Begriff
Air Gap
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Der sicherste Computer der Welt ist einer, der kein Kabel hat. Kein WLAN. Kein Bluetooth. Zwischen dem Computer und dem Internet ist nur Luft. Ein Hacker kann ihn nicht per Fernzugriff angreifen. Er müsste physisch in den Raum einbrechen. Genutzt für: Atomkraftwerke, Militär, Root CAs, Bitcoin Cold Storage.
Merksatz: Eine Sicherheitsmaßnahme, bei der ein Computer oder Netzwerk physisch und logisch vollständig von anderen Netzwerken (insbesondere dem Internet) isoliert ist.
In der Firma selten (weil unpraktisch). Man muss Daten per "Turnschuh-Netzwerk" (USB-Stick) übertragen. Das ist lästig und ... gefährlich. Stuxnet hat gezeigt: Ein infizierter USB-Stick überwindet den Air Gap.
1. Data Diodes
Wie bekommt man Daten sicher aus dem AKW raus (Monitoring), aber nichts rein? Eine Datendiode. Hardware, die Lichtleiter nutzt. Sender -> Licht -> Empfänger. Es gibt physikalisch keinen Rückweg für das Licht. Selbst wenn der Empfänger gehackt ist, kann er keine Malware in das AKW senden.
2. Side-Channel Attacks
Forscher (Ben-Gurion University) haben gezeigt, wie man Daten aus Air-Gapped PCs klaut ohne Kabel.
- Audio: PC sendet Ultraschall über Lautsprecher -> Handy hört zu.
- Thermik: PC ändert CPU-Last -> Temperatur steigt/fällt -> Sensor im Nachbarraum misst es.
- LED: Festplatten-LED blinkt Morsecode -> Drohne filmt durchs Fenster.
- FM-Radio: Grafikkarte sendet Radiowellen.
3. Software Supply Chain
Wenn du Software auf den Air-Gapped PC installierst (Update per DVD), muss diese Software sauber sein. Wenn der Hacker schon beim Hersteller (SolarWinds) in den Quellcode kam, trägst du den Virus selbst über den Air Gap.
Akustische Covert Channels (Mosquito & Co.)
Eine der faszinierendsten (und furchterregendsten) Methoden, einen Air-Gap zu überwinden, ist Malware, die Audio-Frequenzen nutzt. Hierbei werden die Ventilatoren des Computers (CPU-Lüfter, Gehäuselüfter) durch gezielte Lastmodulation so manipuliert, dass sie sehr spezifische, hochfrequente akustische Signale (fast Ultraschall) abgeben. Ein infiziertes Smartphone in der Nähe (z.B. in der Tasche eines ahnungslosen Mitarbeiters) zeichnet diese Frequenzen auf und dekodiert sie. Diese Methode kann Passwörter und kryptografische Keys mit mehreren Bits pro Sekunde "funken".
Elektromagnetische und Thermische Exfiltration
Neben Audio gibt es "Air-Hopper" (nutzt den RAM-Bus als FM-Radiosender, um Daten an Handy-FM-Empfänger zu senden) und "BitWhisper" (nutzt Temperaturschwankungen). Bei der thermischen Methode "unterhalten" sich zwei direkt nebeneinander stehende Rechner (einer kompromittiert im Air-Gap, einer am Internet), indem der infizierte Rechner seine CPU-Temperatur gezielt steuert (Morsen mit Wärme). Der Nachbar-Rechner misst die Umgebungstemperatur über seine eigenen thermischen Sensoren und decodiert die Abweichungen.
Architektonische Gegenmaßnahmen (The Isolation Framework)
Wie sichert man Hochsicherheitsbereiche dagegen ab? Richtige Air-Gaps gehen extrem weit:
- Faraday-Käfige: Der Raum blockiert alle EM-Wellen (verhindert TEMPEST-Angriffe und FM-Sender).
- Sound-Masking / White Noise Generator: Überlagerung aller Ultraschallfrequenzen im Raum, um akustische Übertragungen zu stören.
- Optische Datendioden: Hardware-Gateways, die auf Glasfaser-Basis Daten nur in eine Richtung fließen lassen (eine LED-Seite, eine Sensor-Seite, keine Rückleitung). Dies ermöglicht z.B. das Streamen von Logs aus dem Air-Gap heraus, ohne dass ein Weg hinein existiert.
Quick-Check
Ist Air Gap heute noch sicher?
Relativ. Gegen 99% der Hacker ja. Gegen Geheimdienste (NSA/Mossad) nein. Die haben Methoden (Interdiction, Side Channels).Human Factor?
Das größte Risiko. Mitarbeiter stecken ihre privaten Handys zum Laden an den Industrie-PC. Oder verbinden ihn "nur kurz" mit dem LTE-Hotspot für ein Update. Gap failed.Faradayscher Käfig?
Oft nötig bei Air Gaps, um elektromagnetische Abstrahlung (TEMPEST) zu blockieren. Der Serverraum wird mit Kupfermatten abgeschirmt.