Forschungsrechner vom Netz genommen Mindestens neun Supercomputer in Deutschland gehackt

Die Zugänge zu einigen der leistungsfähigsten Supercomputer Europas wurden offenbar gleichzeitig von Unbekannten kompromittiert. Was wir bisher über die Vorfälle wissen.
Supercomputer Hawk am Höchstleistungsrechenzentrum der Universität Stuttgart

Supercomputer Hawk am Höchstleistungsrechenzentrum der Universität Stuttgart

Foto: Sebastian Gollnow/ dpa

Dass mindestens ein knappes Dutzend Supercomputer in Europa gleichzeitig wegen "Sicherheitsproblemen" vom Netz genommen werden, ist mehr als ungewöhnlich. Seit einigen Tagen aber ist genau das der Fall, die genauen Hintergründe werden erst nach und nach erkennbar.

Was ist mittlerweile über die offenbar zusammenhängenden Vorfälle bekannt? Antworten auf die wichtigsten Fragen:

Was ist passiert?

Mehrere Hochleistungsrechenzentren in Europa sind von Hackern angegriffen worden und derzeit offline. Die unbekannten Täter haben - zumindest in einigen Fällen – Nutzerkonten gekapert, um sich Zugriff auf die Supercomputer der Rechenzentren zu verschaffen.

Welche Supercomputer und Cluster sind betroffen?

Stand Freitagmittag:

In Deutschland:

In der Schweiz wurden Cluster der EPFL für den Fernzugriff gesperrt. Nach eigenen Angaben untersucht die Hochschule aber noch, ob sie wirklich betrofen ist.

Im schottischen Edinburgh ist der ARCHER National Supercomputing Service  seit Montag offline.

Wie sahen die Angriffe aus?

Forscher verbinden ihre eigenen Rechner in der Regel nicht vor Ort und direkt mit einem Supercomputer, sondern nutzen dafür gesicherte Onlinezugänge – schon allein, weil die Anlagen nicht nur Angehörigen der jeweiligen Forschungseinrichtung zur Verfügung stehen sollen. Für NEMO zum Beispiel benötigt man ein Nutzerkonto mit Benutzername und Passwort sowie einen sogenannten SSH-Schlüssel.

Üblicherweise liegt der öffentliche Teil eines solchen Schlüsselpaars auf dem Server des Supercomputers, der private auf dem Rechner des Nutzers. Um von außen eine Verbindung zum Supercomputer aufzubauen, benötigt man diesen privaten Schlüssel. Auf zumindest manchen der betroffenen Systeme lagen aber auch private SSH-Schlüssel. Professor Wolfgang Nagel vom Zentrum für Informationsdienste und Hochleistungsrechnen der TU Dresden erklärt das mit speziellen Anwendungszwecken: "Es kann durchaus sinnvoll sein, sich von einem HPC-System (High-performance computing - Anm. d. Red.) zu einem anderen HPC-System zu verbinden - beispielsweise um Forschungsdaten direkt über breitbandige Verbindungen auszutauschen. Für solche Zugriffe von HPC-System A auf System B liegt dann ein privater SSH-Key auf System A und der zugehörige public key auf System B."

Im Fall von NEMO haben die Angreifer sich über einen gekaperten Nutzerzugang Zugriff verschafft und auf noch unbekanntem Wege ihre Nutzungsrechte auf dem System ausgeweitet, bis sie "Root-Privilegien" hatten und damit nach Belieben schalten und walten konnten. Dann begannen sie damit, weitere Zugangsdaten anderer Nutzer über die ausgehenden SSH-Verbindungen abzufangen.

Was bisher über die Vorfälle an den anderen Einrichtungen bekannt ist, klingt sehr ähnlich wie im Fall von NEMO. Das KIT teilt jedoch auf Anfrage mit, aktuell lägen "keine konkreten Hinweise darauf vor, dass am KIT Passwörter oder andere Daten von den HPC-Systemen des KIT entwendet worden wären".

Welche Folgen hatten die Angriffe?

Es ist zu früh, um diese Frage abschließend zu beantworten. Die NEMO-Betreiber gehen noch davon aus, dass außer dem Abgriff von Zugangsdaten nichts weiter passiert ist. Ausschließen können sie das aufgrund der weitreichenden Nutzungsrechte, die sich die Täter verschafft hatten, aber nicht. Auch die ARCHER-Betreiber und die TU Dresden glauben bisher nicht, dass Forschungsdaten gestohlen wurden.

Was könnte die Motivation der Täter gewesen sein?

Das ist zu diesem Zeitpunkt völlig unklar. Zwar hatten das FBI und das DHS diese Woche offiziell China beschuldigt, es lasse Institutionen und Forscher hacken, die am Coronavirus Sars-Cov-2 und dessen Bekämpfung arbeiten. Aber dass die Angriffe auf die Supercomputer damit zusammenhängen, erscheint eher unwahrscheinlich.

Erstens haben die Angriffe zum Beispiel auf NEMO schon Anfang Januar begonnen.

Zweitens ist von außen nicht erkennbar, ob jemand auf den Supercomputern derartige Forschung betreibt - und in vielen Fällen dürfte das auch überhaupt nicht der Fall sein. NEMO zum Beispiel wird vor allem für Forschung in den Bereichen Materialwissenschaft, Neurowissenschaft und Elementarteilchenphysik verwendet. Die Systeme auf Verdacht zu hacken, um dann in – wie es ein Forscher der EPFL dem SPIEGEL beschrieb - schlecht organisierten und schlecht dokumentierten Daten und Codes nach irgendwie für Experten verwertbarem Material zu suchen, wäre zumindest nicht effizient.

Drittens hat bislang keine der betroffenen Einrichtungen einen entsprechenden Datenabfluss feststellen können. Aus einer Institution hieß es, man gehe derzeit davon aus, dass die Angriffe in einer frühen Phase entdeckt wurden, weshalb das Motiv der Täter noch nicht erkennbar war.

Die Uni Freiburg teilte mit: "Nach derzeitigem Erkenntnisstand ging es dem Angreifer auf NEMO in erster Linie darum, sich Zugang zu den Rechenressourcen und über gestohlene  Benutzerkennungen Zugriff zu weiteren Systemen zu verschaffen." Denkbar sei der Versuch, Crypto-Miner auf den Supercomputern laufen zu lassen, also spezielle Programme, die Kryptowährungen wie Bitcoin generieren. Wie das funktioniert, erklären wir hier. "Die Hoffnung auf Einblicke in fremde Forschung und der Diebstahl von wissenschaftlichen Ergebnissen" könne "eine weitere Motivation für Angriffe sein".

Das CERT (Computer Emergency Response Team) des Deutschen Forschungsnetzes kann "zum jetzigen Zeitpunkt weder über den Angriffsvektor noch über das Ziel der Angriffe oder die Herkunft der Angreifer belastbare Aussagen" machen.