Botnetze durch IoT

IoT-Geräte bleiben eine Bedrohung

| Autor / Redakteur: Guido Schaffner / Peter Schmitz

Im Internet of Things (IoT) können auch kleine Geräte zu einer ernsthaften Bedrohung werden, wenn sie mit Sicherheitslücken Angreifern eine Hintertür ins Firmennetzwerk öffnen.
Im Internet of Things (IoT) können auch kleine Geräte zu einer ernsthaften Bedrohung werden, wenn sie mit Sicherheitslücken Angreifern eine Hintertür ins Firmennetzwerk öffnen. (Bild: gemeinfrei / Pixabay)

Im Internet und im Darknet kursieren zahlreiche Listen, die Millionen Logindaten für IoT- und Smart-Home-Geräte enthalten. Damit können Cyberkriminelle diese in im Handumdrehen kompromittieren – oft sogar ohne, dass Nutzer davon etwas mitbekommen. So wird es Angreifern möglich, riesige Botnetze aufzusetzen, die ihre enorme Rechenleistung für kriminelle Aktivitäten missbrauchen können.

Bei der Verwendung von IoT-Geräten sollten Nutzer aufmerksam und für potenzielle Sicherheitsrisiken sensibiliert sein. Nicht nur in der Nutzung von Standardanmeldeinformationen lauert eine Gefahr: Auch über bereits bekannte, aber nicht geschlossene Sicherheitslücken können Dritte Zugriff auf private Daten erlangen oder sich Zugang zu Gerätekomponenten wie Mikrofonen, Kameras und Sensoren verschaffen.

Häufig setzen Angreifer Brute-Force-Methoden, um sich Zugriff auf Geräte zu verschaffen. Dabei versuchen sie, zufällig gewählte und mit dem Internet verbundene Geräte vollautomatisiert mit bereits bekannten Benutzernamen-Passwort-Kombinationen zu infiltrieren. Haben Hacker erst einmal Zugriff auf Geräte, schließen sie diese zu großen und damit potenten Botnetzen zusammen. Damit werden auch kleine Geräte, die nur einen geringen Datenverkehr erzeugen, zu einer ernsthaften Bedrohung. Denn in großen Clustern zusammengeschlossen, kann ein Angriffsvolumen im dreistelligen Gbps (Gigabit pro Sekunde)-Bereich erzielt werden. Vor allem Distributed-Denial-of-Service (DDoS) -Attacken können Angreifer auf diese Weise ausführen . Diese Offensiven haben zum Ziel, Internet-Services, IT-Komponenten oder die IT-Infrastruktur von Unternehmen zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die Motive der Angreifer reichen dabei von Wettbewerbsschädigung über Erpressung bis hin zu staatlicher Einflussnahme.

Orvibo-Sicherheitsleck gefährdet Smart Homes

vpnMentor findet Milliarden sensibler Logdaten

Orvibo-Sicherheitsleck gefährdet Smart Homes

05.07.19 - Security-Forscher wollen eine ungesicherte Datenbank mit Logeinträgen für Produkte des Anbieters Orvibo gefunden haben. Angreifer hätten darüber Nutzer ausspionieren und mit smarten Schlössern gesicherte Türen öffnen können. lesen

Die Zahl potenzieller Ziele steigt kontinuierlich

Unternehmen sollten sich weiterhin mit bekannten Botnetzen, wie beispielsweise Mirai, auseinanderetzen. Denn seine Ableger bleiben weiterhin eine akute Bedrohung. Das Analystenhaus IHS Markit prognostiziert, dass IoT-Geräte bis zum Jahr 2030 die Schwelle von 125 Milliarden erreichen. Dennoch schützen viele Hersteller von IoT-Geräten ihre Produkte immer noch nicht besser über Security-by-Design-Ansätze. Sei es aus Mangel an Ressourcen und Knowhow oder aufgrund höherer Produktionskosten. Dies führt dazu, dass bereits bekannte Sicherheitslücken nicht gepatcht und standardisierte Anmeldeinformationen nicht geändert werden. Angreifer haben also leichtes Spiel und die potenzielle Zahl an Zielen steigt.

