Das Internet kann einen Atomkrieg überstehen - ist aber scheinbar machtlos gegen allerlei smarte Gerätschaften. Deshalb könnte ein staatlicher Eingriff das letzte Mittel für mehr Security im IoT sein. [...]
WETTBEWERBSVORTEIL DURCH IOT-SECURITY-IGNORANZ?
Dabei ist der Angriff auf den Dyn nur der aktuellste einer ganzen Serie von IoT-Botnetz-Attacken: Ende September 2016 wurde der französische Hoster OVH ebenfalls über ein Botnetz attackiert. Das bestand aus 145.607 gehackten Digital- und Überwachungskameras. Ebenfalls im September wurde die bekannte IT-Security-Website Krebs on Security mit Hilfe eines Mirai-Botnetzes lahmgelegt.
Der Quellcode der Mirai-Malware wurde online veröffentlicht – inklusive einer Schritt-für-Schritt-Anleitung, wie man den Schadcode benutzt. Inzwischen wird auch immer häufiger davon berichtet, dass Internet-of-Things-Botnetze über dunkle Kanäle auch mietbar sind – was die „Zugangsschranken“ für eine solche Attacke noch einmal erheblich absenkt. Dale Drew, seines Zeichens CSO beim Security-Anbieter Level 3 Communication, geht davon aus, dass bei der Attacke auf Dyn nicht nur ein Botnetz am Werk war: „Wir glauben, dass ein oder mehrere, weitere Botnets an diesem Angriff beteiligt waren. Das könnte bedeuten, dass die Angreifer etliche verschiedene Botnetze gemietet haben.“
Internet-of-Things-Devices sind besonders anfällig für Malware wie Mirai. Die Nutzer hingegen bemerken oft nicht einmal, dass ihre IoT-Devices über einen Passwortschutz verfügen und ändern das standardmäßig vergebene dann eben auch nicht. Auch die regelmäßige Versorgung mit Sicherheits-Updates spielt für Ottonormal-User keine große Rolle.
Idealerweise hätten die Hersteller der Internet-of-Things-Gerätschaften die potenzielle Gefahr vorhersehen, Eigenitiative ergreifen und das Thema IT-Security im Internet of Things massiv vorantreiben müssen. Der Zug dürfte allerdings inzwischen abgefahren sein. Denn die IoT-Geräte sind vor allem eines: preiswert. Die Hersteller werden also den Teufel tun und in IT-Sicherheit investieren, wenn die Unternehmen, die das nicht tun, durch ihre Ignoranz einen Wettbewerbsvorteil erlangen. Ein weiterer Punkt: Die Hersteller von Consumer-Devices haben in der Regel gar nicht genügend Expertise in Sachen IT-Security.
Mehr zum Thema: Desaster IoT – Geräte können jetzt auch schon Telefone hacken
STAATLICHER EINGRIFF FÜR MEHR SICHERHEIT IM INTERNET OF THINGS?
Und dann gibt es da ja auch noch die Internet-of-Things-Geräte, die im Healthcare-Bereich zum Einsatz kommen. Auch sie könnten angegriffen und gehackt werden – mit katastrophalen Konsequenzen. Der ehemalige US-Vizepräsident Dick Cheney etwa sagte kürzlich im Interview mit „60 Minutes“, seine Ärzte hätten die kabellosen Steuerungsmöglichkeiten seines Herzimplantats kurzerhand abgeschaltet – aus Angst vor einem Angriff auf sein Leben.
All diese Entwicklungen lassen einen staatlichen Eingriff sinnvoll erscheinen. Denn der könnte dafür sorgen, dass hinsichtlich der IT-Sicherheit von IoT-Devices gesetzliche Regularien festgelegt werden. Mikko Hypponen, Chef-Researcher bei F-Secure sieht ein solches Szenario positiv: „Wir regulieren viele dieser Geräte bereits jetzt. Sie sollten Dir weder einen Elektroschock verpassen, noch in Flammen aufgehen oder Dein Wifi-Passwort ausspähen.“ Grundlegende Regularien könnten etwa sein, dass Konsumenten dazu „gezwungen“ werden, das standardmäßig eingestellte Passwort zu ändern oder Hersteller, die unsichere Geräte verkaufen, mit zivil- und strafrechtlichen Konsequenzen zu rechnen haben. Die Geräte im Internet of Things sollten jedenfalls künftig mit einem ausreichenden Basis-Schutz ausgeliefert werden.
Ein staatlicher Eingriff sollte das letzte Mittel der Wahl sein, doch im Fall des Internet of Things wäre er angebracht. Schließlich zeigen die Hacker-Angriffe über IoT-Botnetze, wohin die Reise der kriminellen Cyberunholde geht. Und damit nicht genug: Auf der Hackerkonferenz Black Hat Europe zeigten Sicherheitsforscher von Invincea Labs Anfang November anhand zahlreicher, mit Schwachstellen behafteter IoT-Geräte aus der Belkin WeMo-Familie, wie sich diese nicht nur ganz einfach hacken lassen, sondern wie man die gehackten Internet-of-Things-Devices anschließend dazu nutzen kann, einen Angriff auf das Smartphone zu starten, das die Devices per App steuert.
„Zum ersten Mal überhaupt ist es gelungen, über das Internet of Things etwas anderes zu hacken“, so Security-Experte Scott Tenaglia. Belkin hat die Schwachstellen nach eigenen Angaben bereits beseitigt.
*Florian Maier und Preston Gralla kümmern sich um reichweitenstarke und populäre IT-Themen für die COMPUTERWOCHE und CIO.de
Be the first to comment