Interview

Drohnenattacken aufs RZ.

26.2.2015 (bz) – Rainer F. Kubbutat (rk) schockt RZ-Betreiber: "Geben Sie mir 10.000 Euro und ich lege Ihr Rechenzentrum lahm!“ Als Referent und Drohnentüfftler warnt er vor dem Gefahrenpotenzial durch "autonome Systeme“. Bernd Zimmermann (bz) sprach mit ihm.

 

Hocheffiziente Angriffswaffen zum Taschengeldpreis?

Könnte auch RZ-Killer-Drohnen bauen:
Rainer F. Kubbutat, Dipl. Ing. (FH)
Bildquelle: Rainer F. Kubbutat

Die Angst vor der potenziellen Gefahr durch Drohnenangriffe wächst. Der Sicherheits-Berater erhält schon seit geraumer Zeit Anfragen von besorgten Unternehmen und Rechenzentrumsbetreibern, wie der Gefahr zu begegnen sei. Und spätestens nach den jüngsten Drohnensichtungen über verschiedenen Objekten (aktuell über Paris) sind auch die Behörden alarmiert. Grund genug, sich einmal damit auseinanderzusetzen, was aus Angreifersicht mit Drohnen überhaupt machbar ist – und mit welchem Aufwand. Dazu äußert sich unser Interviewpartner Rainer F. Kubbutat:

bz: Beim 6. VZM-Netzwerktreffen für RZ-Leiter, CIOs und Facility Manager der Simedia GmbH, die zur gleichen Firmengruppe gehört wie der Sicherheits-Berater, treten Sie als Drohnenexperte auf. Wie wird man das denn?

rk: Ich sehe mich selbst eigentlich nicht als Drohnenexperten, weil mir der Begriff als zu verengend erscheint. Ich beschäftigte mich auch nicht nur mit Drohnen, die ich schon lange nicht mehr als reine Flugkünstler, sondern lieber als Bugs bezeichne – Wanzen also, die Befehle ferngesteuert oder eigenständig ausführen. Mein Thema sind die sogenannten "autonomen Systeme“. Das können Autos, Flugzeuge, Hubschrauber, Multicopter, Boote oder Roboter sein. Aber für die Zwecke des Seminars ist es sicher ganz okay, mich als "Drohnenexperten“ zu bezeichnen.

bz: Ihr Auftritt steht unter der Überschrift "Drohnen – Spielzeuge oder ernsthafte Gefahr für Rechenzentren?“

rk: Ohne den Teilnehmern die Spannung nehmen zu wollen, kann ich diese Frage schon beantworten: Drohnen können durchaus beides sein. Wobei Sie bei dem Stichwort "Spielzeug“ schon etwas genauer hinsehen müssen. Damit meinen wir ja nicht Airfixmodelle zum Anschauen oder Plastikpistolen ohne Funktion. Spielzeuge von heute, auch Smartphones, sind vollgestopft mit Sensorik, wie sie auch in der Militär- und Waffentechnik Verwendung findet. Denken Sie nur einmal an die Nintendo-Spielekonsole Wii. Das Ding enthält in seinen Controllern unter anderem hochleistungsfähige Gyrosensoren, die Positionen im dreidimensionalen Raum ebenso berechnen können wie Beschleunigungen. Diese Technik findet zum Beispiel in den aktuellen Steuerungssystemen Verwendung und ist für kleines Geld zu erwerben. Heute bekommen Sie hocheffiziente Steuerungssysteme zum Taschengeldpreis mit der Leistung eines bekannten Einplatinencomputers , der Ihnen hochflexible Erweiterungsmöglichkeiten bietet, um Ihre Drohne präzise zu steuern und zu stabilisieren. Eine Drohne ist ja nichts anderes als eine Schwebeplattform. Als herkömmliche Spielzeugdrohne stürzt die Ihnen vielleicht schon bei Windstärke 4 ab. Eine Drohne, an die jemand mit technischem Know-how Hand anlegt, lässt sich dagegen auch bis Windstärke 12 – da fliegt kein Hubschrauber, oder was immer von Menschen gesteuert wird, mehr – noch stabilisieren und einsatzfähig halten.

bz: Dann steht sie unbeeindruckt vom Wetter und unbeweglich in der Luft. Was ist daran so gefährlich?

