Im Oktober geschah etwas Großes. Massenweise Internet of Things Geräte konnten von Cyber-Kriminellen gekapert und für die Zusammenstellung einer böswilligen Schurkenarmee missbraucht werden. Auf einmal sah sich das Cloudbasierte Internet-Performance-Management-Unternehmen Dyn einem massiven DDoS-Angriff ausgesetzt. Die Auswirkungen bekamen besonders User in den USA zu spüren. Amazon, Twitter, Reddit, Spotify und PayPal waren dort über Stunden nicht erreichbar.
„Wir wurden Zeuge, wie das Internet – mittlerweile auch integraler Bestandteil von kritischen Infrastrukturen – durch eine hinreichend große Zahl von Geräten massiv beeinträchtigt werden kann. Die dahintersteckenden Personen können nur durch erheblichen cyber-forensischen Aufwand ermittelt werden. – erklärt ESETs Stephen Cobb.
-
Was ist Internet of Things?
Die Definitionen variieren ein bisschen. Grundsätzlich bezieht sich der Begriff aber auf die sogenannten Smart Devices. Das ist zum Beispiel der Kühlschrank, der uns sagt, wann die Milch leer ist. Dazu zählen aber auch andere, nicht so außergewöhnliche Gegenstände wie Thermometer, Kaffeemaschinen und Autos. Viele dieser Objekte sind mit Elektronik, Software, Sensoren sowie Netzwerkkarten mit Internetzugang ausgestattet.
-
Welches Problem ergibt sich mit Internet of Things?
Jedes Gerät mit Internetzugang stellt ein potenzielles Risiko dar. Die massiven DDoS-Angriffe am 21. Oktober wurden durch genau solche ungesicherten Smart Devices ermöglicht. Dazu gehörten auch Router und Überwachungskameras.
Die Angreifer kaperten tausende Geräte durch einen Schadcode und schlossen sie einem großen Bot-Netz an. Diese Angriffsmethode ist zwar nicht sehr anspruchsvoll, aber mit einer hinreichend großen Zahl gekaperter Geräte sehr effektiv.
-
Wie konnte der Angriff vonstattengehen?
Nicht ohne Grund werden wir in den Bedienungsanleitungen der Internet of Things Geräte dazu aufgefordert, das werksseitig eingestellte Passwort zu ändern. Wer diesen Hinweis ignoriert, läuft Gefahr, dass das Smart Device zum lebenden Zombie wird. Für die DDoS-Angreifer ist es leicht, die werksseitigen Kennwörter herauszubekommen und damit in das Gerät einzudringen. Ein bisschen gestaltet sich die Situation so, als ob der Haustürschlüssel unter dem Türläufer liegt – nicht sehr geschützt.
Jede Person, die IoT-Geräte wie Router, TV und Kühlschrank ohne geändertes Passwort ins Internet bringt, ermöglicht die feindliche Übernahme des Geräts. Neuere ESET Forschungen zeigten, dass fast jeder siebte Router unzureichend geschützt ist. Wir gehen von etwa 105 Millionen Geräten aus.
-
Brauche ich diese Internet of Things Geräte überhaupt?
Einige degradieren die IoT-Geräte zu Gimmicks. Andere wiederum glauben, dass sie in wenigen Jahren die Welt erobert haben werden. In Wahrheit haben manche Smart Devices ihren Vorteil. Sensoren in Smartphones und in Fitness-Trackern können wirklich dabei helfen, gesünder zu leben oder uns zumindest öfter daran erinnern. Telemetriedaten von Blackboxen in Autos können im Versicherungsfall die Unschuld oder Schuld eines Verkehrsteilnehmers beweisen.
-
Haben wir es mit einem neuem Problem zu tun?
Nein. Die Möglichkeit der Kompromittierung mit Hilfe dieser Geräte besteht bereits seit deren Geburtsstunde. Doch bis Oktober realisierten viele nicht, wie verwundbar das Internet wirklich ist. Ein früherer Beitrag zeigt, dass das Ausnutzen von ungeschützten Routern nichts Neues ist.
