IoT-Sicherheit

Internet of Things: Regulation als Rettungsanker?



Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
Preston Gralla ist Redakteur bei Computerworld, Blogger bei ITworld und Autor von mehr als 45 Büchern, darunter "NOOK Tablet:The Missing Manual" (O'Reilly 2012) und "How the Internet Works" (Que, 2006).

Wettbewerbsvorteil durch IoT-Security-Ignoranz?

Dabei ist der Angriff auf Dyn nur der aktuellste einer ganzen Serie von IoT-Botnetz-Attacken: Ende September 2016 wurde der französische Hoster OVH ebenfalls über ein Botnetz attackiert. Das bestand aus 145.607 gehackten Digital- und Überwachungskameras. Ebenfalls im September wurde die bekannte IT-Security-Website Krebs on Security mit Hilfe eines Mirai-Botnetzes lahmgelegt.

Der Quellcode der Mirai-Malware wurde online veröffentlicht - inklusive einer Schritt-für-Schritt-Anleitung, wie man den Schadcode benutzt. Inzwischen wird auch immer häufiger davon berichtet, dass Internet-of-Things-Botnetze über dunkle Kanäle auch mietbar sind - was die "Zugangsschranken" für eine solche Attacke noch einmal erheblich absenkt. Dale Drew, seines Zeichens CSO beim Security-Anbieter Level 3 Communication, geht davon aus, dass bei der Attacke auf Dyn nicht nur ein Botnetz am Werk war: "Wir glauben, dass ein oder mehrere, weitere Botnets an diesem Angriff beteiligt waren. Das könnte bedeuten, dass die Angreifer etliche verschiedene Botnetze gemietet haben."

Ist das Internet of Things in Sachen Security noch zu retten?
Ist das Internet of Things in Sachen Security noch zu retten?
Foto: Kokliang - shutterstock.com

Internet-of-Things-Devices sind besonders anfällig für Malware wie Mirai. Die Nutzer hingegen bemerken oft nicht einmal, dass ihre IoT-Devices über einen Passwortschutz verfügen und ändern das standardmäßig vergebene dann eben auch nicht. Auch die regelmäßige Versorgung mit Sicherheits-Updates spielt für Ottonormal-User keine große Rolle.

Idealerweise hätten die Hersteller der Internet-of-Things-Gerätschaften die potenzielle Gefahr vorhersehen, Eigenitiative ergreifen und das Thema IT-Security im Internet of Things massiv vorantreiben müssen. Der Zug dürfte allerdings inzwischen abgefahren sein. Denn die IoT-Geräte sind vor allem eines: preiswert. Die Hersteller werden also den Teufel tun und in IT-Sicherheit investieren, wenn die Unternehmen, die das nicht tun, durch ihre Ignoranz einen Wettbewerbsvorteil erlangen. Ein weiterer Punkt: Die Hersteller von Consumer-Devices haben in der Regel gar nicht genügend Expertise in Sachen IT-Security.

Der Telekom-Hack: Mirai 2.0?

Bei der Deutschen Telekom ist diese Expertise ohne Zweifel vorhanden. Nichtsdestotrotz wurde auch der deutsche Provider Ende November 2016 von einer neuen Form der Mirai-Malware erschüttert: Rund 900.000 Telekom-Kunden hatten mit massiven Verbindungsproblemen und -ausfällen zu kämpfen. Nachdem die Telekom zunächst einen Hackerangriff nicht ausgeschlossen hatte, scheint nun festzustehen, dass es sich um einen erneuten Angriff mit der "IoT-Malware" handelt. Laut Johannes Ullrich, Sicherheitsforscher am SANS-Institut, wurde die neue Version der Malware spezifisch darauf ausgerichtet, eine Schwachstelle im SOAP-Service von Zyxel-Produkten ins Visier zu nehmen. Ursprünglich, so Ullrich, sei Mirai dazu entworfen worden, standardmäßig unzureichend geschützte Devices zu befallen und deren Passwörter mit Brute-Force-Attacken zu knacken.

