Interview „IoT-Security ist auf dem Niveau von PCs der 90er-Jahre“

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

QUNIS GmbH

Fivetran Germany GmbH

Ein einzelner konzentrierter DDoS-Angriff konnte vergangenen Freitag einen Großteil des Internets lahmlegen. Der IT-Sicherheitsexperte Professor Hans-Joachim Hof spricht im Interview darüber, welche Rolle IoT-Geräte bei dem Hackerangriff spielten, mahnt das Gefahrenpotential unsicherer IoT-Devices an – und legt dar, welche Konsequenzen Unternehmen, Anwender und Hersteller daraus ziehen müssen.

Erst vor kurzem hatte IT-Sicherheitsexperte Bruce Schneier noch gewarnt: Die Anzeichen verstärkten sich, dass Hacker einen gezielten Angriff auf Knotenpunkte des Internets planten; die Zahl entsprechender Testläufe nähmen zu. Eine Konsequenz daraus wurde am vergangenen Freitag spürbar, als der DNS-Anbieter Dyn in einer konzentrierten DDoS-Attacke (Distributed Denial of Service) mit einer Flut von Anfragen übers Internet bombardiert und in die Knie gezwungen wurde. Infolgedessen konnten Millionen Menschen auf der ganzen Welt über Stunden hinweg nicht auf populäre Dienste wie Twitter, Netflix oder Paypal zugreifen. Das Besondere an diesem Angriff war seine Intensität, aber auch seine Quelle: Ein Botnetz aus gehackten IoT-Geräten flutete den Internet-Knotenpunkt über Stunden hinweg mit einer Datenintensität von zeitweise mehr als einem Terabit pro Sekunde.

Spätestens jetzt sollte ein Weckruf an Hersteller und Nutzer von IoT-Geräten eingehen. Denn der Angriff hat gezeigt, welches Gefahrenpotential von unsicheren IoT-Devices ausgeht – und auf welch schwachem Sicherheitsniveau das Internet der Dinge auf breiter Ebene unterwegs ist. Wir haben mit dem IT-Sicherheitsexperten Hans-Joachim Hof, Professor an der Technischen Hochschule Ingolstadt, über die Ursachen des Angriffs gesprochen und welches Gefahrenpotential uns in Zukunft aus solchen IoT-Botnetzen drohen könnte. Sein klares Fazit: Softwarehersteller müssen endlich stärker in die Verantwortung gezogen werden.

Was genau macht ein DNS-Provider wie Dyn?

Dyn bietet, neben anderen Dingen, eine so genannten Managed DNS Infrastruktur an. Das bedeutet, dass Dyn für Firmen deren DNS-Services verwaltet. DNS (Domain Name System) ist dafür verantwortlich, Domainnamen zu Übersetzen in IP-Adressen der zugehörigen Server. Es handelt sich um einen grundlegenden Dienst des Internets. Da viele Unternehmen ihren Dienst an Dyn ausgelagert und scheinbar auch nicht redundant ausgelegt haben, stellt Dyn aktuell eine kritische Komponente dar, da der Ausfall der Managed DNS Infrastructure dazu führt, dass viele Webseiten nicht mehr erreicht werden können. Möchte eine Webseite auf Nummer sicher gehen, so sollte sie ihre DNS-Dienstleistungen von mehreren Anbietern beziehen. Es sollten Redundanzmechanismen vorhanden sein, um ausgefallene oder angegriffene DNS-Dienste durch andere zu ersetzen. Unternehmen können DNS-Server für die eigene Domäne übrigens auch selbst betreiben.

Ist DNS eine Schwachstelle des Internets? Einige Grundprotokolle des Internets wurden in Zeiten konzipiert, in denen Datenmengen in Größenordnungen wie Gigabit oder gar Terabit pro Sekunde quasi undenkbar waren. Gehört das System grundüberholt?

