Fake-Netzwerk-Equipment
Woran Sie gefälschte Router und Switches erkennen
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Schnäppchen sind immer gefragt. Allerdings sollten Netzwerkverantwortliche besonders bei auffallend preisgünstigen Gelegenheiten Vorsicht walten lassen. Es könnte sich um (in Teilen) gefälschte Devices handeln.
Absichtlich würde wohl kein kompetenter Netzwerkspezialist Fake-Equipment einkaufen. Dennoch ist das Problem real, wie John Loucaides, Senior Vice President of Strategy beim Sicherheitsanbieter Eclypsium, unterstreicht: "Von so gut wie allen Netzwerkgeräten existieren nicht-autorisierte Kopien - vor allem gefälschte Tauschgeräte sind verbreitet. Den Produzenten dieser Devices ermöglicht das, eine Vielzahl der Komponenten gegen wesentlich billigere Teile auszutauschen, um ihren Profit zu maximieren. Manchmal wird aber auch nur ein einziges Bauteil innerhalb eines Geräts gefälscht. Dabei handelt es sich im Regelfall um das Teuerste."
In Sachen Netzwerk-Equipment werden Router und Switches am häufigsten gefälscht. Davon merken die Nutzer im Regelfall zunächst nichts, warnt Maria Britton, CEO des Beratungsunternehmens Trade Show Labs: "Selbst wenn er minderwertige Komponenten enthält, die die Netzwerksicherheit gefährden, kann ein Netzwerk-Switch immer noch den Anschein erwecken, normal zu funktionieren."
Fake-Router und -Switches gibt es in Hülle und Fülle. Kein Wunder, versprechen sie doch bei relativ geringer Investition massive Gewinne. Erst Mitte 2022 ging dem US-Justizministerium ein besonders dicker Fisch in Sachen Fake-Netzwerk-Equipment ins Netz: Ein 38-Jähriger soll über zehn Jahre hinweg gefälschtes Cisco-Equipment im Wert von mehr als einer Milliarde Dollar an eine Vielzahl von Kunden in den Staaten und in Kanada verkauft haben. Die Fake-Netzwerk-Devices hatte er laut Anklageschrift zuvor aus China und Hongkong importiert. Wie diffizil solche Geräte zu erkennen sein können, zeigt zum Beispiel dieser Twitter-Thread:
Fascinating deep dive paper on Cisco counterfeit gear.
— Jim Troutman (@troutman) July 16, 2020
Years ago, on one particular bank acquisition network integration project we discovered that nearly all the purchased bank’s Cisco routers had counterfeit serial numbers, after trying to harmonize the Smartnet contracts. https://t.co/OUnPtlQT7m
Fake-Netzwerkgeräte untergraben Security
Solche billig gekauften, gefälschten Devices könnten wie bereits erwähnt zunächst einwandfrei funktionieren und keine Anhaltspunkte dafür liefern, dass es sich um einen Fake handelt. "Oft gibt es keinen offensichtlichen Unterschied zwischen einem echten und einem gefälschten Gerät", bestätigt auch Loucaides und fügt hinzu: "Im Laufe der Zeit kann das Device jedoch durch verminderte Performance, unzuverlässigen Betrieb und anormales Verhalten auffallen. Im Fall eines Ausfalls kann ein solches Gerät dann das komplette Unternehmensnetzwerk über Stunden oder Tagelang lahmlegen - je nach Standort und Rolle."
Das ist allerdings nicht das Worst-Case-Szenario, wie David Lessin, Director beim Beratungsunternehmen ISG, herausstellt, sondern ein anderes: "Fake-Netzwerkgeräte weisen beängstigendes Potenzial auf, neue Security-Gefahren und Hintertüren zu schaffen." Die mitunter größte Gefahr gehe dabei von bösartiger Soft- beziehungsweise Firmware auf gefälschten Netzwerkgeräten aus, warnt Loucaides: "Das kann Ihr Netzwerk für Cyberkriminelle und nationalstaatliche Akteure öffnen, die es auf Ihre Lieferketten abgesehen haben."
Der finanzielle Aufwand, um das gefälschte Equipment wieder durch Originalteile zu ersetzen, wirkt angesichts dessen noch wie das kleinste Übel.
Gefälschte Netzwerkgeräte erkennen und vermeiden
Das offensichtlichste Anzeichen dafür, dass ein Gerät gefälscht sein könnte: der Preis. "Zu gut, um wahr zu sein, ist meistens auch genau das", kommentiert Lessin und rät Käufern, auf kleine Details zu achten, die von Fälschern oft übersehen werden, etwa im Verpackungsdesign oder der Qualität der Dokumentation.
Laut Keatron Evans, Principal Security Researcher beim Infosec Institute, bieten die meisten seriösen Netzwerkhersteller umfassende Video-Tutorials oder andere Informationen, die zeigen, wie man die Echtheit eines Geräts überprüfen kann. Er rät: "Wenn Sie etwas nicht als authentisch überprüfen können, sollten Sie es als potenzielle Fälschung betrachten. Der umgekehrte Weg - also die Suche nach Fälschungsindikatoren, ist nicht so effektiv, da sich die Dinge so schnell ändern."