rk: Erst wenn sie stabil in der Luft steht, kann sie zum Beispiel gestochen scharfe Fotos schießen. Mit einer Wärmebildkamera kann sie problemlos feststellen, wo kalte Luft ins Rechenzentrum hineingeht und wo warme wieder herauskommt. Damit lassen sich die Ansaugpropeller der Klimaanlage, also Öffnungen ins Rechenzentrum, lokalisieren. Und auch das Schießen im wörtlichen Sinne wird überhaupt erst einer stabilen Schwebeplattform gelingen. Damit könnten Sie dann klassische oder auch ABC-Kampfstoffe abfeuern oder auch einen Brand entfachen, ohne Spuren zu hinterlassen.

Mich wundert schon lange, dass da noch nichts Schlimmes passiert ist. Für 900 Euro bekommen Sie beim MediaMarkt um die Ecke eine Videodrohne mit Skycontroller. Die können Sie ganz präzise zwischen Bäume im Wald navigieren: Schauen Sie sich nur einmal das Werbevideo hinter diesem Link an – aber bitte bis zum Ende! Ein Ready-to-fly-System mit Monitorfernsteuerung plus Speicherchip plus Modellflugzeug plus Kamera gibt´s aber auch schon für um die 260 Euro. Allerbeste Flugeigenschaften sind also mittlerweile für extrem niedrige Geldbeträge garantiert. Und die Komponenten zur Herstellung von Sprengstoffpaketen zum Drunterklemmen kennt jeder Mittelstufenschüler – ganz gewiss aber ein Chemiestudent. Diese Stoffe bekommen sie ja in jedem Baumarkt oder in jeder Apotheke – auf jeden Fall im Internethandel mit kostenloser Zustellung. ( … )*

bz: Rechnen Sie denn prinzipiell mit einem Beschuss von Rechenzentren?

rk: Nun, ich bin Ingenieur und kein Kriminalstatistiker. Mir liegen auch keine Hinweise auf derartige Bedrohungen vor. Und ich kann nur hoffen, dass da niemand auf dumme Gedanken kommt. Aber ich kann Ihnen versichern, dass das in technischer Hinsicht jedenfalls keine unüberwindbare Hürde ist. Im Gegenteil: Die Hürden bei der Materialbeschaffung sind lächerlich gering. Sie glauben ja nicht, was Sie vollkommen anonym im Baumarkt, bei Conrad Electronic oder Hobbyking – oder interessanter Weise per Ebay in den USA - alles kaufen können, was sich zu terroristischen oder spionagetechnischen Mitteln nutzen lässt.

Kerosin für Ihre Mikroturbine können Sie kinderleicht selbst herstellen – Salatöl und Waschbenzin aus dem Aldi genügen. Das Mischungsverhältnis verrate ich nicht, auch wenn man das aus dem Internet bekommen kann! Wenn Sie sich im Aldi ein Handy im Sonderangebot kaufen, haben Sie ein GPS-System in der Tasche, dass mit einer Genauigkeit zwischen 10 und 300 Metern funktioniert. Wenn´s genauer sein soll, überlagern Sie die Daten von GSM, GPS und GLONASS und lösen noch sehr viel genauer auf. Hochprofessionell wird´s sogar mit einem Differential-GPS, wie es auf Großbaustellen genutzt wird, um zum Beispiel Brückenteile im Subzentimeterbereich zu positionieren, damit sich die beiden Seiten auch exakt in der Mitte treffen.

Und mit dem neuen Satellitensystem Galileo werden Sie jedes autonome System auch ohne großen Aufwand auf den Zentimeter genau steuern können. Satellitentechnik und Hightechantriebe bekommen Sie heute ja quasi an jeder Ecke. Gehen Sie nur einmal auf pearl.de oder jetcat.de und staunen Sie, wie billig heute GPS-Tracker und Hochleistungsmodellturbinen sind. Bei Conrad.de und Hobbyking.com bekommen Sie zusätzlich noch die Modellbauteile mit dazu. Damit könnte ich, wenn ich wollte, zum Beispiel einen Highspeedflieger zusammenbasteln, der die Antriebsturbinen abschaltet, dann geräuschlos in fast 1.000 Fuß im Gleitflug Ihr Rechenzentrum überquert, hochauflösende Spionagefotos in diversen Wellenlängenbereichen mit Zoomkameras anfertigt und anschließend die Turbinen wieder startet und den Heimweg antritt.

