{"id":6268,"date":"2025-12-18T04:00:00","date_gmt":"2025-12-18T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6268"},"modified":"2025-12-18T04:00:00","modified_gmt":"2025-12-18T04:00:00","slug":"der-raspberry-pi-weckruf-fur-cisos","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6268","title":{"rendered":"Der Raspberry-Pi-Weckruf f\u00fcr CISOs"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Kleines Device, gro\u00dfe Wirkung.\n

Kiklas | shutterstock.com<\/p>\n<\/div>\n

Mitte Dezember wurde eine F\u00e4hre in Besitz der Mediterranean Shipping Company \u00fcber Stunden in einem franz\u00f6sischen Hafen festgesetzt, wie Bloomberg berichtete<\/a>. Der Grund: Es bestand der Verdacht, dass russische Cyberkriminelle<\/a> versucht haben, das Netzwerk des Schiffs zu hacken \u2013 mit einem Raspberry Pi. Dieser war demnach mit einem Mobilfunkmodem gekoppelt, das den Fernzugriff auf das interne Computernetzwerk der F\u00e4hre und externe Verbindungen erm\u00f6glichen sollte.<\/p>\n

Die gute Nachricht: Der Angriffsversuch konnte dank robuster Security-Ma\u00dfnahmen an Bord gestoppt werden. Dem Bloomberg-Bericht zufolge waren Office- und Operations-Netzwerke getrennt und der Fernzugriff auf kritische Steuerelemente des Schiffs deaktiviert. Das habe verhindert, dass die Angreifer sich lateral durch das Netzwerk bewegen konnten und war entscheidend, um m\u00f6gliche Sabotage- oder auch Entf\u00fchrungsszenarien zu verhindern.<\/p>\n

Was soll dann dieser Beitrag? Analysten sch\u00e4tzen, dass die H\u00e4lfte aller Unternehmen durch einen identischen Angriff kompromittiert worden w\u00e4re, weil physische Security<\/a> vielerorts immer noch nicht die n\u00f6tige Beachtung findet.<\/p>\n

Enterprise-Kontrollen, die ins Leere laufen<\/h1>\n

CISOs und Sicherheitsentscheider sollten sich eingehend damit besch\u00e4ftigen, wie gut eigentlich relevante Geb\u00e4ude \u2013 also B\u00fcros, Gesch\u00e4ftsstellen oder auch Produktionsst\u00e4tten \u2013 mit Blick auf m\u00f6gliche physische Angriffe abgesichert sind. Analysten und Security-Profis sehen hier enorm viel Luft nach oben. Etwa Sanchit Vir Gogia<\/a>, Chefanalyst bei Greyhound Research: \u201cDie meisten Sicherheitsprogramme von Unternehmen sind immer noch auf die falsche Art von Eindringling ausgerichtet. Sie sind f\u00fcr die Personen konzipiert, die einbrechen \u2013 nicht f\u00fcr die, die einfach durch die Vordert\u00fcr hereinspazieren.\u201d<\/p>\n

Die Story von der beinahe gehackten F\u00e4hre sei ein deutliches Signal daf\u00fcr, dass sich dringend etwas \u00e4ndern m\u00fcsse, so der Analyst: \u201cEin Raspberry Pi mit Mobilfunkmodem ist nicht nur ein cleveres Gadget. Er bietet auch die M\u00f6glichkeit, einen neuen Perimeter innerhalb Ihres Geb\u00e4udes zu schaffen.\u201d<\/p>\n

Angreifer m\u00fcssten sich so keine M\u00fche mehr geben, Firewalls<\/a> oder VPNs zu \u00fcberwinden, sie br\u00e4chten stattdessen einfach ihre eigene Internetverbindung mit: \u201cDas sollte CISOs nachts wachhalten, denn es bedeutet im Umkehrschluss, dass viele etablierte Kontrollmechanismen potenziell ins Leere laufen, weil sie den Fokus auf die falschen Bereiche richten. Wenn der Datenverkehr per Mobilfunk abflie\u00dft, n\u00fctzt auch das beste Monitoring-Gateway nichts.\u201d<\/p>\n

Fred Chagnon<\/a>, Principal Research Director bei der Info-Tech Research Group, teilt die Bedenken von Gogia: \u201cDie meisten B\u00fcros verf\u00fcgen \u00fcber Dutzende von aktiven Ethernet-Ports in Lobbys, Konferenzr\u00e4umen und Fluren. Diese sollten standardm\u00e4\u00dfig auf Switch-Ebene administrativ deaktiviert werden. Ein Port sollte nur dann aktiviert werden, wenn eine bestimmte, autorisierte MAC-Adresse \u00fcber die 802.1X-Authentifizierung \u00fcberpr\u00fcft wurde\u201d, empfiehlt der Experte. Moderne Angreifer so Chagnon weiter, nutzten MAC-Spoofing, um einen Raspberry Pi wie ein legitimes VoIP-Telefon oder einen Drucker aussehen zu lassen. Deshalb empfiehlt er CISOs, in Tools oder fortschrittliche NACs zu investieren, die Fingerprinting auf physikalischer Ebene gew\u00e4hrleisten: \u201cDiese Tools analysieren die elektrischen und zeitlichen Charakteristiken der Hardware, um festzustellen, ob ein Drucker tats\u00e4chlich einer ist \u2013 oder nur ein \u2018Implantat\u2019 auf Linux-Basis.\u201d<\/p>\n

