Auch USB-Anschlüsse, Stromkabel, GPIO-Schnittstellen (General-Purpose Input/Output) oder der Speicherbus lassen sich mit entsprechender Malware für eine elektromagnetische Datenübertragung verwenden.
Magnetismus
Beim Magnetismus werden Kräfte in Magnetfeldern durch die Bewegung von Elektronen in Atomen erzeugt. Im Bereich der IT sind es vor allem die Prozessoren, die hochfrequente magnetische Strahlung emittieren. Wird nun die Last des Prozessors durch entsprechende Malware manipuliert, kann die magnetische Strahlung kontrolliert werden – und für die Übertragung von Daten genutzt werden. Für den Empfang braucht es nur einen Magnetsensor, der beispielsweise an den seriellen Port eines benachbarten Rechners angeschlossen ist.
Optik
Jeder Rechner besitzt zumindest eine, meist aber mehrere LEDs, die unterschiedliche Funktionen des Gerätes signalisieren. Cyberangreifer können die kleinen Leuchtdioden auch für den Datendiebstahl hoch gesicherter Rechner verwenden. Hierzu kann beispielsweise eine Überwachungskamera gehackt werden, die die optischen Signale des vorher kompromittierten Zielrechners einfängt und nach draußen überträgt. Da moderne Kameras auch im Infrarot-Bereich arbeiten, der für das menschliche Auge unsichtbar ist, lassen sich diese Angriffe auch bei genauem Hinsehen nicht enttarnen.
Thermodynamik
Jedes IT-System erzeugt im Betrieb Wärme. Prozessoren, Grafikkarten oder Festplatten erhitzen sich bei Verwendung – ein physikalischer Prozess, der auch für Cyberangriffe genutzt werden kann. Durch Malware wird das infizierte Gerät zu Temperaturänderungen angeregt, ein weiteres Gerät protokolliert diese Änderungen, wandelt sie in Informationen um und versendet diese über das Internet an den Hacker. Die Kommunikation über thermische Signale ist allerdings physikalisch räumlich begrenzt – sie funktioniert nur über eine Entfernung bis maximal 40 Zentimetern.
Seismische Wellen
Über Vibrationen lassen sich ebenfalls Daten übertragen. Hierzu wurde in einem Versuch die Drehzahl des Computerlüfters manipuliert. Die ausgesendeten Schwingungen lassen sich über Beschleunigungsmesser auf dem Smartphone einfangen – sofern das Smartphone auf der gleichen Oberfläche liegt wie der kompromittierte Rechner.
So schützen Organisationen ihre Air Gap Rechner vor Datendiebstahl
Die wirkungsvolle Maßnahme, um abgeschirmte und nicht mit dem Netz verbundene Rechner vor Air-Gap-Angriffen zu schützen, ist der Verzicht auf jegliche USB-Speichersticks oder Festplatten aus unbekannten Quellen. Denn so interessant die physikalischen Möglichkeiten auch sind: Keine der genannten Angriffe funktioniert ohne im Vorfeld eingeschleuste Malware. Noch sicherer ist es, vorhandene USB-Schnittstellen am Rechner direkt zu deaktivieren. Zusätzlich sollte der Raum, in dem der kritische Rechner steht, sowohl vor Menschen als auch anderen technischen Geräten abgeschirmt werden. Vorhandene LEDs sollten entweder abgeklebt oder gleich demontiert werden. Die Verwendung von Audiogeräten aller Art im Umfeld des Rechners sollte untersagt und die magnetische Strahlung regelmäßig gemessen und kontinuierlich überwacht werden. Sofern der isolierte Rechner für Standardaufgaben verwendet wird – was bei Air-Gap-Rechnern häufig der Fall ist – empfehlen wir den Default Deny Modus. Dieser Modus unterbindet automatisch alle unerwarteten Prozesse und die Ausführung unbekannter Programme.
Fazit
Air Gap ist eine Maßnahme, die als besonders sicher gilt. Schließlich sind Air Gap-Rechner vollständig isoliert, nicht mit dem Netz verbunden und damit sicher vor Cyberangriffen. Zumindest in der Theorie, denn wie israelische Forscher nun belegt haben, lässt sich mit ausreichend krimineller Energie und physikalischen Grundgesetzen auch der beste Schutz aushebeln. Datendiebstahl ist also auch ohne Internetverbindung möglich. Es reicht ein USB-Stick aus unbekannter Quelle oder ein guter Social Engineer, um Daten via Ultraschall, Elektromagnetismus oder Schall abzugreifen. Umso wichtiger ist der Grundsatz: Niemals Datenspeicher aus unbekannten Quellen verwenden!