Wettbewerbsvorteil durch IoT-Security-Ignoranz?
Dabei ist der Angriff auf Dyn nur der aktuellste einer ganzen Serie von IoT-Botnetz-Attacken: Ende September 2016 wurde der französische Hoster OVH ebenfalls über ein Botnetz attackiert. Das bestand aus 145.607 gehackten Digital- und Überwachungskameras. Ebenfalls im September wurde die bekannte IT-Security-Website Krebs on Security mit Hilfe eines Mirai-Botnetzes lahmgelegt.
Der Quellcode der Mirai-Malware wurde online veröffentlicht - inklusive einer Schritt-für-Schritt-Anleitung, wie man den Schadcode benutzt. Inzwischen wird auch immer häufiger davon berichtet, dass Internet-of-Things-Botnetze über dunkle Kanäle auch mietbar sind - was die "Zugangsschranken" für eine solche Attacke noch einmal erheblich absenkt. Dale Drew, seines Zeichens CSO beim Security-Anbieter Level 3 Communication, geht davon aus, dass bei der Attacke auf Dyn nicht nur ein Botnetz am Werk war: "Wir glauben, dass ein oder mehrere, weitere Botnets an diesem Angriff beteiligt waren. Das könnte bedeuten, dass die Angreifer etliche verschiedene Botnetze gemietet haben."
Foto: Kokliang - shutterstock.com
Internet-of-Things-Devices sind besonders anfällig für Malware wie Mirai. Die Nutzer hingegen bemerken oft nicht einmal, dass ihre IoT-Devices über einen Passwortschutz verfügen und ändern das standardmäßig vergebene dann eben auch nicht. Auch die regelmäßige Versorgung mit Sicherheits-Updates spielt für Ottonormal-User keine große Rolle.
Idealerweise hätten die Hersteller der Internet-of-Things-Gerätschaften die potenzielle Gefahr vorhersehen, Eigenitiative ergreifen und das Thema IT-Security im Internet of Things massiv vorantreiben müssen. Der Zug dürfte allerdings inzwischen abgefahren sein. Denn die IoT-Geräte sind vor allem eines: preiswert. Die Hersteller werden also den Teufel tun und in IT-Sicherheit investieren, wenn die Unternehmen, die das nicht tun, durch ihre Ignoranz einen Wettbewerbsvorteil erlangen. Ein weiterer Punkt: Die Hersteller von Consumer-Devices haben in der Regel gar nicht genügend Expertise in Sachen IT-Security.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Der Telekom-Hack: Mirai 2.0?
Bei der Deutschen Telekom ist diese Expertise ohne Zweifel vorhanden. Nichtsdestotrotz wurde auch der deutsche Provider Ende November 2016 von einer neuen Form der Mirai-Malware erschüttert: Rund 900.000 Telekom-Kunden hatten mit massiven Verbindungsproblemen und -ausfällen zu kämpfen. Nachdem die Telekom zunächst einen Hackerangriff nicht ausgeschlossen hatte, scheint nun festzustehen, dass es sich um einen erneuten Angriff mit der "IoT-Malware" handelt. Laut Johannes Ullrich, Sicherheitsforscher am SANS-Institut, wurde die neue Version der Malware spezifisch darauf ausgerichtet, eine Schwachstelle im SOAP-Service von Zyxel-Produkten ins Visier zu nehmen. Ursprünglich, so Ullrich, sei Mirai dazu entworfen worden, standardmäßig unzureichend geschützte Devices zu befallen und deren Passwörter mit Brute-Force-Attacken zu knacken.
Die Deutsche Telekom bezeichnet den Malware-Angriff auf die Router der Kunden offiziell als "nicht erfolgreich", durch die Attacke seien lediglich Abstürze und Ausfälle bei vier bis fünf Prozent der Geräte aufgetreten. Allerdings legen die Untersuchungen von Ullrich nahe, dass die Hacker zumindest einige Geräte kapern konnten: Um die Verbreitung der neuen Malware-Version einschätzen zu können, setzte der Sicherheitsexperte einen Honeypot-Server auf - schließlich sucht Mirai nach einer erfolgreichen Infektion sofort nach neuen "Opfern". Ein paar Stunden später hatten rund 100.000 IP-Adressen versucht, den Honeypot zu infizieren.
Das Ziel von Mirai war bisher allerdings nicht die bloße Infektion von Devices, sondern die Durchführung massiver DDoS-Attacken über Botnetze. Eine neue DDoS-Welle wie im Fall von Dyn oder OVH konnte Ullrich bislang allerdings nicht feststellen. Die Telekom empfiehlt allen betroffenen Kunden ein Software-Update ihrer Router. Ullrich hingegen warnt davor, die Geschehnisse vorschnell abzuhaken: "Die neue Version von Mirai könnte Router anderer Hersteller oder Service Provider bereits infiziert haben, ohne dass die Unternehmen das mitbekommen haben. Ein bis zwei Millionen Router könnten betroffen sein."
Router-Hersteller Zyxel war für eine Stellungnahme bislang nicht zu erreichen.
Staatlicher Eingriff für mehr Sicherheit im Internet of Things?
Und dann gibt es da ja auch noch die Internet-of-Things-Geräte, die im Healthcare-Bereich zum Einsatz kommen. Auch sie könnten angegriffen und gehackt werden - mit katastrophalen Konsequenzen. Der ehemalige US-Vizepräsident Dick Cheney etwa sagte kürzlich im Interview mit "60 Minutes", seine Ärzte hätten die kabellosen Steuerungsmöglichkeiten seines Herzimplantats kurzerhand abgeschaltet - aus Angst vor einem Angriff auf sein Leben.
All diese Entwicklungen lassen einen staatlichen Eingriff sinnvoll erscheinen. Denn der könnte dafür sorgen, dass hinsichtlich der IT-Sicherheit von IoT-Devices gesetzliche Regularien festgelegt werden. Mikko Hypponen, Chef-Researcher bei F-Secure sieht ein solches Szenario positiv: "Wir regulieren viele dieser Geräte bereits jetzt. Sie sollten Dir weder einen Elektroschock verpassen, noch in Flammen aufgehen oder Dein Wifi-Passwort ausspähen." Grundlegende Regularien könnten etwa sein, dass Konsumenten dazu "gezwungen" werden, das standardmäßig eingestellte Passwort zu ändern oder Hersteller, die unsichere Geräte verkaufen, mit zivil- und strafrechtlichen Konsequenzen zu rechnen haben. Die Geräte im Internet of Things sollten jedenfalls künftig mit einem ausreichenden Basis-Schutz ausgeliefert werden.
Ein staatlicher Eingriff sollte das letzte Mittel der Wahl sein, doch im Fall des Internet of Things wäre er angebracht. Schließlich zeigen die Hacker-Angriffe über IoT-Botnetze, wohin die Reise der kriminellen Cyberunholde geht. Und damit nicht genug: Auf der Hackerkonferenz Black Hat Europe zeigten Sicherheitsforscher von Invincea Labs Anfang November anhand zahlreicher, mit Schwachstellen behafteter IoT-Geräte aus der Belkin WeMo-Familie, wie sich diese nicht nur ganz einfach hacken lassen, sondern wie man die gehackten Internet-of-Things-Devices anschließend dazu nutzen kann, einen Angriff auf das Smartphone zu starten, das die Devices per App steuert.
"Zum ersten Mal überhaupt ist es gelungen, über das Internet of Things etwas anderes zu hacken", so Security-Experte Scott Tenaglia. Belkin hat die Schwachstellen nach eigenen Angaben bereits beseitigt.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation computerworld.com. Mit Material von IDG News Service.