Diese Website verwendet Cookies, um das Angebot nutzerfreundlicher und effektiver zu machen. Bitte stimmen Sie der Verwendung von Cookies zu, um alle Funktionen der Website nutzen zu können.Weitere Informationen

9. - 11. Oktober 2018 // Nürnberg

it-sa Newsroom

Kleine Geräte, große Gefahr: IOT

© istockphoto.com/Maxiphoto

Kleine Geräte, große Gefahr: IOT

Auf der diesjährigen it-sa gab es kaum einen Ausstellerstand, an dem nicht irgendwo die drei Buchstaben IOT zu sehen waren. Während das Kürzel bei Sicherheitsexperten für Kopfschmerzen sorgt, hat die Branche ihre Produkte an das Internet der Dinge angepasst.

Täglich 1,8 Millionen Spam-Mails versendet derzeit ein Botnetz bestehend aus IOT-Komponenten. Deren Besitzer wissen in der Regel nicht, dass ihre Überwachungskameras oder WLAN-Router für den Versand unerwünschter Werbung missbraucht werden. Die Angreifer halten die Menge der E-Mails extra gering, damit die Geräte nicht auffallen und von Spam-Filtern blockiert werden. Das unter dem Namen Linux.ProxyM bekannt gewordene Botnet besteht aktuell nur aus rund 5.000 Geräten, dürfte aber schnell wachsen: Die Angreifer nutzen linuxbasierte IOT-Geräte aus, bei denen die vom Hersteller vergebenen Zugangsdaten nicht verändert wurden, ähnlich dem vor einem Jahr massiv für DDOS-Attacken eingesetzten Mirai-Botnet.

Ob Kamera oder Router – die meisten IOT-Geräte im Konsumentenbereich laufen mit einem Linux-Betriebssystem. Das ist für Cyber-Kriminelle recht attraktiv: Schad-Software gibt es dafür im Darknet reichlich und die meisten Nutzer solcher Geräte kennen sich mit Linux nicht aus, außerdem kann die Software der meisten IOT-Geräte nur umständlich aktualisiert werden.

Moderner Bankraub mit IOT-Geräten

Wer ungesicherte IOT-Geräte ins Firmennetzwerk bringt, schafft ungewollt Schleusen, durch die Daten abwandern und unberechtigte Zugriffe möglich werden. Es gibt viele Beispiele, bei denen solche Geräte von Kriminellen zweckentfremdet wurden. Etwa die unter dem Namen Carbanak agierende russische Gang, die Überwachungskameras von Banken gehackt und damit Kunden bei der Passworteingabe beobachtet hat. Auch so kommt man an das Geld der Banken.

Schon vor zwei Jahren ergab eine Untersuchung des Beratungsunternehmens McKinsey, dass mangelhafte IT-Sicherheit die größte Hürde für den IOT-Erfolg darstellt. Die Berater attestieren dem IOT-Markt ein jährliches Wachstum von 15 bis 20 Prozent, welches wesentlich höher ausfallen würde, wenn die Industrie in der Lage wäre, die Sicherheitsprobleme in den Griff zu bekommen. Doch auch den Kunden mangele es an Sicherheitsbewusstsein, außerdem seien sie nicht bereit, für höhere Kosten durch Security mehr zu bezahlen, so McKinsey. Da verwundert das Ergebnis einer Umfrage unter IT-Führungskräften nicht: Über 90 Prozent der Befragten rechnen mit vermehrten Angriffen auf industrielle IOT, sogenannte Cyber Physical Systems.

IOT-Hersteller kämpfen mit schwierigen Anforderungen

Für viele Produzenten von IOT-Komponenten ist es jedoch gar nicht leicht, alle Vorgaben zu erfüllen, insbesondere im industriellen Umfeld: Die Geräte sollen möglichst klein sein, dürfen nicht viel Strom verbrauchen und sollen gleichzeitig möglichst flexibel sein. Da fällt Security häufig weg. Schon die Verschlüsselung übertragener Daten erfordert leistungsfähigere Chipsätze. Die benötigen nicht nur mehr Strom, sondern auch mehr Platz und erzeugen zudem noch Abwärme.

Außerdem müssen die Hersteller mit unterschiedlichen Angriffsformen kämpfen: Sind die Geräte gut gesichert, wird die zugehörige App attackiert. Bleibt auch dies erfolglos, wenden sich Angreifer der Cloud-Plattform zu, auf der die Daten gesammelt und verarbeitet werden. Es müssen also drei ganz unterschiedliche Szenarien berücksichtigt werden.

Auch die Ziele der Cyber-Kriminellen weisen Unterschiede auf: Wie am Eingangsbeispiel deutlich wird, sind zahlreiche Komponenten nur deswegen attraktiv, weil sie gut vernetzt und leicht zu kapern sind. Diese Geräte werden gehackt, um von dort aus Angriffe auf andere Ziele zu starten. Da die Angriffe nicht den Besitzern gelten, bekommen diese oft von der Zweckentfremdung ihrer Geräte nichts mit. IOT-Komponenten, die Bestandteil wichtiger Infrastruktur sind, wie etwa Kameras in Banken, bilden ein eigenes lohnendes Ziel. Oft auch nur, um von dort aus Zugang ins Unternehmensnetz zu bekommen.

Die Anbieter von Security-Produkten für Cyber Physical Systems haben auf diese Vielfalt an Bedrohungen mit einer breiten Palette von Lösungen reagiert. Viele widmen sich der Anomalie-Erkennung im Netzwerk, andere bieten Identity und Access Management für Cloud-Plattformen an oder Hardware-Module zur sicheren M2M-Kommunikation.

Das BSI hat in seiner soeben fertiggestellten Überarbeitung des IT-Grundschutzes die neuen Basisstandards der 200er-Serie um IOT-Empfehlungen erweitert. Darüber hinaus bietet die Behörde nun auch eine Informationsbroschüre zum Internet der Dinge an. Das US-CERT stellt ebenfalls Tipps zur IOT-Security zur Verfügung.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top