Schwachstelle Router: Gravierende Sicherheitsmängel sind und bleiben Standard

Obwohl Security-Experten seit Jahren regelmäßig gefährliche Sicherheitslücken in Routern aufdecken und nachdrücklich vor den damit verbundenen Risiken warnen, bleiben die Hersteller davon scheinbar unbeeindruckt. [...]

Rainer M. Richter ist Geschäftsführer der IoT Inspector GmbH. IoT Inspector wurde ursprünglich als in-house-Tool für manuelles Pentesting von IoT-Geräten entwickelt. Im Laufe der Jahre entwickelte sich daraus eine Firmware-Analyseplattform, die weltweit von Unternehmen, Infrastrukturanbietern, Herstellern, Beratungsunternehmen und Forschern verwendet wird. (c) IoT Inspector GmbH

Obwohl Security-Experten seit Jahren regelmäßig gefährliche Sicherheitslücken in Routern aufdecken und nachdrücklich vor den damit verbundenen Risiken warnen, bleiben die Hersteller davon scheinbar unbeeindruckt. Anders lässt es sich nicht erklären, dass Sicherheitsforscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in einer Überprüfung von 127 verschiedenen Home-Routern jüngst erneut inakzeptable Schwachstellen wie voreingestellte Hersteller-Passwörter, fehlende Exploit-Schutzmaßnahmen oder private Krypto-Schlüssel gefunden haben. Für die Nutzer der Geräte bedeutet das letztlich, dass sie selbst aktiv werden und nach Schwachstellen suchen müssen, wenn sie ihre Cyberangriffsfläche reduzieren wollen.

Welche Gefahren Router-Schwachstellen nach sich ziehen, sollte spätestens seit den großangelegten Mirai-Attacken im Jahr 2016 jedermann verstanden haben. Die Linux-Schadsoftware hatte damals IoT-Geräte gezielt nach Sicherheitslücken gescannt, infiziert und anschließend über Bot-Netze flächendeckend lahmgelegt. Betroffen waren unter anderem auch hunderttausende Router der Deutschen Telekom. Und auch im vergangenen Jahr waren Telekom-Router negativ in den Schlagzeilen, als eine einfache Fehlkonfiguration eines Ports einen schweren Datenschutzvorfall verursacht hatte, der rund 30.000 sensible Patientendaten über einen Windows-Server für jedermann im Internet frei zugänglich gemacht hat.

Für zu viele Hersteller von IoT-Geräten hat Sicherheit nach wie vor keine Priorität

Wenn die Hersteller von IoT-Geräten (denn das Problem beschränkt sich leider nicht nur auf Router) nun seit Jahren von den anhaltenden Schwachstellen wissen, stellt sich die Frage, warum sie überhaupt nicht oder nur spärlich handeln. Eine Erklärung ist, dass für viele von ihnen eine günstige Entwicklung und schnelle Time-to-Market oberste Priorität hat. Das führt dazu, dass eine wirksame Überprüfung auf mögliche Sicherheitslücken vernachlässigt wird bzw. das Entfernen von bekannten Schwachstellen unter den Tisch fällt. Nicht ganz so einfach zu erklären ist, warum die Hersteller auf Hinweise von Nutzern oder externen Sicherheitsanalysten, die Schwachstellen in ihren IoT-Geräten identifiziert haben, in vielen Fällen ablehnend, ja sogar drohend reagieren, anstatt das Gespräch zu suchen und gemeinsam an zufriedenstellenden Lösungen zu arbeiten.

Dabei gehen sie ein hohes Risiko ein: Abgesehen von drohenden Reputationsschäden im Fall von Cybervorfällen oder Datenschutzverletzungen müssen sie sich bewusst machen, dass eine nachträgliche Behebung von Sicherheitslücken – zum Beispiel in hunderttausenden weltweit eingesetzten IoT-Komponenten – sie mehr kosten wird als eine frühzeitige Analyse und eventuelle Schwachstellenbehebung vor dem Rollout.

Nutzer von IoT-Geräten müssen selbst aktiv werden und Sicherheitslücken identifizieren

Solange die Hersteller selbst nicht aktiv werden und für ausreichend Sicherheit ihrer Kunden und derer Systeme und Daten sorgen, liegt es letztlich an den Nutzern und auch Serviceprovidern selbst, für Transparenz zu sorgen und potenzielle Verwundbarkeiten in den eingesetzten Geräten aufzudecken. Dabei müssen sie sich zunächst bewusst machen, welche Risiken von IoT-Devices – dazu zählen neben Routern klassischerweise auch Drucker, IP-Kameras, VoIP-Telefone oder Thermostate – tatsächlich ausgehen. Die Router-Analyse des FKIE bietet hier Augen öffnende Einblicke: So basiert ein Drittel der getesteten Geräte auf Linux-Kernelversionen, die seit mehr als neun Jahren keine Sicherheitsupdates mehr bekommen. Zudem fanden die Forscher durchschnittlich knapp fünf private Krypto-Schlüssel pro untersuchtem Firmware-Image sowie werksseitig voreingestellte Passwörter, die teilweise nirgends aufgeführt sind.

Wer sich und sein Unternehmen diesen Risiken nicht blindlings aussetzen möchte, dem ist angeraten, selbst aktiv zu werden und nach Schwachstellen in den eingesetzten IoT-Devices zu suchen. Schon heute stehen Unternehmen, Infrastrukturanbietern, Herstellern und IT-Beratern automatisierte Analyse-Tools und -Plattformen zur Verfügung, die Transparenz darüber bieten, was sich in einem Firmware-Image befindet. Und sie machen klassische IoT-Firmware-Schwachstellen wie Lücken in der Systemkonfiguration, festeingestellte Passwörter oder SSH Host-Keys sichtbar. Fortschrittliche Werkzeuge sind dabei auch mit den gängigen internationalen Sicherheitsstandards für IoT-Geräte vertraut – man denke an die ENISA oder die IoT-Richtlinien des Deutschen Instituts für Normung – und somit in der Lage, anzuzeigen, ob die Geräte gegen Compliance-Vorschriften der jeweiligen Branche verstoßen.

Da ein Umdenken und eine größere Sicherheitsverantwortung von Seiten der Hersteller auch in der nächsten Zeit eher nicht zu erwarten ist, sollte eine selbstständige Analyse der IoT-Firmware für viele Unternehmen und Provider zur Selbstverständlichkeit werden. Nur so können Sicherheitsmaßnahmen an die Gefahren angepasst und die Cyberangriffsfläche minimiert werden.

Rainer M. Richter ist Geschäftsführer der IoT Inspector GmbH.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*