Hochleistungsrechner in ganz Europa kompromittiert

SuperMUC-NG

SuperMUC-NG am LRZ - Foto: V. Hohenegger für LRZ

Die Supercomputer am LRZ rechnen zwar, aber sie sind noch offline (Stand 01.06.2020): Hacker hatten sich Zugang auf die Systeme erschlichen, daher wurden sie Mitte Mai kurzfristig vom Internet abgeschottet. Der Online-Zugriff auf die Systeme soll in den nächsten Tagen wieder möglich sein – allerdings eingeschränkt. Betroffen ist nicht nur das Leibniz-Rechenzentrum (LRZ), weitere Supercomputer in Deutschland und Europa melden ebenfalls solche Angriffe. Inzwischen ermittelt das Landeskriminalamt Bayern und die Generalstaatsanwaltschaft. Professor Dieter Kranzlmüller, Leiter des LRZ, über den Stand der Dinge.

DieterKranzlmüllerMitte Mai wurde bekannt, dass mehrere Supercomputer gehackt wurden. Das LRZ ist auch betroffen. Was ist passiert?
Prof. Dieter Kranzlmüller: Jemand ist in unsere Systeme eingedrungen und hat diese manipuliert. Deshalb haben wir die betroffenen Systeme sofort vom Netz genommen und die Nutzer darüber informiert, dass die Rechner zwar weiterarbeiten, aber die Ergebnisse nicht mehr online abgerufen werden können. Wir durchforsten die Systeme zurzeit auf Ungereimtheiten, die Generalstaatsanwaltschaft Cybercrime Bayern (ZCB) und das bayerische Landeskriminalamt mit seinem Sachgebiet Cybercrime haben Ermittlungen aufgenommen und werden dabei von einem Team aus fünf Kollegen des LRZ unterstützt.

Das LRZ ist nicht das einzige Rechenzentrum, das gehackt wurde?
Kranzlmüller: Und auch nicht das erste. Inzwischen ist bekannt, dass Hochleistungsrechner in ganz Europa kompromittiert wurden. Die offene Wissenschaft, wie wir sie am LRZ unterstützen, profitiert eben auch von der weltweiten Zusammenarbeit der besten Experten. In diesem Fall hat sich das leider als verhängnisvoll herausgestellt. Offenbar haben Hacker Benutzerkonten gekapert und konnten so von einem lokalem Zugangsrechner zum Supercomputer, und dann weiter von Zentrum zu Zentrum springen. Wir stehen daher in engem Austausch mit unseren beiden Partnern im nationalen Gauss Centre for Supercomputing (GCS), mit den Zentren der Gauß-Allianz sowie auf europäischer Ebene im PRACE-Verbund, um Hinweise zu sammeln und die Polizei dabei zu unterstützen, wie auf die Systeme zugegriffen werden konnte und wozu.

Angeblich waren die Hacker auf Forschungsergebnisse rund um Corona aus oder sie wollten die Ressourcen der Supercompter fürs Mining von Kryptowährungen benutzen. Was stimmt?
Kranzlmüller: Das sind alles bloße Vermutungen, die wir nicht ausschließen aber auch nicht bestätigen können. Persönlich kann ich mir nicht vorstellen, dass die Corona-Forschung Ziel der Hacks war. Erstens gab es Anfang des Jahres, als die ersten Zugriffe beobachtet wurden, hier keine größeren Corona-Projekte, außerdem sind die Algorithmen und Daten, mit denen die Forscher hantieren, so speziell, dass sie für unbeteiligte Dritte eher schwer nutzbar sind, vor allem weil die Ergebnisse in jedem Fall wissenschaftlich veröffentlicht werden. Das Computer Security and Incident Response-Team der EGI, der europäischen Grid Infrastructure, will wissen, dass einige Supercomputer mit Malware von Kryptowährungen infiziert wurden, um die Supercomputer fürs Mining einzuspannen. Aber auch das sind lediglich Hypothesen, die bisher nicht belegt werden konnten. Unsere Systeme werden laufend überwacht – wir würden es sofort merken, wenn etwa der Stromverbrauch plötzlich anschwellen oder wenn ohne vorherige Absprache mit den Wissenschaftlern auf einmal große Datenmengen abfließen würden.

Woher kamen die Angriffe – das FBI schließt auf China.
Kranzlmüller: Auch dazu gibt es keine auswertbaren Hinweise, und wir würden uns bei solchen Verdächtigungen zurückhalten.

Wie lange bleiben die Systeme am LRZ noch offline und was muss geschehen, damit sie wieder normal arbeiten?
Kranzlmüller: Das entscheiden wir nach Absprache mit den Ermittlungsbehörden und mit unseren GCS-Partnern. Geplant ist, die Systeme in den nächsten Tagen wieder ans Netz zu bringen – allerdings mit Beschränkungen: Die Systeme sind sicherheitshalber für Nutzer nur von 8 bis 18 Uhr von außen zugänglich, damit wir das intensivierte Monitoring der Systeme gewährleisten. Alle Nutzer brauchen zudem neue Passwörter und Keys. Diese Maßnahmen werden wir wohl leider vorerst beibehalten müssen, auch wenn sie eine Einschränkung unserer gewohnten wissenschaftlichen Offenheit bedeuten.

Wir hoffen, dass wir schnell in einen Regelbetrieb zurückkommen, dafür müssen die Maschinen neu installiert und Schritt für Schritt hochgefahren werden. Es ärgert und deprimiert mich, dass die Wissenschaft durch diese Angriffe ausgebremst wird und einige Projekte dadurch unnötig verzögert werden. Wir sind als Gesellschaft auf die Wissenschaft und den Erkenntnisgewinn angewiesen.

Wie sicher sind denn Supercomputer generell gegenüber Angriffen?
Kranzlmüller: Wir waren uns bewusst, dass derartige Angriffe immer möglich sind. Eine 100prozentige Sicherheit wird es nicht geben. Wenn wir aber offen mit solchen Angriffen umgehen, können wir daraus eine Menge lernen und noch besser werden. Hilfreich ist außerdem, dass wir für die Service- und Informationssicherheits-Zertifizierung viele Prozesse haben überprüfen lassen, die jetzt die Fehlersuche erleichtern und die wir durch die Angriffe weiter verfeinern und optimieren können. Ähnlich ist es auch bei der aktuellen Corona-Pandemie, wo wir natürlich entsprechende Pläne hatten, diese aber erst durch die aktuelle Situation in der Praxis überprüfen konnten.

Weiterführende Links:
https://csirt.egi.eu/2020/05/18/security-incidents-on-multiple-hpc-sites/
https://www.egi.eu/
https://www.sueddeutsche.de/digital/supercomputer-hacker-garching-corona-1.4909397
https://www.theregister.co.uk/2020/05/13/uk_archer_supercomputer_cyberattack/
https://www.heise.de/security/meldung/Mehrere-Hochleistungsrechenzentren-in-Europa-angegriffen-4721393.html
https://www.heise.de/security/meldung/Angriffe-auf-Hochleistungsrechner-Waren-es-Krypto-Miner-4722488.html