Eigentlich nicht. DNS ist ein sehr effizientes Protokoll. Es wird auch ständig erweitert, z.B. um DNSsec. Wichtig ist es, kritische System wie DNS redundant auszulegen und den Dienst nicht in wenigen Unternehmen zu konzentrieren.

Hier eine interessante Beobachtung: Generell ist es den großen Online-Pornographieanbietern wesentlich besser gelungen, sich gegen die Art von Attacke zu schützen, die Dyn am vergangenen Wochenende traf. Deren Infrastruktur ist nämlich redundant ausgelegt. Aus diesem Beispiel sollten andere Unternehmen lernen.

DDoS-Angriffe sind nicht neu, aber die jüngsten Angriffe haben hinsichtlich ihres reinen Volumens massiv zugenommen. Was ist die große Gefahr an DDoS-Attacken durch IoT-Geräte?

DDoS Angriffe werden dadurch effizient, dass Sie zeitgleich von einer Vielzahl von Computern durchgeführt werden. Ideal sind Computer, die durch Sicherheitslücken übernommen werden können, über keine Erkennung von Angriffen (z.B. durch Virenscanner) verfügen, die nicht regelmäßig mit Security Patches versorgt werden, eine gute Netzwerkanbindung haben oder bei denen die Teilnahme an einem Angriff nicht auffällt.

All dies trifft leider auf viele IoT-Geräte zu, z.B. auf Videoüberwachungskameras. Die im IoT-Bereich eingesetzte Software verfügt oft über Sicherheitsschwachstellen; in manchen Fällen etwa Administratorzugang mit fest einprogrammiertem und schwachem oder sogar gar keinem Passwort. IoT-Devices verfügen oft nicht einmal über Standardsicherheitsmaßnahmen wie Virenscanner.

Ebenso werden die Geräte selten oder nie gepatched, insbesondere weil auch die Hersteller selten oder nie Patches zur Verfügung stellen. Hier folgt der Hersteller der Device „Verkauft und vergessen“ und der Kunde dem Motto „verbaut und vergessen“. Kunden warten IoT-Geräte erfahrungsgemäß selten bis nie.

Viele IoT-Devices werden über ein WLAN an das Internet angebunden und verfügen damit üblicherweise über eine relativ hohe Bandbreite. Geräte wie z.B. Überwachungskameras benötigen diese Bandbreite auch, um Videobilder über das Netz zur Verfügung zu stellen.

Da IoT-Geräte oft ohne Benutzerinteraktion arbeiten, fällt die Angriffsaktivität auch nicht unbedingt auf.

Der Angriff auf das Blog des Security-Journalisten Brian Krebs verzeichnete eine Datenwucht von bis zu 620 Gigabit pro Sekunde, auch die Terabit-Grenze gilt als bereits gesprengt. Woher kommt dieser plötzliche Anstieg an DDoS-Potential?

In diesem konkreten Angriff wurden angeblich eine Vielzahl an Überwachungskameras und anderen IoT-Geräten mit guter Netzwerkanbindung und schlechten Sicherheitsvorkehrungen übernommen und für den Angriff verwendet. Die Angriffsstärke und Angriffseffektivität hängt vor allem von der Anzahl der Geräte und von der geographischen Verteilung der Geräte ab.

Für den Angriff wird ein neuartiges Botnetz namens „Mirai“ verantwortlich gemacht. Worin liegt die Gefahr dieses Botnetzes begründet? Welche Schwachstellen greift es an?

Mirai scheint einen speziellen Fokus auf der Übernahme von IoT-Devices zu haben, also Router, Videorecorder (DVRs), Webcams, Überwachungskameras etc. Durch die Eigenschaften dieser Geräte (siehe oben) scheint es ein Leichtes zu sein, eine große Anzahl dieser Geräte unbemerkt zu übernehmen. Fehler wie Defaultpasswörter lassen sich sehr leicht ausnutzen und sind deshalb sehr attraktiv. Die Gefahr liegt in der großen Anzahl an übernommenen Geräten und darin, dass diese Geräte nicht oder nicht ausreichend gewartet werden, das Botnetz also nicht schrumpft, weil Sicherheitslücken behoben werden. Die Rate der Geräte, die wegen Wartung wieder aus dem Botnetz genommen werden, ist maßgeblich für die Wachstumsgrenze eines solchen Netzwerks.

