Cybersicherheit Wenn Ransomware auf IoT trifft: Warum IoT-Geräte einen anderen Sicherheitsansatz brauchen

Ein Gastbeitrag von Christine Schönig*

Anbieter zum Thema

Angriffe auf IoT-Geräte nehmen zu und werden immer raffinierter und zerstörerischer. Im Folgenden soll geklärt werden, welche Schwachstellen bestehen, wie Cyberkriminelle sich Zugang verschaffen und wie sich Unternehmen vor Cyberangriffen schützen können.

In der heutigen Cyberlandschaft ist es von entscheidender Bedeutung, dass die mit dem Unternehmensnetzwerk verbundenen Geräte und Anlagen sicher und vor dem nächsten Angriff geschützt sind.
In der heutigen Cyberlandschaft ist es von entscheidender Bedeutung, dass die mit dem Unternehmensnetzwerk verbundenen Geräte und Anlagen sicher und vor dem nächsten Angriff geschützt sind.
(Bild: gemeinfrei / Pixabay)

In der Welt der Cybersicherheit ist jeder Schutzmechanismus nur so stark wie sein schwächstes Glied. Dies gilt sowohl für ein einzelnes Gerät als auch für ein ganzes Netzwerk. Dieses schwächste Glied in einem Netzwerk sind Geräte am Netzwerkrand, die über das Internet zugänglich sind. Dazu gehören viele verschiedene Gerätetypen von IP-Kameras, Routern und Sensoren auf dem Firmengelände bis hin zu Geräten, die vor Ort eingesetzt werden, wie Zapfsäulen, EV-Ladegeräte und Geldautomaten. Alle diese Geräte sind mit dem Internet verbunden und für den Fernzugriff gedacht.

Abbildung 1: Abfolge eines Angriffs auf IoT-Geräte
Abbildung 1: Abfolge eines Angriffs auf IoT-Geräte
(Bild: Check Point Software Technologies)

Das Netzwerkumfeld

Wenn Angreifer versuchen, in ein Netzwerk einzudringen, scannen sie die Umgebung in der Regel nach angeschlossenen Geräten, die sie möglicherweise als Einstiegspunkte in das Netzwerk nutzen können. IoT-Geräte sind ein nützliches Sprungbrett für Cyberangriffe, da sie oftmals mit veralteter Software arbeiten oder nicht auf Sicherheitsereignisse überwacht werden. Aufgrund des Umfangs und der großen Vielfalt dieser Geräte sind herkömmliche Maßnahmen zur Reaktion auf Vorfälle möglicherweise nicht so effektiv wie üblich. Ein einziger Universitätscampus kann zum Beispiel Dutzende verschiedener Geräte beherbergen. Wenn so viele Geräte in einem Netzwerk auf einmal angegriffen werden, ist es schwierig, den Überblick darüber zu behalten, wo die Schwachstellen liegen. Es ist auch wichtig zu wissen, dass es nie nur einen einzigen Fehlerpunkt gibt.

Was danach passiert

Eine Angriffskampagne ist nicht mit einem Hit-and-run-Szenario vergleichbar. Manchmal verstecken sich Angreifer lange Zeit im Verborgenen und warten auf den richtigen Moment, um zuzuschlagen, während sie sich im Rahmen von Erkundungsmissionen mit dem Netzwerk ihres potenziellen Opfers vertraut machen. Bei einem Angriff besteht eines der Ziele des Angreifers darin, sich im gesamten Zielnetz zu bewegen. Sie wollen sich uneingeschränkt bewegen und andere interne Anlagen und Einrichtungen angreifen. Durch die Ausnutzung von Servern, PCs und gewöhnlichen Bürogeräten wie Druckern und Routern verbessern die Angreifer ihre Möglichkeiten, eine breitere Kontrolle über das Netzwerk zu erlangen. Häufig nutzen die Angreifer diese Kontrolle für verschiedene Zwecke wie Datendiebstahl oder Erpressung aus. Was als einfache Lücke in einer Reihe von Geräten begann, kann sich schnell zu einer ausgewachsenen Angriffskampagne mit potenziell verheerenden Folgen entwickeln.

