Sicherheit beginnt bei der Hardware-Auswahl
10. Januar 2018Oftmals konzentrieren sich die IT-Systemverantwortlichen auf die Bereiche „Software“ und „Netzwerk“, wenn es darum geht, Server, Clients oder Mobilgeräte auf den aktuellen Sicherheitsstand zu bringen (oder zu halten). Dabei sollte allerdings nicht vergessen werden, dass die Basis einer sicheren IT-Infrastruktur bereits bei der Auswahl der Hardware beginnt. Im Bereich der (Hardware-) Firewall-Systeme, Router und Gateways – sprich im Netzwerkbereich – wird meistens darauf geachtet.
Aber oftmals wird die physikalische Basis bei den Clients, Workstations, Desktop-Systemen und Notebook nicht in diese Überlegungen mit einbezogen. Oftmals spielen an dieser Stelle eher Kosten- und Budgetfragen eine Rolle, sowie die benötigte Performance (von CPU, DRAM oder Grafikkarte), oder die benötigten Speicherkapazitäten und Leistungsdaten bei SSDs oder HDDs.
Daten entsprechend verschlüsselt, können die Daten auf den Festplatten leicht von Dritten ausgelesen werden. Aber auch bei den stationären Systemen, etwa Desktop- und Workstations, müssen die IT-Leiter auf eine robuste und sichere Basis bauen.
Zwar werden diese Systeme (hoffentlich) nicht aus dem Unternehmen „getragen“, doch bestimmte Schadsoftware könnte sich (etwa über spezielle UEFI-Funktionen) Zugriff auf die Firmware oder Bootsektoren der Massenspeichermedien verschaffen. Das ist allerdings nicht nur auf die „Client-Seit“ begrenzt, sondern sollte auch bei Serversystemen beachtet werden. Besonders bei Systemen, die VMs bereitstellen, müssen besondere Anforderungen gestellt werden.
Um bereits auf der Hardware-Seite eine möglichst hohe Sicherheit zu erreichen, sollten sich die Systembetreuer folgende Checkliste genauer ansehen, und dabei die Hardwarekomponenten von bestehenden Systemen genau unter die Lupe nehmen. Auch bei allen Neuanschaffungen sollten die Administratoren im Hinterkopf behalten werden.
Hauptprozessor (CPU)
Bestimmte Sicherheitsfunktionen werden bereits durch den Hauptprozessor bereitgestellt, beziehungsweise im Zusammenspiel mit dem Mainboard-Chipsatz. Hier sind unter anderen folgende Intel-CPUs (Stand heute am besten Generation 7) empfehlenswert:
- Intel i3/i5/i7/i9-7x
- Core M3-7xxx
- Xeon E3-xxxx
- Atom, Celeron, Pentium (Aktuelle Varianten)
Auch AMD sollte an dieser Stelle nicht vernachlässigt werden, auch hier gilt es, auf möglichst aktuelle Prozessor-Generationen zu setzen:
- A Series Ax-9xxx
- E Series Ex-9xxx
- FX Series (FX-9xxx)
Allerdings wurden bei vielen aktuellen und älteren CPUs gravierende Sicherheitslücken aufgedeckt. Dies betrifft sowohl Intel-CPUs, Prozessoren von AMD und anderen Herstellern. Somit gelten aktuell (beinahe) alle eingesetzten CPUs als kompromittiert. Inzwischen haben die Hersteller reagiert, und bieten entsprechende Hotfixes und Sicherheits-Patches an. Die grundliegende Schwachstelle wird dabei allerdings nicht beseitigt, sondern die Ausnutzung der Spectre– und Meltdown-Fehler soll auf diese Weise erschwert oder verhindert werden. Dies geht allerdings meistens mit einem Leistungseinbruch der CPU einher. Auch bleibt abzuwarten, ob die kommenden CPU-Generationen “hardwaremäßig” als sicher gelten werden.
Virtualisierung
Um entsprechende Sicherheitsmerkmale beim Einsatz von virtuellen Maschinen (VMs) zu nutzen, müssen passende Virtualisierungsfunktionen vorhanden sein. Passende Funktionen (etwa für Hypervisoren wie ESXi oder Hyper-V) sind etwa im 64-Bit-CPUs von Intel oder ARM v8.2 CPUs verfügbar. Entsprechende Prozessoren müssen eine Input-Output Memory Management Unit (IOMMU) bei allen virtuellen I/O-Geräten unterstützen. Als weitere essentielle Funktionen gelten:
- VT-d
- AMD-Vi,
- ARM64 SMMUs,
- Second Level Address Translation (SLAT),
- Intel Vt-x mit Extended Page Tables (EPT), oder
- AMD-v mit Rapid Virtualization Indexing (RVI).
All diese Virtualisierungs-Features müssen im BIOS/UEFI (Basic Input Output System / Unified Extensible Firmware Interface) aktiviert werden, und dem Betriebssystem beziehungsweise für den Hypervisor zur Verfügung stehen. Die Systembetreuer sollten darauf achten, das Mainboard „aktuell“ zu halten (durch Firmware-Updates).