Interview „IoT-Security ist auf dem Niveau von PCs der 90er Jahre“
Anbieter zum Thema
Ein einzelner konzentrierter DDoS-Angriff konnte vergangenen Freitag einen Großteil des Internets lahmlegen. Der IT-Sicherheitsexperte Professor Hans-Joachim Hof spricht im Interview darüber, welche Rolle IoT-Geräte bei dem Hackerangriff spielten, mahnt das Gefahrenpotential unsicherer IoT-Devices an – und legt dar, welche Konsequenzen Unternehmen, Anwender und Hersteller daraus ziehen müssen.

Erst vor kurzem hatte IT-Sicherheitsexperte Bruce Schneier noch gewarnt: Die Anzeichen verstärkten sich, dass Hacker einen gezielten Angriff auf Knotenpunkte des Internets planten; die Zahl entsprechender Testläufe nähmen zu. Eine Konsequenz daraus wurde am vergangenen Freitag spürbar, als der DNS-Anbieter Dyn in einer konzentrierten DDoS-Attacke (Distributed Denial of Service) mit einer Flut von Anfragen übers Internet bombardiert und in die Knie gezwungen wurde. Infolgedessen konnten Millionen Menschen auf der ganzen Welt über Stunden hinweg nicht auf populäre Dienste wie Twitter, Netflix oder Paypal zugreifen. Das Besondere an diesem Angriff war seine Intensität, aber auch seine Quelle: Ein Botnetz aus gehackten IoT-Geräten flutete den Internet-Knotenpunkt über Stunden hinweg mit einer Datenintensität von zeitweise mehr als einem Terabit pro Sekunde.
Spätestens jetzt sollte ein Weckruf an Hersteller und Nutzer von IoT-Geräten eingehen. Denn der Angriff hat gezeigt, welches Gefahrenpotential von unsicheren IoT-Devices ausgeht – und auf welch schwachem Sicherheitsniveau das Internet der Dinge auf breiter Ebene unterwegs ist. Wir haben mit dem IT-Sicherheitsexperten Hans-Joachim Hof, Professor an der Technischen Hochschule Ingolstadt, über die Ursachen des Angriffs gesprochen und welches Gefahrenpotential uns in Zukunft aus solchen IoT-Botnetzen drohen könnte. Sein klares Fazit: Softwarehersteller müssen endlich stärker in die Verantwortung gezogen werden.
Was genau macht ein DNS-Provider wie Dyn?
Dyn bietet, neben anderen Dingen, eine so genannten Managed DNS Infrastruktur an. Das bedeutet, dass Dyn für Firmen deren DNS-Services verwaltet. DNS (Domain Name System) ist dafür verantwortlich, Domainnamen zu Übersetzen in IP-Adressen der zugehörigen Server. Es handelt sich um einen grundlegenden Dienst des Internets. Da viele Unternehmen ihren Dienst an Dyn ausgelagert und scheinbar auch nicht redundant ausgelegt haben, stellt Dyn aktuell eine kritische Komponente dar, da der Ausfall der Managed DNS Infrastructure dazu führt, dass viele Webseiten nicht mehr erreicht werden können. Möchte eine Webseite auf Nummer sicher gehen, so sollte sie ihre DNS-Dienstleistungen von mehreren Anbietern beziehen. Es sollten Redundanzmechanismen vorhanden sein, um ausgefallene oder angegriffene DNS-Dienste durch andere zu ersetzen. Unternehmen können DNS-Server für die eigene Domäne übrigens auch selbst betreiben.
Ist DNS eine Schwachstelle des Internets? Einige Grundprotokolle des Internets wurden in Zeiten konzipiert, in denen Datenmengen in Größenordnungen wie Gigabit oder gar Terabit pro Sekunde quasi undenkbar waren. Gehört das System grundüberholt?
Eigentlich nicht. DNS ist ein sehr effizientes Protokoll. Es wird auch ständig erweitert, z.B. um DNSsec. Wichtig ist es, kritische System wie DNS redundant auszulegen und den Dienst nicht in wenigen Unternehmen zu konzentrieren.
Hier eine interessante Beobachtung: Generell ist es den großen Online-Pornographieanbietern wesentlich besser gelungen, sich gegen die Art von Attacke zu schützen, die Dyn am vergangenen Wochenende traf. Deren Infrastruktur ist nämlich redundant ausgelegt. Aus diesem Beispiel sollten andere Unternehmen lernen.
DDoS-Angriffe sind nicht neu, aber die jüngsten Angriffe haben hinsichtlich ihres reinen Volumens massiv zugenommen. Was ist die große Gefahr an DDoS-Attacken durch IoT-Geräte?
DDoS Angriffe werden dadurch effizient, dass Sie zeitgleich von einer Vielzahl von Computern durchgeführt werden. Ideal sind Computer, die durch Sicherheitslücken übernommen werden können, über keine Erkennung von Angriffen (z.B. durch Virenscanner) verfügen, die nicht regelmäßig mit Security Patches versorgt werden, eine gute Netzwerkanbindung haben oder bei denen die Teilnahme an einem Angriff nicht auffällt.
All dies trifft leider auf viele IoT-Geräte zu, z.B. auf Videoüberwachungskameras. Die im IoT-Bereich eingesetzte Software verfügt oft über Sicherheitsschwachstellen; in manchen Fällen etwa Administratorzugang mit fest einprogrammiertem und schwachem oder sogar gar keinem Passwort. IoT-Devices verfügen oft nicht einmal über Standardsicherheitsmaßnahmen wie Virenscanner.
Ebenso werden die Geräte selten oder nie gepatched, insbesondere weil auch die Hersteller selten oder nie Patches zur Verfügung stellen. Hier folgt der Hersteller der Device „Verkauft und vergessen“ und der Kunde dem Motto „verbaut und vergessen“. Kunden warten IoT-Geräte erfahrungsgemäß selten bis nie.
Viele IoT-Devices werden über ein WLAN an das Internet angebunden und verfügen damit üblicherweise über eine relativ hohe Bandbreite. Geräte wie z.B. Überwachungskameras benötigen diese Bandbreite auch, um Videobilder über das Netz zur Verfügung zu stellen.
Da IoT-Geräte oft ohne Benutzerinteraktion arbeiten, fällt die Angriffsaktivität auch nicht unbedingt auf.
(ID:44383514)