Prominente Beispiele für Angriffe auf IoT-Geräte

Sobald eine Ransomware-Infektion in das Netzwerk eingedrungen ist, kann sie sich an so viele Geräte anhängen, dass es fast unmöglich wird, sie zu beseitigen. Ein berüchtigtes Beispiel für einen solchen Fall, bei dem ein IoT-Gerätenetzwerk gekapert wurde, wird in dem von Vedere Labs veröffentlichten Forschungspapier R4IoT vorgestellt. Der dort beschriebene Angriff begann mit der Ausnutzung von Schwachstellen in Axis-Kameras (CVE-2018-10660, CVE-2018-10661) und einem Zyxel NAS (CVE-2020-9054). Über diese Netzwerkstützpunkte konnte sich die Malware lateral ausbreiten, um weitere zahlreiche Netzwerkkomponenten zu übernehmen, Informationen zu stehlen und andere Geräte mit Ransomware zu infizieren. In diesem Fall waren die Sicherheitsforscher in der Lage, alte Schwachstellen auszunutzen, nur um die Wirkung von Malware auf Geräte mit ungepatchter Firmware zu demonstrieren. Diese Schwachstellen ermöglichen es Angreifern, über eine nicht authentifizierte Schnittstelle auf dem Gerät vollen Zugriff zu erhalten.

Ein weiteres Beispiel für ein Angriffsszenario (CVE-2022-29499) wurde kürzlich in Mitel IP Phones entdeckt. Diese Schwachstelle ermöglichte es Angreifern, beliebige Befehle auf diesen Geräten auszuführen, sodass Angreifer im Wesentlichen tun konnten, was sie wollten. Im Gegensatz zu den in der R4IoT-Forschungsarbeit hervorgehobenen Schwachstellen, die mit herkömmlichen signaturbasierten Produkten behoben werden können, können Angreifer, die diese Mitel-Schwachstelle ausnutzen, praktisch ungehindert ihr Unwesen treiben.

Es ist kaum zu glauben, wie einfach es ist, Malware-Angriffe zu initiieren. Oft können Angriffe wie die oben genannten kostengünstig über unregulierte Märkte erworben werden. Vor einigen Wochen beschlagnahmte das US-Justizministerium eine Website namens RSOCKS. Dabei handelte es sich um einen in Russland ansässigen Webdienst, der Proxys verkaufte, die Angreifer häufig für Krypto-Mining-Aktivitäten, DDOS-Angriffe und vieles mehr verwenden. Die meisten Angreifer waren in der Lage, die Kontrolle über mit dem Netzwerk verbundene Geräte und Anlagen zu erlangen, indem sie die Standardanmeldeinformationen verwendeten oder schwache Kennwörter errieten. Diese Methode des Erratens von Anmeldeinformationen oder des Ausprobierens von Standard-Benutzernamen und -Passwörtern häufte ein bösartiges Netzwerk mit mehr als 350.000 Privat-, Büro- und Heimgeräten an.

Abbildung 2: Beschlagnahmte Website RSOCKS
Abbildung 2: Beschlagnahmte Website RSOCKS
(Bild: US-Justizministerium)

Gerätehersteller sind keine Sicherheitsexperten

Anbieter von IoT-Geräten sind in ihrem Bereich außergewöhnlich, wenn es darum geht, sicherzustellen, dass ihre Produkte wie vorgesehen funktionieren. Allerdings sind dieselben Gerätehersteller bei Weitem keine Sicherheitsexperten. In der heutigen Cyberlandschaft ist es von entscheidender Bedeutung, dass die mit dem Unternehmensnetzwerk verbundenen Geräte und Anlagen sicher und vor dem nächsten Angriff geschützt sind. Es ist unpraktisch, ein Patch nach dem anderen für jede Schwachstelle und jedes Exploit zu implementieren, die in freier Wildbahn auftauchen. Selbst wenn die Softwarehersteller regelmäßig Updates für die Geräte herausgeben, zeigen Untersuchungen, dass Betreiber und Endbenutzer ihre Geräte oft nicht warten und auf dem neuesten Stand halten. Was in diesem Fall benötigt wird, ist eine zukunftssichere Lösung, die diese Hindernisse aus dem Weg räumen kann.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Cybersicherheit in der IoT-Welt wird noch lange ein Thema bleiben, mit immer neuen Innovationen auf beiden Seiten. Grundlegende Sicherheitslösungen zur Überwachung und Erkennung reichen in der heutigen modernen Cyberlandschaft nicht mehr aus. Ohne eine Cybersicherheitslösung, die Cyberangriffe in Echtzeit erkennen und verhindern kann, können wir nicht auf einen Sieg gegen die Cyberkriminellen hoffen.

Dieser Artikel stammt von unserem Partnerportal Industry of Things.

* Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies.

(ID:48828562)