Ein weiterer Grund für das hohe Gefahrenpotenzial von Botnetzen ist die vergleichsweise einfache Zugänglichkeit. Auch Laien ohne tiefgehende IT-Expertise können schon für geringes Entgelt Dienstleistungen von Botznetzbetreibern in Anspruch nehmen. Cyberkriminelle vermieten die Schlagkraft der von ihnen zusammengeschlossenen Geräte. Damit können auch etwa Wettberber oder Laienhacker mit wenig Cyberwissen eine konstante Bedrohung für Unternehmen darstellen.

Studien belegen die Bedrohung durch DDoS-Attacken

Auch das EU-Parlament hat sich der Bedrohungslage im Cyberraum angenommen: Im März 2019 stimmten die Abgeordneten für den Cybersecurity Act. Hersteller sollen so verpflichtet werden, ihre Endgeräte sicherer zu gestalten. Angedacht ist ein Gütesiegel über die IT-Sicherheit, für das die Hersteller gewisse Mindeststandards einhalten müssen. Damit ist der Cybersecurity Act die Grundlage für ein erstes EU-weites Zertifizierungsschema. Die konstante Bedrohung durch die angesprochenen DDoS-Offensiven, die teilweise über Botnetzte ausgeführt werden, lässt sich auch an konkreten Zahlen belegen: Im zweiten Halbjahr des vergangenen Jahres stieg die Anzahl der DDoS-Attacken weltweit um 26 Prozent gegenüber dem Vorjahr. Einen starken Anstieg der Angriffe haben die Sicherheitsforscher besonders im Bereich von 100 bis 400 Gbps festgestellt. Die maximale Größe der Offensiven erlebte einen Zuwachs von 19 Prozent. Diese Erkenntnisse des Threat Landscape Reports von Netscout sind alarmierend und sollten Hersteller und Nutzer von vernetzten Endgeräten weiter für Cybersicherheit sensibilisieren.

Weitere Erkenntnisse des Sicherheitsberichts zeigen, welche Ziele Angreifer über DDoS-Attacken verfolgen. Im Fokus stehen zunehmend Organisationen, die in internationalen Angelegenheiten agieren – dazu gehören beispielsweise Konsulate, Botschaften und der Internationale Währungsfond. Ziel ist es hier oft, staatliche Einflussnahme zu nehmen.

Warum werden IoT-Geräte nicht einfach sicher?

Trojanische Pferde des 21. Jahrhunderts

Warum werden IoT-Geräte nicht einfach sicher?

08.07.19 - Wenn heute eine IoT-Lösung an ein Unternehmen verkauft wird, dann ist oft der Preis der ausschlaggebende Faktor. Der Entscheider auf Käuferseite freut sich darüber, kostengünstig das Geschäft abgewickelt zu haben. Nach der Integration sind diese Komponenten fester Bestandteil im Unternehmensnetzwerk. Somit ergeben sich eventuell Lücken, die einen umfassenden Schutz gefährden. lesen

Wie Unternehmen sich schützen können

Unternehmen können einige Maßnahmen ergreifen, um sich vor Missbrauch ihrer IoT-Geräte und damit vor DDoS-Angriffen zu schützen. Dass dieser Bereich einen immer größeren Stellenwert bei der Absicherung von Unternehmensnetzwerken einnehmen wird, lässt sich konkret belegen: In einer kürzlich durchgeführten Befragung gaben 21 Prozent der Unternehmen an, dass sie eine Kompromittierung ihrer IoT-Geräte befürchtet.

Tipp 1: Updates aufspielen und Anmeldeinformationen ändern

Verantwortungsbewusste Hersteller vernetzter Geräte bieten regelmäßig Updates für ihre Produkte und patchen bekannte Sicherheitslücken. Unternehmen sollten darauf achten, diese Updates regelmäßig aufzuspielen, um nicht kompromittiert werden. Ebenso empfiehlt es sich, bereits beim Kauf dieser Geräte darauf zu achten, ob der Hersteller überhaupt solche Updates anbietet.

Ein weiteres Kaufargument sollte die Möglichkeit sein, die Default-Einstellungen selbst ändern zu können. Die Standardanmeldeinformationen sollten unbedingt vor ihrem Einsatz abgeändert werden, da Listen dieser Benutzernamen-Passwort-Kombinationen im Internet kursieren und auch zum Beispiel schon im Quellcode von Mirai abgebildet waren.

