IoT-Geräte in Gefahr

105 Millionen Cyber-Angriffe im ersten Halbjahr 2019

| Autor / Redakteur: Michael Eckstein / Nico Litzel

Auch Unternehmenslösungen im fokus: Hacker lieben IoT-Geräte.
Auch Unternehmenslösungen im fokus: Hacker lieben IoT-Geräte. (Bild: gemeinfrei / Pixabay)

Hacker lieben das Internet of Things: Gegenüber 2018 hat die Zahl der Attacken auf IoT-Geräte drastisch zugenommen. „Smarte“ Produkte sind ein lukratives Ziel für Cyberkriminelle – verstärkt in Unternehmen. Besonders aktiv ist die Mirai-Malware.

Im ersten Halbjahr 2019 gab es neun Mal so viele Cyberattacken auf Geräte innerhalb des Internet of Things (IoT) wie im gleichen Zeitraum des Vorjahres. Im Rahmen ihrer Honeypot-Analyse identifizierte das auf Cyber-Security spezialisierte Unternehmen Kaspersky weltweit 105 Millionen Angriffsversuche von 276.000 verschiedenen IP-Adressen auf IoT-Geräte. Zum Vergleich: 2018 registrierten die Experten in den ersten sechs Monaten „nur“ zwölf Millionen Angriffe von rund 69.000 IP-Adressen. Kaspersky folgert daraus, dass Cyberkriminelle offenbar die oft gravierenden Sicherheitsmängel von IoT-Geräten für den Aufbau von IoT-Botnetzen ausnutzen.

Ein Grund für den raschen Anstieg von IoT-Attacken ist, dass immer mehr Privatanwender und Unternehmen mit dem Internet verbundene Geräte wie digitale Überwachungskameras, Thermostate oder auch Türschlösser einsetzen. Beunruhigend ist, dass die vermeintlich „smarten“ Produkte gerade bei der IT-Sicherheit alles andere als intelligent sind. Oft weist bereits das Hardware-Design deutliche Schwachstellen auf und darauf laufende, löchrige Software-Stacks erleichtern Cyberkriminellen den Zugriff. Diese sehen darin neue lukrative Chancen und verwenden Netzwerke infizierter IoT-Geräte beispielsweise für DDoS-Angriffe oder für andere schädliche Aktivitäten.

Cyber-Kriminelle haben mit vielen IoT-Geräten ein leichtes Spiel

Kasperskys Honeypots machen diese Entwicklung transparent. Interessant dabei: Die Auswertung der gesammelten Daten zeigt, dass Angriffe auf IoT-Geräte meistens wenig ausgereift und spezifisch sind. Viele Attacken versuchen beispielsweise, nicht geänderte Standardzugangsdaten auszunutzen. Die Nutzer der betroffenen IoT-Geräte bekommen in der Regel nichts davon mit. „Das Erraten von Passwörtern oder Zugangsdaten ist wesentlich einfacher als viele glauben, denn die weitaus häufigsten Kombinationen sind ‚support/support‘, gefolgt von ‚admin/admin‘ und ‚default/default‘“, wundert sich Dan Demeter, Sicherheitsforscher bei Kaspersky, über den Leichtsinn vieler Anwender. Hinter den Angriffen stecken vor allem drei Malware-Familien:

Mirai: 39 Prozent der Angriffe entfielen zwischen Januar und Juni 2019 auf diese Malware. Das sich selbst verbreitende Botnet nutzt verfügbare, meist bereits ältere Exploits: Über die Schwachstellen dringt sie in unsichere Geräte ein und übernimmt die Kontrolle.

Nyadrop: Praktisch gleichauf mit Mirai liegt diese Malware-Familie. Sie arbeitet mit Brute-Forcing und hat sich im Laufe der letzten Jahre zu einer der aktivsten Gefahrenquellen entwickelt. Nyadrop fungiert häufig als Downloader von Mirai.

Gafgyt: Mit 2,1 Prozent weit abgeschlagen ist Gafgyt das dritthäufigste Botnetz. Es attackiert smarte Geräte ebenfalls über Brute-Force-Angriffe.