Die Deutsche Telekom bezeichnet den Malware-Angriff auf die Router der Kunden offiziell als "nicht erfolgreich", durch die Attacke seien lediglich Abstürze und Ausfälle bei vier bis fünf Prozent der Geräte aufgetreten. Allerdings legen die Untersuchungen von Ullrich nahe, dass die Hacker zumindest einige Geräte kapern konnten: Um die Verbreitung der neuen Malware-Version einschätzen zu können, setzte der Sicherheitsexperte einen Honeypot-Server auf - schließlich sucht Mirai nach einer erfolgreichen Infektion sofort nach neuen "Opfern". Ein paar Stunden später hatten rund 100.000 IP-Adressen versucht, den Honeypot zu infizieren.

Das Ziel von Mirai war bisher allerdings nicht die bloße Infektion von Devices, sondern die Durchführung massiver DDoS-Attacken über Botnetze. Eine neue DDoS-Welle wie im Fall von Dyn oder OVH konnte Ullrich bislang allerdings nicht feststellen. Die Telekom empfiehlt allen betroffenen Kunden ein Software-Update ihrer Router. Ullrich hingegen warnt davor, die Geschehnisse vorschnell abzuhaken: "Die neue Version von Mirai könnte Router anderer Hersteller oder Service Provider bereits infiziert haben, ohne dass die Unternehmen das mitbekommen haben. Ein bis zwei Millionen Router könnten betroffen sein."

Router-Hersteller Zyxel war für eine Stellungnahme bislang nicht zu erreichen.

Staatlicher Eingriff für mehr Sicherheit im Internet of Things?

Und dann gibt es da ja auch noch die Internet-of-Things-Geräte, die im Healthcare-Bereich zum Einsatz kommen. Auch sie könnten angegriffen und gehackt werden - mit katastrophalen Konsequenzen. Der ehemalige US-Vizepräsident Dick Cheney etwa sagte kürzlich im Interview mit "60 Minutes", seine Ärzte hätten die kabellosen Steuerungsmöglichkeiten seines Herzimplantats kurzerhand abgeschaltet - aus Angst vor einem Angriff auf sein Leben.

All diese Entwicklungen lassen einen staatlichen Eingriff sinnvoll erscheinen. Denn der könnte dafür sorgen, dass hinsichtlich der IT-Sicherheit von IoT-Devices gesetzliche Regularien festgelegt werden. Mikko Hypponen, Chef-Researcher bei F-Secure sieht ein solches Szenario positiv: "Wir regulieren viele dieser Geräte bereits jetzt. Sie sollten Dir weder einen Elektroschock verpassen, noch in Flammen aufgehen oder Dein Wifi-Passwort ausspähen." Grundlegende Regularien könnten etwa sein, dass Konsumenten dazu "gezwungen" werden, das standardmäßig eingestellte Passwort zu ändern oder Hersteller, die unsichere Geräte verkaufen, mit zivil- und strafrechtlichen Konsequenzen zu rechnen haben. Die Geräte im Internet of Things sollten jedenfalls künftig mit einem ausreichenden Basis-Schutz ausgeliefert werden.

Ein staatlicher Eingriff sollte das letzte Mittel der Wahl sein, doch im Fall des Internet of Things wäre er angebracht. Schließlich zeigen die Hacker-Angriffe über IoT-Botnetze, wohin die Reise der kriminellen Cyberunholde geht. Und damit nicht genug: Auf der Hackerkonferenz Black Hat Europe zeigten Sicherheitsforscher von Invincea Labs Anfang November anhand zahlreicher, mit Schwachstellen behafteter IoT-Geräte aus der Belkin WeMo-Familie, wie sich diese nicht nur ganz einfach hacken lassen, sondern wie man die gehackten Internet-of-Things-Devices anschließend dazu nutzen kann, einen Angriff auf das Smartphone zu starten, das die Devices per App steuert.

"Zum ersten Mal überhaupt ist es gelungen, über das Internet of Things etwas anderes zu hacken", so Security-Experte Scott Tenaglia. Belkin hat die Schwachstellen nach eigenen Angaben bereits beseitigt.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation computerworld.com. Mit Material von IDG News Service.