Tipp 2: Kompromittierte Geräte identifizieren

IT-Administratoren sollten prüfen, ob bereits verwendete Geräte möglicherweise schon Angreifern zum Opfer gefallen sind. Dazu sollten sie unter anderem die TCP-Ports TCP/23 und TCP/2323 kontrollieren, über die die Mirai-Hacker Zugriff auf Geräte erlangten. Ebenso empfiehlt es sich, nicht verwendete Funktionen und Dienste an IoT-Geräten von vorneherein zu deaktivieren, um die Anzahl möglicher Einfallstore gering zu halten. So wurden beispielsweise im letzten Jahr aufgrund einer unentdeckten UPnP (Universal Plug and Play)-Lücke mehr als 100.000 Router kompromittiert und als Botnetz zusammengeschlossen.

Tipp 3: Filterrichtlinien implementieren

Filterrichtlinien beschränken, in welchem Umfang und mit welchen Netzwerken die Geräte kommunizieren dürfen. Auch über Zugriffskontrolllisten lassen sich Zugänge und Zugriffsrechte von Endnutzern festlegen. Unternehmen sollten diese strategisch einsetzen, um so die Anzahl möglicher Gefahrenquellen gering zu halten.

2 Millionen IoT-Geräte von Schwachstellen betroffen

Warnung vor Sicherheitslücken

2 Millionen IoT-Geräte von Schwachstellen betroffen

04.06.19 - Der Sicherheitsforscher Paul Marrapese warnt vor Schwachstellen in über zwei Millionen IoT-Geräten. Angreifer können die Lücken ausnutzen und unter anderem die Kontrolle über die Geräte übernehmen. lesen

Tipp 4: Einführung eines Zero-Trust-Modells

Als drastisches, aber sicheres Mittel kann ein Unternehmen innerhalb seines Netzwerks ein Zero-Trust-Modell einführen. Dabei werden alle Geräte, Dienste und Nutzer überprüft. Jeglicher Datenverkehr, ob intern oder extern, wird als grundsätzlich nicht vertrauenswürdig behandelt. Jedes mit dem Unternehmensnetzwerk verbundene Device wird isoliert und abgesichert. IoT-Geräte haben nur auf das Netzwerksegment Zugriff, das für ihre Anwendung notwendig ist. Dieses Modell ist zwar sehr sicher, bringt aber auch einen hohen Aufwand mit sich und bindet entsprechend viele Ressourcen.

Tipp 5: Einsatz von Honeypots und Intelligence

Hat ein Unternehmen, sei es durch interne oder externe Experten, einen tiefer gehenden Einblick in ihre IT-Security, können sie Honeypots installieren. Honeypots sind Scheinziele, die die Aufmerksamkeit von Hackern auf sich lenken und so Informationen über ihre Angriffsmuster sammeln, ohne wirklich schützenswerte Daten preiszugeben. Dadurch können wichtige Erkenntnisse gesammelt werden, auf deren Grundlage das eigene Netzwerk sicherer gestaltet werden kann.

Tipp 6: Auf mehrstufigen DDoS-Schutz setzen

Der bereits erwähnte Bericht von Netscout weist auch einen klaren Trend zu komplexeren DDoS-Angriffen aus. Moderne Botnetz-Malware verfügt über verschiedene Techniken, die zeitgleich über mehrere Angriffsvektoren versuchen, ein System oder einzelne Geräte zu infiltrieren. Diese Art der Angriffe sind deutlich schwerer abzuwehren. Zudem gelingt es Angreifern immer häufiger, eine der anvisierten Schwachstellen tatsächlich auszunutzen. Unternehmen sollten daher auf mehrstufige Abwehrmaßnahmen setzen. Diese bestehen aus einer vor Ort installierten und einer in der Cloud oder beim Service Provider eingesetzten Komponente. Die On-Premise-Komponente hilft Unternehmen, Angriffe sofort zu erkennen und zu bekämpfen. Besonders bei Angriffen auf Anwendungsebene ist dieser Schutz effektiv. Hochvolumige Angriffe werden hingegen, sobald sie einen vorab definierten Schwellenwert übersteigen, extern in der Cloud oder beim Service Provider mitgiert und so unschädlich gemacht.

Über den Autor: Guido Schaffner ist Channel Sales Engineer bei Netscout. Dort ist er verantwortlich für die DDoS-Abwehrlösungen sowie das Channel-Geschäft in der DACH-Region. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46040114 / Recht & Sicherheit)