Auffällig ist, dass Kaspersky im ersten Halbjahr 2019 eine regionale Verschiebung der Aktivitäten von Botnetzen verzeichnet hat. Im ersten Halbjahr 2018 lag Brasilien mit 28 Prozent vor China (14 Prozent) und Japan (11 Prozent). Mittlerweile steht China heute mit 30 Prozent aller Attacken an erster Stelle, gefolgt von Brasilien (19 Prozent) und Ägypten (12 Prozent). Die Bedrohungslage folgt einer gefährlichen Logik: Durch ihre enorm schnelle Verbreitung rücken IoT-Geräte als potenzielle Einfallstore verstärkt in den Fokus von Hackern. Oft unzureichende Security erleichtert den Kriminellen ihr Handwerk.

Längst sind auch Unternehmens-IoT-Geräte im Visier der Hacker

Auch wenn Kaspersky in seiner Untersuchung den Fokus auf Consumer-Geräte legt, ist die Entwicklung trotzdem für Anbieter industriell eingesetzter Smart-Edge-Produkte besorgniserregend. Aktuelle Varianten nehmen nämlich längst nicht mehr nur die bislang üblichen Opfer – etwa ADSL-Router, WLAN-Repeater, IP-Kameras und andere „smarte“ Dinge – ins Visier, sondern zunehmend auch IoT-Geräte von Unternehmen. „Das ist ehrlich gesagt keine große Überraschung“, sagt Nikolay Pankov, Sicherheitsforscher bei Kaspersky, „der Quellcode der Mirai-Malware wurde vor nicht allzu langer Zeit im Netz veröffentlicht und kann nun von so gut wie jedem Angreifer mit ausreichenden Programmierkenntnissen verwendet werden.“

Der Code von Mirai sei sehr flexibel und anpassungsfähig. „Er lässt sich leicht mit neuen Exploits erweitern und kann so seine Zielgruppen schnell ausbauen“, sagt Pankov. Genau das sei mittlerweile passiert. Das Botnet ist demnach mittlerweile in der Lage, auch Unternehmensgeräte wie leistungsstarke, Enterprise-Class-Wireless-Controller, Digital-Signage-Systeme und drahtlose Präsentationssysteme zu infizieren. „Wir erwarten eine neue Mirai-Infektionswelle, die möglicherweise verstärkt industrielle IoT-Geräte betreffen wird“, warnt Pankov.

Anwender sollten zumindest offensichtliche Schutzmaßnahmen ergreifen

Privatanwendern raten die Kaspersky-Experten zu – wenig überraschenden – Sofortmaßnahmen: Falls möglich, sollten sie die Firmware aktualisieren und voreingestellte Passwörter und Benutzernamen ändern. Falls den Anwendern ein ungewöhnliches Geräteverhalten auffällt, sollten sie dieses neu booten. „Möglicherweise wird man dadurch die Malware los, allerdings bleibt man dennoch einem anderen, neuen Infektionsrisiko ausgesetzt.“ Damit die IoT-Geräte nicht über das Internet erreichbar sind, sollten sie zudem in einem lokalen „Virtual Private Network“ (VPN) zusammengefasst werden. Dieser Schritt dürfte allerdings viele Anwender überfordern.

Unternehmen empfiehlt Kaspersky, die Software ihrer IoT-Geräte aktuell zu halten. Nicht gepatchte Geräte sollten in einem separaten Netzwerk laufen, auf das nur autorisierte Nutzer Zugriff haben. Darüber hinaus hat Kaspersky hat einen „IoT-Thread-Data-Feed“-Service eingerichtet, der gezielt Daten über IoT-Bedrohungen sammelt. Aktuell enthält er mehr als 8.000 Datensätze und wird stündlich aktualisiert. „Firmen können diesen Feed in Routern, Web-Gateways, Smart-Systemen und individuellen IoT-Geräten implementieren und zu einem Bestandteil einer Allround-Threat-Intelligence-Lösung machen“, erklärt Demeter. Der Feed basiert auf Informationen der eigenen Forscher und Analysten sowie auf Daten, die aus einer Reihe von Honeypots und anderen Fallgruben, die ungeschützte IoT-Geräte nachahmen, stammen.

Dieser Artikel stammt von unserem Partnerportal Elektronikpraxis.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46188897 / Recht & Sicherheit)