Ein Angebot von

Warum Security by Design im IoT noch nicht angekommen ist

| Autor / Redakteur: Klaus-Dieter Walter * / Hendrik Härter

Gefahr für die Industrie: Schon vor Meltdown und Spectre waren industrielle Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht.
Gefahr für die Industrie: Schon vor Meltdown und Spectre waren industrielle Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht. (Bild: SSV Software)

Firmen zum Thema

Schon vor Meltdown und Spectre wurde deutlich, dass Mikrorechner in industriellen Steuerungsanlagen und Embedded-Systeme durch Cyberattacken bedroht werden. Wie sieht ein vernünftiger Schutz aus?

Als im November vergangenen Jahres der geschäftsführende Bundesinnenminister Thomas de Maizière und der Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm in Berlin den BSI-Lagebericht zur IT-Sicherheit in Deutschland vorstellten, waren Meltdown und Spectre nur Insidern bekannt und Intel-Chef Krzanich noch im Besitz seines gesamten Aktienoptionspakets. Insofern konzentriert sich der BSI-Bericht nahezu vollständig auf die klassischen Themen aus den Vorjahren (Gefährdungslagen oder Maßnahmen des BSI).

Dabei kommen teilweise ältere und hinreichend bekannte Vorfälle zu Sprache. Aber es wird in dem Dokument auch explizit auf die Gefahren und Schwachstellen hingewiesen, die sich durch das Internet der Dinge, die fortschreitende Digitalisierung und durch Angriffe auf industrielle Steuerungsanlagen ergeben.

Die Anzahl der Bot-Netze im IoT nimmt zu

Unzählige vernetzte Mikrorechnersysteme besitzen nach wie vor werksseitig eingestellte Standardpasswörter, die man teilweise sogar in den per Internet zugänglichen Bedienungsanleitungen findet. Möglichkeiten zur Software-Aktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die meisten Nutzer von IoT-Baugruppen es noch nicht einmal merken, wenn ein Smart-Home-Thermostat oder die Smartphone-App eines Wearables von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt wird.

In den letzten Monaten kam es zu keinen spektakulären Cyberangriffen auf IoT-Anwendungen. Und das, obwohl die Anzahl der IoT-Funksensoren, -Funkaktoren und -Cloud-Lösungen durch Anwendungen im Smart Home und Smart Factory zunehmen und neue IoT-Funkstandards zum Einsatz kommen. Bisher sind keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf Komponenten und Infrastrukturen identifizierbar. Anwendungen für das Smart Home oder IoT waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 [1] betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis staatliche Cyberkrieger oder Cyberkriminelle entsprechende „Geschäftsmodelle“ gefunden haben, um auch im IoT-Segment aktiv zu werden.

Fest kodierte Passwörter als Schwachstelle

Völlig anders sieht es mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme.

Im August 2016 war mit Mirai schon ein fast 700 Prozent größeres Botnet aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter (Hard-coded Passwords) als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden.

Bei einer für 2020 prognostizierten Anzahl von über 20 Mrd. direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollten wir das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten der rund 20 Mrd. IoT-Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten besitzen, um immer professionellere Kriminelle davon abzuhalten, sie zum Angriff auf andere Infrastrukturkomponenten oder Services zu missbrauchen.

Security by Design muss in das Lastenheft

Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps, wie Wearables, mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheits-Updates zur Verfügung stehen. Es ist davon auszugehen, dass wir bis 2020 nach den ersten Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit Millionen einzelnen eingebetteten Rechnersystemen und Smartphones erleben werden. Die Auswirkungen wären dramatisch.

Aus technischer Sicht unverständlich ist, warum beispielsweise die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Auch unzählige andere Systeme könnten nahezu identische Schwachstellen aufweisen, weil Security by Design noch kein Bestandteil der Entwickler-Lastenhefte war. Im Telekom-Angriffsszenario hätte eine Software-Change-Meldung an einen Maintenance-Server oder ein Logging-Server-Eintrag im Internet gereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45087540 / Safety & Security)