Leider bemerken die meisten Opfer von gefälschten Netzwerkgeräten das Unheil erst, wenn es bereits zu spät ist. Das weiß auch Mike Mellor, Vice President of Cybersecurity Consulting beim Managed Security Service Provider Nuspire, und kommentiert trocken: "Fakes werden meist erst erkannt, wenn sie ausfallen."
Der beste Weg, um den Kauf von gefälschtem Netzwerk-Equipment von vorneherein zu verhindern: Kaufen Sie beim OEM, einem zertifizierten Partner oder Reseller. Laut Britton sollten Sie dabei - unabhängig von der Bezugsquelle - auch die Seriennummern der Devices überprüfen und diese wenn möglich mit der Herstellerdatenbank abgleichen. Die CEO empfiehlt darüber hinaus: "Es kann auch hilfreich sein, einen Blick in das Innenleben der Netzwerkausrüstung zu werfen. So entdecken Sie vielleicht Teile, die nicht so aussehen als gehörten sie dorthin." Laut Security-Experte Evans lohnt es sich dabei auch, auf produkt- beziehungsweise herstellertypische Etiketten, Siegel oder Brandings zu achten - sowohl auf Verpackungen und der Außenhaut als auch mit Blick auf die internen Komponenten.
"Widerstehen Sie der Versuchung, Geräte bei eBay oder anderen Online-Plattformen einzukaufen", lautet die klare Empfehlung von Mellor. "Bei Billighändlern zu kaufen, kommt einem Glücksspiel gleich. Der Preis mag verlocken, aber auf lange Sicht zahlen Sie nur drauf." Das kann Sicherheitsexperte Loucaides bestätigen, dessen Arbeitgeber Netzwerkequipment von diversen eBay-Händlern und anderen Shopping-Plattformen zu internen Forschungszwecken aufgekauft - und anschließend analysiert hat: "Die Ergebnisse waren erschreckend. Wir konnten beispielsweise feststellen, dass dabei Geräte von Großunternehmen unautorisiert übertragen wurden, Geräte nicht der Verkaufsbeschreibung entsprachen und unerwartete Komponenten enthielten."
In der Praxis kann leider auch der umsichtigste Käufer auf ein gefälschtes Netzwerk-Device hereinfallen - in manchen Fällen werden solche Geräte auch heimlich in die Lieferketten der Hersteller eingeschleust. Mellor empfiehlt deshalb: "Überprüfen Sie nicht nur die Seriennummer des Geräts, sondern aktualisieren Sie auch die Firm- und Software. Fälschungen versagen oft beim Versuch, sie upzudaten."
Was zu tun ist, wenn Sie Fake-Netzwerkgeräte entdecken
In Anbetracht der damit verbundenen Gefahren ist es logischerweise alles andere als eine gute Idee, ein als Fake enttarntes Netzwerkgerät weiter zu verwenden. Auch wenn es normal zu funktionieren scheint. "Sobald Sie ein Fake-Device entdecken, sollten Sie es sofort isolieren und ersetzen", appelliert Loucaides. "Je nach Kontext kann es auch notwendig sein, einen Backup-/Failover-Prozess zu starten."
Evans empfiehlt, auf einen dreistufigen Aktionsplan zu setzen: "Wenden Sie sich zunächst an Ihr Rechtsteam oder Ihren Anwalt. Als Nächstes kontaktieren Sie mit deren Unterstützung die Strafverfolgungsbehörden. Zuguterletzt sollten Sie sich mit dem Lieferanten der gefälschten Geräte in Verbindung setzen. Wahrscheinlich müssen Sie auch eng mit Ihrem Betriebsteam zusammenarbeiten, um die Entfernung der Geräte zu koordinieren, ohne dabei kritische Service- und Betriebsunterbrechungen zu verursachen."
Prozesse gegen gefälschte Geräte implementieren
Regelmäßige Hardware- und Software-Audits sind sinnvoll, um Änderungen zu überwachen und die Zuverlässigkeit und Sicherheit des Netzwerks und der Systeme zu gewährleisten. In diesem Rahmen können auch Fake-Devices identifiziert werden, wie Lessin bestätigt: "Ein Audit kann belegen, dass keine Fälschungen eingeführt wurden. Die unaufhörliche Erweiterung und Ausbreitung des Netzwerks macht regelmäßige Audits noch notwendiger. Viele Netzwerkmanager sind zudem Tausende von Kilometern von den Anlagen entfernt, für die sie verantwortlich sind."
Um die Beschaffung authentischer Netzwerkgeräte zu gewährleisten, braucht es laut Mellor zwei wesentliche Bestandteile:
ein solides Asset Management und
ein starkes Supply-Chain-Risikomanagement.
"Diese Elemente sind elementare Bestandteile eines starken Sicherheitsprogramms und immer von Vorteil. Auch Serviceverträge können hierbei als Sicherheitsschicht dienen, denn Hersteller werden nicht leisten, wenn sie feststellen, dass ein Gerät gefälscht ist."
Wie Loucaides feststellt, sind Fakes nicht nur auf Netzwerkgeräte beschränkt: "Das Problem betrifft potenziell jede Komponente in jedem Gerät - auch die Software, was sich im großen Interesse am Thema Software Bill of Materials manifestiert."
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.