Viele Organisationen schützen besonders sensible Systeme durch sogenannte Air-Gap-Netzwerke. Dabei werden Computer vollständig vom Internet und anderen Netzwerken getrennt, um Cyberangriffe zu verhindern.

Doch selbst diese scheinbar sichere Isolation bietet keinen absoluten Schutz. Sicherheitsforscher haben gezeigt, dass Daten auch aus vollständig abgeschotteten Systemen gestohlen werden können – über physikalische Signale wie elektromagnetische Wellen, Ultraschall oder Wärme.

Was bedeutet Air Gap?

Ein Air Gap beschreibt eine Sicherheitsmaßnahme, bei der ein Computersystem physisch von anderen Netzwerken getrennt ist.

Typische Einsatzbereiche sind:

• Regierungseinrichtungen

• Militärische Systeme

• Forschungs- und Industrieanlagen

• Unternehmen mit hochsensiblen Daten

Die Idee dahinter: Ohne Internetverbindung können Hacker nicht auf das System zugreifen.

In der Praxis existieren jedoch indirekte Wege zur Datenübertragung, die sich Cyberkriminelle zunutze machen können.

Studie zeigt: Datendiebstahl über elektromagnetische Strahlung

Der israelische Sicherheitsforscher Mordechai Guri von der Ben-Gurion University of the Negev untersuchte eine Methode zur Datenexfiltration aus Air-Gap-Systemen.

Dabei nutzten die Forscher eine Malware namens COVID-bit, die die CPU-Auslastung manipuliert.

Das Ergebnis:

• Veränderung von Frequenz und Spannung der CPU

• Erzeugung elektromagnetischer Strahlung (0–48 kHz)

• Übertragung von Daten über kurze Distanz

• Empfang der Signale über ein Smartphone oder einen Empfänger

Selbst Wände stellen dabei kein vollständiges Hindernis dar – wenige Meter Abstand reichen aus, um Signale auszulesen.

Weitere physikalische Angriffswege auf Air-Gap-Systeme

Elektromagnetische Wellen sind nur eine von mehreren Methoden. Computersysteme erzeugen im Betrieb viele physikalische Signale, die theoretisch zur Datenübertragung genutzt werden können.

Ultraschall

• Hochfrequente Töne über 20 kHz

• Für Menschen unhörbar

• Datenübertragung zwischen infizierten Geräten möglich

Elektromagnetische Signale

• Elektrischer Strom erzeugt elektromagnetische Felder

• Malware kann Frequenzen manipulieren

• Kabel oder Monitore können als Antennen dienen

Magnetische Signale

• Prozessoren erzeugen magnetische Strahlung

• Änderungen der CPU-Auslastung ermöglichen Datenübertragung

• Empfang über Magnetsensoren möglich

Optische Signale

• LEDs am Computer können gezielt gesteuert werden

• Kameras können Signale auslesen

• auch über Infrarot möglich

Thermische Signale

• Geräte erzeugen Wärme

• Malware verändert gezielt Temperatur

• benachbarte Systeme lesen Temperaturveränderungen

Seismische Signale

• Manipulation von Lüfterdrehzahlen erzeugt Vibrationen

• Smartphone-Sensoren können diese erkennen

Voraussetzung für solche Angriffe

Auch bei Air-Gap-Angriffen gilt eine wichtige Voraussetzung:
Die Malware muss zunächst auf das System gelangen.

Häufige Einfallstore sind:

• infizierte USB-Sticks

• kompromittierte externe Festplatten

• Insider-Angriffe

• Social Engineering

Ohne diese initiale Infektion ist ein Angriff auf Air-Gap-Systeme kaum möglich.

Schutzmaßnahmen für Air-Gap-Systeme

Organisationen können verschiedene Maßnahmen ergreifen, um isolierte Systeme besser zu schützen.

Technische Schutzmaßnahmen

• USB-Schnittstellen deaktivieren

• externe Datenträger verbieten

• Default-Deny-Strategien einsetzen

• ungewöhnliche elektromagnetische Signale überwachen

Physische Sicherheitsmaßnahmen

• abgeschirmte Räume für kritische Systeme

• Nutzung von Kameras oder Mikrofonen in der Nähe vermeiden

• LEDs deaktivieren oder abdecken

Organisatorische Maßnahmen

• Mitarbeitende für Social Engineering sensibilisieren

• Zugriffskontrollen und Sicherheitsrichtlinien etablieren

• regelmäßige Sicherheitsüberprüfungen durchführen

Fazit

Air-Gap-Systeme gelten als besonders sicher, da sie vollständig vom Internet getrennt sind. Dennoch zeigen aktuelle Studien, dass Datendiebstahl auch ohne Netzwerkverbindung möglich ist, wenn Malware eingeschleust wird und physikalische Signale zur Datenübertragung genutzt werden.

Deshalb sollten Unternehmen neben technischer Isolation auch physische Sicherheitsmaßnahmen und strenge Richtlinien für externe Datenträger implementieren.