Generell ist der Zustand der IT-Sicherheit in IoT-Geräten aus meiner Sicht extrem beklagenswert. Wir befinden uns hier auf einem Niveau, das Desktop-Computer in den 90er Jahren hatten.

Woran liegt das?

Gerade im Consumer Markt ist es wichtig, schnell ein Produkt auf den Markt zu bekommen. IT-Sicherheit kommt dann oft zu kurz, da es in Projekten nicht angemessen eingeplant wird. Gerade bei Embedded Plattformen geht die Verwendung von Methoden der IT-Sicherheit (z.B. Verschlüsselung) oft mit einer Verteuerung der Hardware einher, da kryptographische Algorithmen rechen- und speicheraufwändig sind. Der IoT-Markt ist aus meiner Beobachtung sehr preissensitiv. Darüber hinaus handelt es sich bei vielen Herstellern von IoT-Geräten nicht um Softwarefirmen sondern Unternehmen, die ursprünglich aus anderen Bereichen kommen, etwa aus der Elektrotechnik. Hier fehlt zum Teil das für IT-Sicherheit notwendige Knowhow. Ebenso fehlt oft auch das tiefere Verständnis für Softwarearchitektur.

Darüber hinaus mangelt es aktuell an Sicherheitspraktiken und Standardsicherheitslösungen für IoT-Geräte. Hier besteht die Hoffnung, dass die zukünftigen IoT-Plattformen über Sicherheitsmechanismen verfügen.

Analysten rechnen bis zum Jahr 2020 mit über 20 Milliarden Geräten im Internet der Dinge. Was ist angesichts dieser jüngsten Attacken das Worst Case Szenario, das in den nächsten vier Jahren auf uns zukommt? Welche Bedrohung stellt ein „Zombieheer“ aus zweckentfremdeten IoT-Geräten dar?

Nimmt man eine Infektionsrate von 10% der Haushalte in Deutschland an bei 40 Mio Haushalten und einer durchschnittlichen Netzanbindung von 14 Mbit/s an, so kommt man auf eine theoretische Angriffsstärke von 56 Terabit/s. Theoretisch deshalb, weil vielfältige Effekte die Stärke des Angriffs mildern würden. Jedoch ist damit zu rechnen, dass wir in Zukunft Angriffe im Terabit-Bereich vermehrt sehen werden. Dies hat mit der Zunahme der verwundbaren Geräte ebenso zu tun wie der steigenden Bandbreite von Internetanschlüssen.

Ich bin jedoch der Meinung, dass durch die zunehmende Bekanntheit von Angriffen durch IoT-Geräten auch die Schutzmaßnahmen in IoT-Geräten oder in den Netzen, in denen IoT-Geräte eingesetzt werden, zunehmen werden, so dass Angriffe schwerer und Botnetze irgendwann wieder schrumpfen werden. Meine Forschungsgruppen, die INSicherheit - Ingolstädter Forschungsgruppe Angewandte IT-Sicherheit sowie die MuSe - Munich IT Security Research Group arbeiten aktuell an einem Verfahren zur Isolation von Smart Home Devices. Wir erreichen so, dass ein IoT Gerät im Smart Home nicht als Zombie in einem Botnetz eingesetzt werden kann. Ebenso wird die Möglichkeit zur Ausbreitung eines Angriffs im eigenen Heimnetz stark eingeschränkt.

Wie müssen Anwender und Hersteller nun auf diese Bedrohungslage reagieren?

