Storage-Systeme und -netze sind attraktive Angriffspunkte für Angreifer, warnte Alan Lustiger, Security Architect bei TD Ameritrade, auf Anwenderkonferenz "Storage Networking World" (SNB), die derzeit in Dallas stattfindet. Als besonders riskant und leicht zu hacken erachtet der Sicherheitsspezialist die Speichertechnik NAS. "Aus Hacker-Perspektive unterscheidet sich NAS praktisch nicht von einem Dateisystem", so Lustiger. Dies sei ein bekanntes und mittlerweile gut erforschtes Einfallstor.
Dem Experten zufolge ist die NAS-Technik für Angreifer schon allein deswegen interessant, weil sie sich auf bekannte und klar definierte Protokolle stützt, die sich bequem nach Schwachstellen durchforsten lassen. So könne ein Hacker beispielsweise in ein NAS-System eindringen, um Dateisysteme aufzuspüren, die einer bestehenden Verzeichnisstruktur hinzugefügt werden können. Ein gängiger Netzspeicher soll es Angreifern aber auch ermöglichen, mittels Software-Clients die Erlaubnis für Datenzugriffe zu fälschen. Auf diese Weise ließen sich beispielsweise Fake-User mit einzigartigen IDs kreieren. Unter anderem könnten Hacker auch über das CIFS- (Common Internet File System) und das NFS-Protokoll (Network File System) gesendeten Text ausspähen und so an wertvolle Informationen zu gelangen.
Zum Schutz der firmeneigenen NAS- beziehungsweise Storage-Umgebung müssten die Sicherheitsfunktionen des Server-Betriebssystems regelmäßig auf den neuesten Stand gebracht werden. Als problematisch erachtet Lustiger, dass Speicheradminstratoren meist nur unzureichend in die IT-Security-Planung und die Implementierung entsprechender Prozesse involviert sind. "Das Speicher-Team hat einfach nicht die gleiche Beziehung zu den Sicherheitsverantwortlichen wie etwa die Netz-Mannschaft", bemängelt der Experte. Ein verbreiteter Fehler der Storage-Adminstratoren sei, nicht sichere Storage-Geräte so einzusetzen, als handle es sich dabei um dedizierte Security-Devices, die ihnen dabei helfen, ihre Speicherinfrastruktur zu schützen. Als Beispiel führt Lustiger Ciscos virtuelle LAN-Technik an, die oft irrtümlicherweise so verwendet werde. (kf)
