Die Cyber-Kriminalität ist in ein neues Stadium getreten: Ende 2016 wurde erstmals das IoT als Plattform für einen groß angelegten Distributed-Denial-of-Service-Angriff (DDoS) verwendet. Das entsprechende Bot-Netz bestand aus rund 300.000 IoT-Geräten, vor allem aus ungesicherten Überwachungskameras, die mit der Schadsoftware Mirai infiziert worden waren.
Foto: Profit_Image - shutterstock.com
Auf dieser Basis erfolgte dann ein DDoS-Angriff auf DYN, den DNS-Provider von namhaften Content-Anbietern wie Amazon, Spotify oder Netflix. Deren Dienste waren zeitweise nur noch mit Einschränkungen oder gar nicht mehr erreichbar. Wie gewaltig dieser Angriff war, zeigen auch die Zahlen: Erstmals wurde bei einer DDoS-Attacke das Volumen von einem Terabit pro Sekunde überschritten. Noch zu Beginn des Jahres 2016 hatte sich das Volumen von DDoS-Angriffen bei etwa 300 Gigabit bewegt.
Schadsoftware Mirai tritt eine Lawine los
Ein genauer Blick auf die Eigenheiten dieses Angriffs lässt darauf schließen, dass künftig mit weiteren, womöglich noch massiveren Vorfällen dieser Art zu rechnen ist. Das Internet der Dinge wächst nicht nur deutlich stärker als die Zahl klassischer Computer, es erweist sich in seiner derzeitigen Verfassung auch als ideale Plattform für Bot-Netze und damit für DDoS-Attacken.
Der erwähnte Angriff über Mirai ist ein typischer Fall: Ansatzpunkt waren bekannte Schwachstellen in Web-Kameras, in denen sowohl Passwort als auch Username hartcodiert waren, sie konnten also von den Betreibern nicht geändert werden. Die Kameras erfüllten demnach nicht einmal die grundlegendsten Sicherheitsanforderungen. Und genau deshalb sind IoT-Systeme als Instrumente der Angreifer so attraktiv: Sie sind in der Regel auf Funktionalität hin optimiert, während Sicherheitsaspekte nur eine Nebenrolle spielen.
Industrie 4.0 und Smart Cities bieten große Chancen - für Angreifer
Zugleich aber erfreuen sich IoT-Devices eines rasant wachsenden Zuspruchs seitens der Nutzer: Ob Webkameras, Beleuchtungen, Heizungsanlagen oder smarte Fernsehgeräte - die Web-Integration lässt sich gut verkaufen und gerade im Sektor "Smart Home" will kein Anbieter auf entsprechende Produkte verzichten. Aber auch im Unternehmensbereich bietet das Internet der Dinge gute Voraussetzungen. Derzeit werden ja nicht nur hochwertige Anlagen und Maschinen Web-fähig gemacht, auch relativ einfache Systeme wie etwa Straßenbeleuchtung werden ins Web integriert. Man kann davon ausgehen, dass die Bot-Entwickler sich darauf schon vorbereiten.
Foto: NTT Security
Neben dem geringen Sicherheitsniveau und der großen Verbreitung der Geräte kommt Angreifern ein weiterer Aspekt entgegen: Gerade in der vertrauten Home-Umgebung verhalten sich die Nutzer meist nicht risikobewusst. Die Anbieter haben ihrerseits auch kein Interesse daran, Sicherheitsthemen zu adressieren und damit Bedenken zu wecken. Ihre Argumente drehen sich eher um Komfort und Benutzerfreundlichkeit. So kommt es, dass die Benutzer Standardpasswörter einfach beibehalten oder nur schwache Passwörter eingeben - sofern das herstellerseitig überhaupt ermöglicht wird. Solche Nutzer nehmen dann oft auch keine Updates der Software vor.
Roboter steuern die DDoS-Angriffe
Für DDoS-Angreifer sind das optimale Ausgangsbedingungen. Über den Footprint, den die Geräte im Netz hinterlassen, können sie einfach herausfinden, welche Haussysteme über eine IP-Adresse zu erreichen sind, und dann versuchen diese anzugreifen. Solche Angriffe erfolgen heute in der Regel automatisiert. Der Angreifer sucht nicht selbst nach einem geeigneten Objekt und infiziert es, sondern überlässt das einem entsprechend programmierten Robot.
Bot-Netze werden heute meist von geschäftstüchtigen Experten entwickelt und dann Dritten gegen eine entsprechende Vergütung zur Verfügung gestellt. Dieses Business-Modell des "DDoS-as-a-Service" ist kommerziell interessant und für unbeteiligte Dritte besonders gefährlicher. Denn die Entwickler von Bot-Netzen im IoT-Umfeld arbeiten so, dass die Betreiber befallener IoT-System nichts oder wenig davon bemerken. Sie sind nicht das Ziel, sondern das Mittel eines Angriffs.
Foto: Piotr Adamowicz - shutterstock.com
Drei Ansatzpunkte, um Iot-Infrastrukturen abzusichern
Zunächst einmal sind die Hersteller von IoT-Geräten in der Pflicht. Sie müssen für eine sinnvolle Grundabsicherung ihrer Systeme sorgen. Hartcodierte Passwörter wie im Mirai-Fall sind ein absolutes No-Go, vielmehr sollten die Geräte zum Beispiel durch ein starkes individuelles Passwort schon ab Werk gesichert sein. Allerdings haben viele Entwickler von IoT-Geräten nur geringes Verständnis für die Sicherheitsproblematik, sie sind in der Regel auf Funktionalität getrimmt.
