Wenn der Todesstern eine Sicherheitslücke hat
In der Welt von Star Wars faszinieren uns vor allem die epischen Schlachten im All, nicht zuletzt wegen der dargestellten Technologien – als Paradebeispiel der Todesstern. Mit Blick durch die Admin-Brille stellt sich folgende Frage: Wie gut ist denn eigentlich die gebäudetechnische Security-Strategie der gigantischen Raumstation?
Kurz & knapp
- In Episode 2 unserer humorvollen Star Wars-Reihe überprüfen wir die gebäudetechnische Sicherheitsstrategie des Todessterns.
- Moderne Gebäude wie die Raumstation sind oft von einem einzelnen Sicherheitssystem abhängig, was eine gravierende Schwachstelle darstellt.
- Mangelnde Redundanz und unzureichende Sicherheitsmaßnahmen ermöglichen es Eindringlingen, leicht das gesamte System zu kompromittieren.
- Eine ganzheitliche Security-Strategie, die potenzielle Schwachstellen erkennt, priorisiert, behebt und dokumentiert, ist entscheidend, um Sicherheitslücken in der Gebäudetechnik zu minimieren.
Anmerkung der Redaktion: Dies ist der zweite Teil einer Artikelreihe, in denen wir Parallelen zwischen alltäglicher IT und der Star Wars-Saga ziehen. In der ersten Episode haben wir uns vorgestellt, wie baramundi sich als Held im Universum machen würde. Für Episode 2 wagen wir uns heute an Bord einer bekannten Raumstation.
Moderne Gebäude, zu denen ich in unserem Gedankenexperiment heute auch den Todesstern zähle, haben eine gravierende Schwäche: Sie sind meist übermäßig abhängig von
einem einzelnen Sicherheitssystem. Im Fall des Todessterns ist es der sogenannte Thermal Exhaust Port – ein winziges Loch, das von den Rebellen ausgenutzt wird, um die gesamte
Station zu zerstören.
Ähnliches sehen wir bei vielen Gebäuden in unserem realen Umfeld. Ein einzelner Zugangspunkt oder eine konkrete Sicherheitsmaßnahme und schnell ist das ganze System kompromittiert. Umso
wichtiger ist es, sich bei der Gebäudetechnik bzw. der Operational Technology von Gebäuden organisatorisch Gedanken zu machen, wie sich solche Schwachstellen erkennen und beseitigen
lassen.
Mangelnde Redundanz und Sicherheitsmaßnahmen
Zurück zum Todesstern: Sein Architekt Galen Erso hat sich darauf verlassen, dass der Thermal Exhaust Port nicht entdeckt und so zum Einfallstor für Angreifer wird. Diese gutgläubige Annahme
sehen wir immer wieder auch in der Gebäudetechnik. Sicherheitsprotokolle werden vernachlässigt, außerdem fehlen Backupsysteme, Firewalls oder Zugangskontrollen. Je leichter
solche halbherzigen Sicherheitsmaßnahmen umgangen werden können, desto einfacher haben Eindringlinge gleich Zugriff aufs ganze System.
Wenn eine Sicherheitsmaßnahme umgangen wird, haben Eindringlinge leichtes Spiel, um das gesamte System zu beeinflussen. So fehlen beispielsweise bei vielen Unternehmen geeignete
Schutzmaßnahmen, die unbefugten Personen den Zutritt konsequent verwehren. Elektronische Mitarbeiterausweise, ein Pförtner oder andere Maßnahmen sollten verhindern, dass
jemand ins Gebäude kommt.
Haben Sie schon mal eine fremde Person im Gebäude gefragt, wie sie hereingekommen ist? Wenn dann noch die Möglichkeit besteht, in unverschlossene Serverräume oder ein ungesichertes
Netzwerk einzudringen, ist die Gefahr nochmal größer. Hier ist der Zugriff auf das jeweilige Netzwerk dann teilweise sehr leicht. Das bedeutet, sowohl der technologische als auch
physische Schutz von Gebäuden ist entscheidend.
Augen auf und durch!
Ist eine potenzielle Schwachstelle erkannt, gilt: Bloß nicht den Kopf in den Sand stecken. Der Thermal Exhaust Port des Todessterns wird als so unwichtig eingestuft, dass er nicht
angemessen geschützt wird.
Ebenso werden in vielen irdischen Gebäuden Sicherheitslücken nicht ausreichend behoben. Wie oft steht man an einem Empfang in einem Gebäude, die Person am Empfang muss kurz
weg etc. Alle Bildschirme dann zu sperren? Wird oft übersehen! Bevor es überhaupt weiter ins Haus geht, steht da schon der erste ungeschützte Rechner. Auch bei Gebäudetechnik gilt also der
zyklische Prozess im Schwachstellen-Management: Nach dem Identifizieren folgen Priorisieren, Beheben und Dokumentieren der gefundenen Vulnerabilities. Nur so lässt sich
vermeiden, dass Angreifer schwerwiegende Sicherheitslücken leicht ausnutzen.
Frühzeitig erkennen und handeln
Im Fall des Todessterns bemerkt das Sicherheitssystem den Angriff der Rebellen zu spät: Die Station wird zerstört, bevor angemessene Gegenmaßnahmen ergriffen werden können. Auf ähnliche
Weise fehlt es in Prozessen der Gebäudeverwaltung oft an schneller Reaktionsfähigkeit.
Ein Beispiel? Die Steuerung der Gebäudeklimatisierung fällt aus. Sieht der Prozess dann vor, den Hausmeister oder einen externen Handwerker zu rufen? Oder zieht der
verantwortliche Mitarbeiter von Anfang an auch einen Cyberangriff in Betracht? Wie die Steuerungen von bestimmten mit dem Internet verbundenen Geräten (IoT) und Systemen funktionieren,
lässt sich heute leicht mit der Suchmaschine shodan.io herausfinden. Ein Angriffsszenario ist also gar nicht so unwahrscheinlich.
Die ganze Raumstation im Blick
Am Todesstern aus Star Wars wird beispielhaft deutlich, wie fatal es werden kann, wenn die Security-Strategie unzureichend ist oder sogar ganz fehlt. Denn wer hierbei
übermäßig abhängig von einem einzelnen Sicherheitssystem ist, keine redundanten Schutzmechanismen einsetzt, potenzielle Schwachstellen ignoriert oder im Fall der Fälle nicht schnell genug
reagiert, hat in realen Gebäuden die gleichen Probleme wie im fiktiven Todesstern.
Um solche Risiken zu minimieren, ist eine ganzheitliche und umfassende Security-Strategie entscheidend. Beispielhafte Bausteine eine solchen Strategie sind die oben genannten
Zugangskontrollen oder Firewalls für die Haustechnik. In jedem Fall muss sie die verschiedenen Aspekte der Gebäudetechnik berücksichtigen – egal, ob Gebäudeklimatisierung
oder Thermal Exhaust Port.
Möge die Sicherheit mit Ihnen sein
Tappen Sie bei der Cybersecurity im Dunkeln? In unserem Whitepaper „Schwachstellen automatisiert erkennen und schnell patchen“ finden Sie alle Informationen, um zum Cyberhero Ihres Unternehmens zu werden.