Chagnon empfiehlt Sicherheitsentscheidern zudem dringend den umfassenden Einsatz von manipulationssicheren Port-Sperren: \u201cIm Rahmen von Sicherheitskontrollen d\u00fcrfen zus\u00e4tzliche Kabel, nicht autorisierte USB-Hubs oder kleine undefinierbare Boxen, die nicht mit dem Bestand \u00fcbereinstimmen, keinesfalls unter den Tisch fallen\u201d, mahnt der Experte.<\/p>\n

Raspberry Pi gefunden?<\/h1>\n

Sollten Sie im Zuge Ihrer Kontrollma\u00dfnahmen solche Ger\u00e4te identifizieren, ist in erster Linie Vorsicht angebracht. Zwar empfiehlt es sich, das Device zu isolieren und forensisch zu untersuchen \u2013 allerdings sollten Sie dabei mit Bedacht vorgehen. Das r\u00e4t zumindest Flavio Villanustre<\/a>, CISO der LexisNexis Risk Solutions Group: \u201cSolche Devices vom einfach vom Netzwerk zu trennen, k\u00f6nnte zum Verlust wichtiger forensischer Informationen f\u00fchren.\u201d<\/p>\n

Es sei nicht allzu schwer, das Ger\u00e4t mit einer Batterie oder einem Superkondensator auszustatten, die daf\u00fcr sorgen, dass sich das Device selbst l\u00f6scht, wenn es vom Netzwerk getrennt oder auf andere Weise manipuliert wird. Dar\u00fcber hinaus bestehe die Gefahr, dass die Ger\u00e4te mit weiteren Devices verbunden seien, die sch\u00e4dliche Aktionen ausl\u00f6sen k\u00f6nnten \u2013 im Extremfall auch Sprengstoffexplosionen.<\/p>\n

Kaveh Ranjibar<\/a>, CEO von Whisper Security, hat einen weiteren guten Tipp f\u00fcr CISOs mit physischen Security-Problemen auf Lager: \u201cMithilfe einer intelligenten Infrastruktur k\u00f6nnen Sie Bedrohungsakteure oft dar\u00fcber identifizieren, wo der verwendete Command-and-Control-Server steht. So l\u00e4sst sich oft schon vor dem Zugriff auf die Hardware erkennen, ob es sich um Script-Kiddies oder staatlich beauftragte Hacker handelt.\u201d<\/p>\n

Wie Ranjibar festh\u00e4lt, k\u00f6nnen Devices dieser Art viele n\u00fctzliche Informationen preisgeben, sobald sie erbeutete Daten \u201cnach Hause\u201d senden: \u201cEin Ger\u00e4t wie ein Raspberry Pi, das f\u00fcr schadhafte Zwecke eingesetzt wird, ist selbst mit einem Mobilfunkmodem nicht unsichtbar. Es muss sich mit der Zentrale verbinden, um Befehle zu empfangen oder Daten zu exfiltrieren. Dadurch entsteht ein Infrastruktur-Fu\u00dfabdruck: eine neue IP-Adresse, eine DNS-Resolution oder eine Verbindung zu einer bestimmten ASN\u201d, erkl\u00e4rt der Sicherheitsexperte.<\/p>\n

Er f\u00fcgt hinzu: \u201cCISOs ben\u00f6tigen eine kontinuierliche \u00dcberwachung der externen Infrastruktur. Sie k\u00f6nnen vielleicht nicht die Person erwischen, die das Ger\u00e4t platziert. Aber sie sollten daf\u00fcr sorgen, das Ger\u00e4t sofort zu erwischen, wenn es sich mit dem Netz verbindet.\u201d (fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Kleines Device, gro\u00dfe Wirkung. Kiklas | shutterstock.com Mitte Dezember wurde eine F\u00e4hre in Besitz der Mediterranean Shipping Company \u00fcber Stunden in einem franz\u00f6sischen Hafen festgesetzt, wie Bloomberg berichtete. Der Grund: Es bestand der Verdacht, dass russische Cyberkriminelle versucht haben, das Netzwerk des Schiffs zu hacken \u2013 mit einem Raspberry Pi. Dieser war demnach mit einem […]<\/p>\n","protected":false},"author":0,"featured_media":6269,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6268","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6268"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6268"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6268\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6269"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}