bz: Sie wollen damit sagen, dass sich die Einzelteile für Fluggeräte mit hohem Ausspäh- oder Zerstörungspotenzial als Bastlerbedarf beschaffen lassen?

rk: Na ja, das ist ja kein Geheimnis, dass Bastler heute aus frei erhältlichen Bauteilen Dinge konstruieren können, die schier Unglaubliches anstellen können. Schlagen Sie auf Wikipedia nur einmal das Stichwort "F3B“ (Anm. d. Redaktion: eine Modellflug-Wettbewerbsklasse) nach, schauen Sie sich auf Youtube die Experimente mit Robotern an, geben Sie nur das Stichwort "autonomous“ oder "robotic“ ein und Sie kommen aus dem Staunen nicht mehr heraus.

Sie erhalten so zumindestens eine Vorahnung, was sich alles für einen Angriff auf Ihr Rechenzentrum zweckentfremden lässt. Es geht ja nicht nur darum, dass Drohnen so toll fliegen und überwachen können. Die können auch kleinere autonome Systeme transportieren, die sich wiederum zusammenfalten und schwarmartig in Röhren eindringen, in Ihrem Gebäude breit machen und alles Mögliche offen oder verdeckt anstellen können. Wenn Sie die mit der Fähigkeit ausstatten, sich per Induktionstechnik aufzuladen, fühlen die sich in Ihrem Rechenzentrum so richtig wohl. Dort gibt es ja bekanntlich genügend Energiequellen, zum Beispiel auch die für Ihre PoE-Anschlüsse in entsprechenden Switchen oder welche Energieversorgung auch immer.

Und es gibt auch Methoden, die Eindringlinge zwecks Spurenbeseitigung später wieder abzuholen, sie also autonom zurückkehren zu lassen. Geben Sie mir 10.000 Euro und ein paar freie Tage und ich baue Ihnen einen Marschflugkörper ähnlich dem legendären Tomahawk, der Ihr Rechenzentrum mit ein paar Kilo hochbrisantem Sprengstoff attackiert. Eine Drohne, die einem Rechenzentrum ohne entsprechende Planung und Vorkehrungen richtig Stress bereitet, bekomme ich auch schon für die Hälfte hin. So lautet jedenfalls mein fiktives Angebot an meine Zuhörer zum Zwecke der Sensibilisierung.

bz: Haben Sie denn auch Gegenstrategien anzubieten?

rk: Wenn autonome, mit Sprengstoffen bestückte Drohnen oder Roboter Ihr Rechenzentrum in einem terroristischen Akt massiv beschädigen wollen, haben Sie nur wenig Chancen. Hier bleibt nur Ihr Backup-RZ als einzige Gegenmaßnahme. Aber gegen Störattacken und das Abgreifen von Daten gibt es doch die eine oder andere präventive Maßnahme, die jedoch durch den technischen Fortschritt schnell wieder konterkariert wird. Im Grunde müssen Sie sich heute auf ein ständiges Tauziehen mit einem Angreifer einstellen. Voraussetzung für Prävention ist jedoch immer, dass man die vielfältigen Möglichkeiten eines Angreifers überhaupt einmal kennt und genügend Fantasie besitzt, die unterschiedlichen Möglichkeiten des Angriffs kombiniert mit entsprechenden Gegenmaßnahmen frühzeitig einzuplanen. Dabei gilt die Losung: Nur der noch größere Lump bringt den Lumpen zur Strecke. Dafür zu sensibilisieren ist meine Aufgabe als Referent bei besagtem Simedia-Seminar.

* Sicherheits-Berater direkt hat das Interview um die Stellen gekürzt, die als konkrete Bastelanleitung missbraucht werden könnten.

Informationen zum 6. VZM-Netzwerktreffen für RZ-Leiter, CIOs und Facility Manager und Rainer Kubbutats Referat finden Sie auf www.simedia.de.

Bild Drohne: mit freundlicher Genehmigung von www.meinkopter.de

 

Kontakt zum Interviewpartner:
rkubbutat@ncc-online.de (Rainer F. Kubbutat)

Kontakt zur Redaktion:
bz@sicherheits-berater.de (Bernd Zimmermann)