Hack den Serverraum! Keine Technik erforderlich

Wie wir alle schmerzlich wissen, gibt es viele Formen der IT-Sicherheit, von technischen Details bis hin zu physischen Barrieren. Aber ein Ratschlag: Überprüfen Sie alle Ihre neuen Sicherheitsmaßnahmen. Dann treten Sie zurück und überlegen Sie sich alles, was mit den von Ihnen vorgenommenen Änderungen zusammenhängen könnte. Überprüfen Sie abschließend, ob auch diese ausreichend gesichert sind.

Ich habe vor einigen Jahren bei einer Firma gearbeitet, wo ich ein Büro in der Nähe eines Serverraums bekam. Kurz zuvor hatten die IT-Verantwortlichen um Maßnahmen zur besseren Sicherung der Server gebeten.

Die Besorgnis entstand, weil dieser Server Daten für einen Milliarden-Dollar-Betrieb speicherte, die vertrauliche Informationen enthielten, die wir aufbewahren mussten. Sie wollten den Zugang zum Raum streng kontrollieren.

Sicherheit geht vor

Die IT-Verantwortlichen hatten eine Formularanfrage mit den Anlagendiensten ausgefüllt, um das Schlüsselschloss zu entfernen und ein Zahlenkombinationsschloss zu installieren. Nur einige wenige IT-Mitarbeiter kennen die Kombination zum Öffnen der Tür.

Die Werksabteilung tat genau das, was gesagt wurde: Sie zog das Schlüsselschloss heraus und installierte ein neues Ziffernschloss. Wie wir jedoch bald herausfanden, sah sich niemand die fertige Arbeit genau an.

Ungefähr sechs Monate nach der Installation des neuen Schlosses fiel die Klimaanlage im Serverraum aus. Weil mein Büro in der Nähe war, hörte ich den Alarm und rief meinen Chef an, um zu berichten, was los war. Nicht lange danach tauchte das Servicepersonal auf und versuchte, in den Raum zu gelangen, aber es hatte weder den Code noch eine andere Möglichkeit erhalten, die Tür zu öffnen. Ich hatte es auch nicht getan.

Wir riefen meinen Chef und andere Mitarbeiter an, von denen wir wussten, dass sie den Code hatten, aber keiner von ihnen beantwortete ihre Bürotelefone (dies war in den Tagen, bevor Mobiltelefone üblich waren). Die Alarme klapperten weiter und die Zeit verging, und wir mussten etwas tun.

Fehler werden zu Chancen

Ich sah mir die Tür genau an und ein paar Details tauchten auf. Sie hissten rote Fahnen über die allgemeine Sicherheit des Raumes, gaben mir aber Ideen, wie ich mich um das unmittelbare Problem kümmern könnte.

Zuerst wurden die Scharnierstifte freigelegt. Eine unserer Möglichkeiten bestand darin, die Scharnierstifte nach oben und außen zu fahren und die Tür zu entfernen.

Zweitens, schneller und einfacher für unsere Zwecke, hatten die Techniker, die das Schloss installiert hatten, genau das getan, was sie wollten, und anscheinend die Situation nicht durchdacht. Sie hatten den Schließzylinder entfernt und die Tastatur installiert, aber den Verriegelungsbolzen nicht ausgetauscht - die Tastatur war an einem kleinen Hebelarm befestigt, der nach unten ging, um den ursprünglichen Verriegelungsbolzen zurückzuziehen. Außerdem hatten sie sich nicht die Mühe gemacht, den zurückgelassenen freiliegenden Bereich angemessen zu flicken oder abzudecken: Sie konnten den Verriegelungsbolzen immer noch zurückziehen, indem Sie einen Kleiderbügeldraht in die Stelle steckten, in der sich der Schließzylinder befand.

Die Klimaanlage wurde repariert und ich machte meine Vorgesetzten auf das aufmerksam, was wir entdeckt hatten. Es ist unnötig zu erwähnen, dass die IT-Verantwortlichen nicht lange brauchten, um weitere Änderungen an der Tür des Serverraums vorzunehmen - unter ihrer persönlichen Aufsicht.