Selbst der Hinweis, das werksseitige Passwort zu ändern, ist nicht neu und ist unzählige Male gegeben worden. Schon vor zwei Jahren berichtete WeLiveSecurity über die Sicherheitslücke in über 70.000 Routern.
-
Wie weit reichen Internet of Things zurück?
Die Benutzung von Internet of Things Geräten geht zurück bis in die 1980er Jahre. Forscher der Carnegie Mellon University entwickelten 1982 einen mit dem Internet verbundenen Coke Getränkeautomat.
-
Bekommen große Unternehmen das Problem in den Griff?
Im Prinzip könnten sie das, wenn sie nicht klaffende Löcher zurücklassen würden, die von Cyber-Kriminellen ausgenutzt werden. Auf der Black Hat Security Conference im letzten Jahr zeigten Sicherheitsforschungs-Studenten der University of Central Florida, mit welcher Leichtigkeit sie Googles Thermostat Nest in nur 15 Sekunden kompromittieren konnten.
Daniel Buentello, einer der Teammitglieder, wurde im Jahr 2014 zitiert: „Auf diese Internet of Things Geräte kann der Nutzer kein Antivirus Programm installieren. Schlimmer ist aber das versteckte Backdoor. Damit werden die IoT-Geräte zum Spielball der Bösewichte.
-
Was kann ich dagegen unternehmen?
Zunächst müssen wir unseren Blickwinkel auf die Smart Devices ändern. Diese Geräte sind kleine Computer. Wir empfehlen, werksseitige Passwörter umgehend zu ändern und regelmäßig nach Updates zu suchen. Wird ein Internet of Things Gerät nicht gebraucht, sollt es abgeschaltet werden. Außerdem legen wir den Usern nahe, immer das HTTPS Protokoll zu verwenden und nicht genutzte Protokolle zu deaktivieren.
Zu oft siegt die Bequemlichkeit über die Vernunft. Beispielsweise gaben gerade einmal die Hälfte der Teilnehmer einer ESET Umfrage an, die Kennwörter ihrer Router gewechselt zu haben.
-
Welche Maßnahmen können Unternehmen ergreifen?
Natürlich mögen manche Unternehmer ins zweifeln kommen, gerade wenn sie sehen, dass nicht einmal Amazon vor Cyber-Kriminellen sicher ist. Unternehmen können sich DDoS-Angriffen zur Wehr setzen. Zum einen können sie die Infrastruktur ihres Netzwerks upgraden, zum anderen sollten sie den ein- und ausgehenden Traffic überwachen. Das kann dazu beitragen, DDoS-Angriffe frühzeitig zu erkennen. Gleichzeitig sollte ein Unternehmen auch über ausreichende Kapazitäten verfügen, um DDoS-Angriffe abzufangen. Damit gewährleisten sie die einwandfreie Erreichbarkeit ihrer Unternehmensseiten. Außerdem muss ein DDoS-Verteidigungsplan erstellt und regelmäßig überprüft werden.
Wir empfehlen, unbedingt den Telnet-Port zu schließen. Der Telnet-Service ist wie ein Dinosaurier und sollte längst ausgestorben sein.
-
Aber ... und das ist ein großes aber ...
DDoS-Angriffe sind im Prinzip nichts Neues. Nur die Art und Wiese, wie sie heute initiiert werden, ist neu.
Einige glauben, eine Firewall und die Kontrolle über die autorisierten Benutzer sei die richtige Lösung. Andere Methoden ziehen einen Zertifizierungsansatz vor, der nur Benutzern mit dem richtigen Sicherheitszertifikat Zugriff auf Geräte erlaubt und alle nicht autorisierten Profile automatisch sperrt. Eines steht fest: Es gibt keine universellen Lösungen gegen die Attacken. Jedes Unternehmen benötigt maßgeschneiderte Individuallösungen.