Internet of Things: Mehr Sicherheit für das Ökosystem

Originalbeitrag von Trend Micro

Der massive Distributed Denial-of-Service (DDoS)-Angriff auf den DNS-Provider Dyn in der letzten Woche kann als Weckruf dienen: Das Ökosystem des Internet der Dinge ist gründlich aus der Ordnung geraten. Schwach unterstützte, unsichere Geräte brachten einen wichtigen Teil der Infrastruktur des Internets offline und rissen viele prominente Sites mit sich.

Zur Erinnerung: Ein großangelegter Angriff am 21. Oktober traf den US-Provider Dyn. Dyn erklärte, dass zig Millionen IP-Adressen Teil des Angriffs waren. Die erste Attacke startete um 7 Uhr morgens an der US-Ostküste, und die Störung war in etwa zwei Stunden wieder behoben. Eine zweite Angriffswelle begann um 12 Uhr mittags und traf global noch mehr Nutzer. Nach einer Stunde war auch diese Störung behoben. Schließlich gab es noch einen dritten Angriff, der abgewehrt werden konnte, ohne dass Kunden betroffen waren.

Ein großer Teil des Angriffs wurde über Geräte im Internet der Dinge ausgeführt, die von Mirai-Schadsoftware (ELF_GAFGYT.DGB/ELF_BASHLITE.SM) infiziert waren. Es gibt kein einzelnes Mirai-Botnet, denn der Source Code wurde Anfang Oktober veröffentlicht und kann nun von jedem Angreifer genutzt werden. Die Hauptschuld an dem massiven Angriff wird einem Hersteller von DVRs (digitale Videorecorder) und Webcams zugeschoben. Der Anbieter hat einen Rückruf für einige seiner angreifbaren Geräte gestartet. Es ist jedoch anzunehmen, dass auch Geräte anderer Hersteller in den Angriff verwickelt waren.


Bild 1. Überblick über einen Mirai DDoS-Angriff

Angriffe werden weitergehen, bis die Sicherheit erhöht wird

Es ist nicht die erste diesbezügliche Angriffswelle, denn vor einiger Zeit wurde auch der bekannte Sicherheitsjournalist Brian Krebs Opfer einer DDoS-Attacke des Mirai-Botnets. Und es wird nicht der letzte Angriff sein, solange das Internet der Dinge nicht gesichert wird.

Derzeit haben die Angreifer des IoTs eindeutig die Nase vorn, denn es gibt zu viele Geräte, die nicht abgesichert sind und es auch nicht werden können. Und DDoS-Angriffe haben ein noch höheres Bedrohungspotenzial, wenn sie Unternehmen gelten, die sie damit vom Netz nehmen. Das IoT selbst bringt reale Konsequenzen für DDoS-Angriffe mit sich: Was passiert, wenn diese Geräte keine Verbindung zu ihren zentralen Servern aufbauen können? Manchmal funktioniert dies nicht besonders gut. War in der Vergangenheit ein DDoS-Angriff grundsätzlich eher ein lästiger Zwischenfall, so handelt es sich heute mit immer mehr Funktionen online um eine ernsthafte Bedrohung.

Nicht funktionierendes Ökosystem

Zweifellos muss etwas für die Sicherheit des IoTs getan werden, wenn dies auch ein schwer zu lösendes Problem darstellt. Nutzer können nicht plötzlich zu Experten werden und ihre Geräte sicher gestalten. Höchste Priorität der Endanwender war und ist es, ihre Geräte zum Laufen zu bringen.

Auch die Verkäufer von IoT-Ausrüstung haben nicht immer das technische Wissen, um abzusichern, was sie verkaufen. Häufig geht es dabei um Noname-Produkte, die einen neuen Markennamen bekommen.

Damit bleiben noch die tatsächlichen Hersteller der Geräte übrig. Unglücklicherweise führt der Wettbewerbsdruck hier dazu, dass der Post-Sales Support nur schwach ist. Sicherheit hat keinen Vorrang – einfache Handhabung, neue Funktionalität und kurze Markteinführungszeiten sind wichtiger. Ein IoT-OEM hat keinen Grund, in Sicherheit zu investieren – es ist noch kein Anbieter pleite gegangen, weil sein Produkt unsicher ist. Außerdem kostet Langzeit-Support Zeit, Ressourcen und Geld!

Kurz gesagt, gibt es keinen Anreiz, das Richtige zu tun, nämlich das IoT-Equipment sicher zu gestalten.

Müssen Regulierer eingreifen?

Die derzeitige Situation ist auf längere Sicht nicht tragbar. Daher ist es wahrscheinlich, dass Regierungsverordnungen durchgesetzt werden, sobald sich die Konsequenzen fehlender Sicherheit im Bereich IoT in der Praxis deutlich zeigen.

Diese Art der Regulierung ist in technischen Kreisen nicht populär, doch hat es sie in der Vergangenheit schon gegeben. Die meisten elektronischen Geräte bedürfen bereits verschiedener Sicherheitsstandards. Daher liegt eine Zertifizierung für grundlegende Sicherheit nicht so fern.

Es wäre wahrscheinlich zu viel verlangt sicherzustellen, dass jedes IoT-Gerät ohne Sicherheitslücken ist. Doch ist es realistisch zu erwarten, dass grundlegende Sicherheitsfehler – offene Ports, Default-Anmeldeinformationen wie admin/admin sowie unverschlüsseltes Versenden – ausgemerzt werden. Wenn IoT-Hersteller ihre Geräte zum Teil des täglichen Lebens machen wollen, ist es nicht zu viel verlangt, dies nicht auf Kosten des restlichen Internets zu tun.

IoT-Sicherheit wird besser … irgendwann

Mit der Zeit wird sich die IoT-Sicherheit erhöhen. Die Konsequenzen eines unsicheren IoTs werden wohl schmerzlich zutage treten, und irgendwann wird mangelhafte Sicherheit möglicherweise illegal. Unsichere Autos oder Appliances können dann nicht verkauft werden genauso wenig wie Online-Kameras mit einem weit offenen Telnet-Server.

Die IoT-Branche wird wahrscheinlich gezwungen werden, bessere Sicherheits-Practices zu erlernen, oder anderenfalls ihre Produkte nicht verkaufen zu können. Sicherheitsanbieter wie Trend Micro arbeiten an Technologien und Produkten, die normale Endverbraucher nutzen können, um ihre eigenen Heimnetzwerke abzusichern. (Der Anbieter kann bereits die Mirai-Malware erkennen und die TippingPoint-Produkte sind in der Lage, Mirai-bezogenen Netzwerkverkehr auch zu erkennen.)

Es sind auch einige Anzeichen von Fortschritt zu sehen, sowohl auf Seiten der Industrie als auch auf Seiten der Regulierer. Die Europäische Kommission plant neue Regelungen bezüglich der Sicherheit der IoT-Geräte nach. Industrievereinigungen haben eine Roadmap für die Absicherung von IoT-Geräten veröffentlicht.

Der Übergang von einem unsicheren zu einem sicheren Ökosystem wird nicht ohne Schmerzen von statten gehen. Es wird bis dahin noch mehr ernste Sicherheitsvorfälle geben, und es liegt an der IoT-Branche, den Sicherheitsanbietern und Regulierungsbehörden, diesen Übergang so gut wie möglich zu beschleunigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*