Anwender müssen bei der Auswahl von IoT-Geräten viel mehr einen Fokus auf IT-Sicherheit legen. IoT-Geräte müssen durch das Netzwerk, in dem Sie eingesetzt werden, überwacht werden. Zusätzlich müssen sinnvolle Sicherheitsrichtlinien für diese Geräte auf Netzwerkebene durchgesetzt werden. Die Möglichkeit einer Isolation sollte gegeben sein. IoT-Geräte müssen in Zukunft regelmäßig gewartet werden, entweder manuell durch die Anwender oder automatisiert durch die Hersteller.

Hersteller von IoT-Devices müssen mehr Fokus auf IT-Sicherheit legen, unter anderem unbedingt einen Softwareentwicklungsprozess mit Unterstützung von IT-Sicherheit verwenden. Gerade für kleinere Unternehmen haben meine Forschungsgruppen Secure Scrum als einfach zu verwendende Erweiterung von Scrum entwickelt, um zu sicherer Software zu kommen. Einem solchen Entwicklungsprozess mit Fokus auf IT-Sicherheit kommt eine immense Bedeutung zu, um IT-Sicherheit managbar zu machen und letztendlich zu beherrschen. Die aktuelle Situation im IoT erinnert mich fatal an die Situation, in der Microsoft damals den Security Development Lifecycle als neues Konzept für die Softwareerstellung einführte. In vieler Hinsicht sollten Hersteller von IoT-Devices auf klassische Softwarefirmen schauen und deren Entwicklungspraxis kopieren.

Unternehmen müssen Verantwortung für die von ihnen entwickelten IoT-Devices übernehmen und diese über deren gesamte Lebenszeit mit Updates versorgen. Mechanismen für Updates müssen vorgesehen sein. Idealerweise geschehen Updates automatisiert, so dass Schwachstellen schnell und effizient behoben werden können.

Glücklicherweise ist zu erwarten, dass durch das verpflichtende Prinzip „Privacy by Design“ aus der Datenschutzgrundordnung in Zukunft auch der Fokus auf IT-Sicherheit gelegt wird.

Wie können sich Unternehmen gegen Angriffe in solchen Größenordnungen sinnvoll wappnen?

Es gibt Angebote zum DDoS-Schutz, z.B. von Akamei und Cloudfare. Bei dem Angriff auf Herrn Krebs strich ein Anbieter jedoch die Segel, Google bot daraufhin seinen Schutz an und es gelang auch tatsächlich, die Attacke abzumildern.

Die Nutzung der Dienste von Akamei, Cloudfare und Google bietet sich sehr an. Unternehmen müssen den Ausfall der Internetverbindung als Geschäftsrisiko einplanen und mit einem Notfallplan reagieren können.

Nach dem Angriff auf Dyn fordern Analysten stärkere Regulierung von IoT-Geräten. Wäre eine solche Regulierung sinnvoll, bzw. wie könnte dies aussehen?

Ich setze mich nun seit fast einem Jahrzehnt für eine umfassende Softwarehaftung für die Hersteller von Software ein. Hersteller von Software sollten für Sicherheitsvorfälle, die auf Grund von Sicherheitsschwachstellen geschehen, haftbar gemacht werden können. Nur so wird gewährleistet, dass IT-Sicherheit angemessen berücksichtigt wird. Einen ähnlichen Ansatz verfolgt die Datenschutzgrundordnung mit empfindlichen Strafen bei Datenschutzverstößen. Mit dem Prinzip „Privacy by Design“ stellt die Datenschutzgrundordnung ein weiteres interessantes Konzept. Analog könnte gesetzlich „Security by Design“ vorgeschrieben werden. Security by Design würde erfordern, dass IT-Sicherheit bereits im Design von Software berücksichtigt werden muss und dies auch entsprechend dokumentiert wird.

Dieser Text stammt von unserem Partnerportal Elektronikpraxis. Verantwortlicher Redakteur: Sebastian Gerstl

(ID:44349629)