Von Zombie-Rechnern zu Zombie-Devices
Toaster, Kühlschränke, Kaffeemaschinen – ohne vernetzte Heimgeräte wäre es vor kurzem Hackern kaum gelungen, das halbe Internet in den USA lahmzulegen. Millionen gekaperte IoT-Devices führten als Teil eines mächtigen Bot-Netzwerkes DDoS-Attacken (Distributed Denial of Service) aus, wobei Server durch die Vielzahl vereinzelter Anfragen überlastet waren. Sich solchen Geräten zu bedienen, ist fatalerweise relativ einfach, wie Prüfungsergebnisse des SEC Consult Vulnerability Labs zeigen: Demnach verwenden Millionen IoT-Geräte weltweit ein und denselben Sicherheitsschlüssel, verfügen über kritische Schwachstellen und sind sogar online auffindbar – natürlich auch in Deutschland.
Torsten Wilhelm Töllner, Geschäftsführer SEC Consult Deutschland: „Weltweit sind zwischen 8,5 und 13,5 Milliarden IoT-Geräte mit dem Internet verbunden. Exponentiell steigend. Wir sprechen mittlerweile nicht nur von ,Zombie-Rechnern‘, die für kriminelle Machenschaften von Hackern zweckentfremdet werden, sondern von ‚Zombie-Devices‘. Hersteller müssen endlich Verantwortung für die Sicherheit ihrer IoT-Produkte übernehmen, ansonsten stehen wir einer rasant wachsenden Cyber-Armada gegenüber.“
Schon im Dezember vergangenen Jahres erhob Bundesinnenminister Thomas de Maizière schwere Vorwürfe gegen große amerikanische Softwarehersteller. Der Jahresbericht 2015 zur IT-Sicherheit in Deutschland machte deutlich, dass sich die Anzahl kritischer Schwachstellen in Software-Produkten im Vergleich zum Vorjahr massiv erhöht hat. Ein grundlegendes Problem, vor dem Cyber-Security-Experten bereits seit langem warnen. Sparmaßnahmen oder schlicht fehlendes Sicherheitsbewusstsein der Hersteller nennt Töllner die Gründe für solche Schwachstellen ab Werk. Erst kürzlich untersuchte das Berliner Unternehmen mit einem eigens entwickelten IoT-Inspector, der demnächst auch am Markt erhältlich sein soll, die Firmware von 4.693 unterschiedlichen Produkten auf deren Sicherheitsmängel, darunter auch namhafte Hersteller. „Dabei stellte sich heraus, dass 96,8 Prozent kritische Sicherheitslücken enthalten, davon waren knapp 40 Prozent hart codierte Passwörter, die vom Hersteller vorgegeben sind und oftmals nicht geändert werden können", betont der Cyber Security-Experte.
Leichtsinn und Naivität als Nährboden für DDoS-Attacken
Somit ist klar, dass viele Unternehmen ihre Produkte immer noch mit teils schwerwiegend unsicherer Firmware (Software, die in elektronischen Geräten eingebettet ist) ausliefern oder gar Standard-Zugangsdaten wie Benutzer „Admin“ und Passwort „12345“ verwenden. Laut Töllner könnte das bereits ausgereicht haben, um die Kontrolle der IoT-Geräte im Falle des kürzlich vorgefallenen US-Hacks zu erlangen. Pikant: Die dafür verwendete Schadsoftware „Mirai“ ist lediglich auf 61 verschiedene Benutzernamen und Passwörter programmiert. Darüber hinaus ist der Quellcode des Programms frei im Internet zugänglich. Ebenso wie die vernetzten Geräte selbst. IoT-Suchmaschinen wie etwa Censys ermöglichen es, à la Google spezifisch nach vernetzten Geräten zu suchen. Um diese dann für sich zu benutzen, bedarf es nicht einmal an besonderem IT-Know-how, wie Torsten Wilhelm Töllner erklärt: „DDoS-Attacken gehören zum 1x1 von Black-Hat-Hackern und sind recht simpel umzusetzen. Besonders, wenn so zahlreiche Informationen über die Zielgeräte bekannt sind. Über spezielle Websites können diese Dienste mitunter sogar für wenig Geld ‚gemietet‘ werden. Bloßer Leichtsinn und Naivität von Unternehmern sind der Nährboden für erfolgreiche DDoS-Angriffe.“ Erst zu reagieren, wenn bereits Schaden angerichtet wurde, ist jedenfalls zu spät. Fakt ist, es gibt Möglichkeiten, sich zu schützen – und bei geschätzt 35,8 Milliarden IoT-Geräten bis 2020 ist das auch dringend nötig.
Unternehmen können sich etwa mit DDoS-Benchmark-Tests entsprechend auf solche Angriffe vorbereiten. Hier kommen eigens entwickelte Netze von DDoS-Testsystemen zum Einsatz. Tausende intelligente Testsysteme, die weltweit verteilt sind, ermöglichen es, Websysteme und Infrastrukturen unter realistischen Bedingungen zu überprüfen. Die Security-Experten rekonstruieren dabei unterschiedlichste Angriffsmuster. Unternehmen erhalten dadurch nicht nur essenzielle Informationen über die Belastungsgrenze der eigenen Systeme, sondern vor allem auch über die Wirksamkeit der in der Organisation eingesetzten Anti-DDoS-Systeme.
Handlungsbedarf: Verpflichtende Sicherheitsanforderungen und -tests
In puncto Sicherheitslücken in Produkten und Software plädiert Töllner für mehr Verantwortung seitens der Hersteller: „Diese müssen über den gesamten Lebenszyklus ihrer Produkte für deren Sicherheit einstehen. Wie unser Vulnerability Lab in einer weiteren Untersuchung feststellte, sind mehr als 50 Prozent der überprüften Standardsoftware ‚toxisch‘, beinhalten somit kritische Schwachstellen. Wenn man bereits vorab den Sicherheitsstandard höher ansetzen würde, träten viele davon erst gar nicht auf.“ Damit künftig ein durchgängig hoher technischer Sicherheitsstandard gewährleistet werden kann, spricht sich der Cyber Security-Spezialist für konkrete Maßnahmen seitens des Gesetzgebers aus: „Zukünftig braucht es bestimmte Qualitätsstandards und Sicherheitsvorschriften, die bei der Software- und Produktentwicklung eingehalten werden müssen.“
Quelle: SEC Consult
02.11.2016