Auf Dauer wird man daher kaum um Standards, Vorschriften oder Prüfzeichen herumkommen. Es bleibt jedoch die Frage, wie dergleichen praktisch um- und durchzusetzen ist, handelt es sich bei den schwach gesicherten Komponenten doch vielfach um Billigprodukte oder -bauteile. Entsprechende Regulierungen sind nicht in Sicht und hängen wohl in hohem Maße von der industriepolitischen Ausrichtung ab.
Sichere Paßwörter und Patches sind wichtig
Neben den Herstellern müssen natürlich auch die Nutzer von IoT-Systemen beziehungsweise die Betreiber an Sicherheit denken. Gerade Privatanwender haben hier Nachholbedarf. Noch sind es vorwiegend technikaffine Nerds, die sich ein Smart Home einrichten, in dem sie Heizung, Licht und Rollläden mit dem Smartphone steuern können. Über kurz oder lang sollen aber alle Haushalte in die Lage versetzt werden, ihr heim smarter zu gestalten. Es ist absehbar, dass viele Menschen heillos überfordert sein werden. Wer lässt sich schon ein Smart Home einrichten, um dann regelmäßig Security-Updates für Garagentor und Kühlschrank einzuspielen?
- DoS und DDoS
Bei Denial-of-Service-Angriffen (DoS) versuchen Cyber-Kriminelle den Internetauftritt eines Unternehmens durch Überlastung der Systeme zu beinträchtigen oder völlig lahmzulegen. Das Zielsystem kann zwischen "echten" und "bösartigen" Anfragen nicht unterscheiden. Es versucht alles zu verarbeiten, wird immer langsamer und muss schließlich wegen Überlastung seiner Ressourcen die Arbeit einstellen. Herkömmliche Angriffe dieser Art sind mittlerweile relativ leicht zu erkennen und zu bekämpfen, doch hat sich mit Distributed-Denial-of-Service-Angriffen (DDoS) eine besonders tückische Variante etabliert. Hier verwendet der Angreifer eine große Anzahl von Clients, über die er sich zuvor unrechtmäßig Kontrolle verschafft hat - beispielsweise über ein Bot-Netz mit vielleicht 100.000 gekaperten Rechnern. - Smart-TVs sind besonders beliebt
Smart TVs sind ideale Werkzeuge für DDoS-Angriffe. Aufgrund der hohen Verbreitung, einer breitbandigen Anbindung und des Betriebs durch unerfahrene Nutzer ist die Wahrscheinlichkeit groß, dass von ihnen massive Angriffe ausgehen werden. Es könnte dann zu der paradoxen Situation kommen, dass ein Angriff sich genau der Geräte bedient, deren Service er anschließend einschränkt oder unterbindet. Dann greifen Tausende von Smart TVs Netflix an, und können selbst kein Programm mehr zeigen. - Consumer-Gadgets sind meistens der Ausgangspunkt
IoT-Systeme, die für Bot-Netze missbraucht werden, kommen derzeit vorwiegend aus dem Consumer-Umfeld - beispielsweise schlecht abgesicherte Webkameras oder auch Home Router. Auch industrielle IoT-Geräte, die in Produktionsanlagen oder der Logistiksteuerung eingesetzt werden, sind zunehmend Ziel von DDoS-Attacken. Solche Devices können aber selbst zum Angriffsziel werden, indem etwa Messwerte verfälscht oder Daten entwendet werden. In Finnland wurden zum Beispiel im letzten Herbst Heizungsanlagen angegriffen und manipuliert. Akamai beobachtet zudem bei den Cyber-Attacken vermehrt Kampagnen, die auf Erpressung mit entsprechenden Geldforderungen abzielen. (Michael Tullius, Akamai)
Stets verdächtig sind in den heimischen Wohnzimmern Smart-TVs sowie entsprechende Receiver und Settop-Boxen. Zum einen werden diese Geräte längst in Massen ausgeliefert und sind auch bei in Sicherheitsfragen unerfahrenen Nutzern im Einsatz. Zum anderen verfügen Smart-TVs naturgemäß über eine breitbandige Anbindung, so dass sich Angriffe wirklich "lohnen".
Schließlich müssen aber auch die Provider in die Pflicht genommen werden. Sie können erkennen, ob beispielsweise in Home-Netzen plötzlich unüblicher Traffic entsteht, und diesen gegebenenfalls unterbinden. Bisher haben Internet-Service-Provider allerdings nur wenig gegen die Gefahr aus dem IoT unternommen. Die Bekämpfung der Ursachen solcher Angriffe ist also noch nicht weit gediehen, und es ist fraglich, ob sie je im erwünschten Umfang stattfinden wird. Daher müssen sich Unternehmen und Privatpersonen, die im Visier der Angreifer stehen - also im Grunde alle -, gegen die Folgen schützen.
Für die Opfer ist es unerheblich, ob ihre Rechner durch einen DDoS-Angriff via IoT oder klassisch via Computer lahmgelegt wurden. Beide Varianten unterscheiden sich vor allem durch das Ausmaß des Angriffs. Wird die Zusammenarbeit mit einem Security-Provider erwogen, sollte der über ein spezielles Scrubbing-Center ausreichend Bandbreite zur Verfügung stellen können, um den verdächtigen Traffic umzuleiten und zu analysieren. In diesem Falle wird nur der "gesäuberte" Traffic durchgelassen. Wichtiger als alle technischen Lösungen ist aber das ganzheitliche Sicherheitskonzept, dass Unternehmen rechtzeitig - also weit vor einem Angriff - erarbeitet haben sollten.