Es ist eine schlechte Idee, die IoT-Sicherheit zu ignorieren

Bevor sich die Sicherheit verbessert, sollten wir noch mehr Störungen erwarten. Hat sich Ihr Unternehmen schon detailliert mit der IoT-Sicherheit auseinander gesetzt?

Der verteilte DDoS-Angriff vor wenigen Wochen auf das Unternehmen Dyn sollte uns als deutliche Warnung dienen und uns die Gefahren der schwachen oder fehlenden Sicherheitsmechanismen aufzeigen. Wie viele Großangriffe bedarf es noch, bis ein wirklich wichtiger Teil unserer Wirtschaft zusammenbricht?

Nach dem DDoS-Angriff gab das U.S. Computer Emergency Readiness Team (US-CERT) eine deutliche Warnmeldung über die erhöhte Bedrohung durch Botnots heraus. In der Meldung schlug das US-CERT folgende vorbeugenden Schritten für die mit dem Internet verbundenen Geräten vor:

  • Stellen Sie sicher, dass Standardbenutzernamen und Standardkennwörter geändert werden
  • Aktualisieren Sie alle Ihre IoT-Geräte, sobald entsprechende Sicherheits-Patches verfügbar sind
  • Deaktivieren Sie die Universal Plug and Play Funktionen auf Routern, sofern dies nicht unbedingt erforderlich sind.

Als ich die Empfehlungen des US-CERTs las, erinnerte mich an eine aktuelle Situation, in der ich die Funktionsweise eines Samsung Telefonsystem erlernen musste. Innerhalb weniger Minuten hatte ich vollen Zugriff auf das Installationshandbuch, inklusive der Standard-Benutzernamen und Passworte sowie das Techniker-Passwort für den Zugriff auf den eingebetteten Webserver des Systems und die Möglichkeiten zur Programmierung der angeschlossenen Geräte. Alle Anmeldeinformationen auf dem Telefonsystem befanden sich im Default-Modus (wie bei vielen anderen Systemen) und wurden vom zuständigen Administrator noch nie geändert.

Im vergangenen Sommer war ich für eine Inventarisierung eines Netzwerks zuständig, welches alle Anmeldeinformationen für seine Webserver, Server, Switches, Firewalls, WLANs und Drucker auf zwei kurzen Seiten dokumentiert hatte. Inzwischen ist das Dokument um viele Seiten länger, nicht, weil neue Geräte installiert wurden, sondern weil die Dokumentation für die bereits vorhandenen Geräte vervollständigt wurde.

Meist treten diese Defizite in kleineren oder mittelgroßen Firmen auf, die über nicht genug IT-Unterstützung verfügen um alle notwendigen Aufgaben zu bewerkstelligen. Allerdings fehlt es auch vielen Fachleuten an entsprechenden Fähigkeiten, um die notwendigen Aufgaben erfüllen zu können. In der Praxis werden die Router und Switches nach Bedarf (von externen – und meist preiswerten – Dienstleistern) installiert und schnell in Betrieb genommen. Da im Auftrag kein Platz (kein Budget) für einen umfassenden Test und die notwendige Dokumentation der neuen Komponente vorgesehen ist, geht diese in der Regel unkontrolliert in Betrieb. Der Kunde erwartet, dass die neuen Geräte wie im Auftrag beschrieben funktionieren, aber über die Sicherheit der Geräte wird sich ausgeschwiegen. Mit der Sicherheit wird sich erst befasst, wenn zu einem späteren Zeitpunkt ein Problem aufgetreten ist.

Die Probleme, die auf einen laxen Umgang mit der Sicherheit zurückzuführen sind, findet man nicht nur im SMB-Bereich, sondern auch in Großunternehmen. Beispielsweise sind FTP- und Telnet-Anmeldeinformationen auf Routern und Switches nicht gesperrt. Dies passiert oft, wenn auf Ersatzgeräten die ursprüngliche Konfiguration zwar eingespielt, aber nicht richtig abgesichert wurde.

Patch-Probleme

Das Patchen und Aktualisierung der Komponenten und der installierten Software ist das andere wichtige Problem, mit dem sich die Unternehmen auseinandersetzen müssen. Viele Menschen hassen die Veränderung. Aus diesem Grund werden die notwendigen Aktualisierungen der installierten Geräte nicht vorgenommen. Es gilt das Motto: Bei dem aktiven Release kennen wir die Probleme auswendig und bei dem neuen Patch bzw. bei der neuen Software-Version fangen wir wieder von Vorne an. Ein solches Verhalten ist grob Fahrlässig und muss sich schleunigst ändern. Der Wert einer Systemaktualisierung bzw. eines Patches minimiert das Risiko von Betriebsstörungen und überwiegt daher alle Probleme, die beim Betrieb einer aktualisierten Software- bzw. Firmware-Version auftreten können.

Aktuelle DDoS-Angriffe zeigen, dass das Internet der Dinge (IoT) ohne ausreichende Sicherheit installiert wurde. Was in einschlägigen Fachkreisen diskutiert, aber im Allgemeinen überhört wurde, hat sich bewahrheitet: die meisten IoT-Geräte sind nicht vertrauenswürdig und wurden ohne Sicherheitsfunktionen umgesetzt. Aus diesem Grund müssen sowohl die Konsumenten als auch die IT-Administratoren in den Unternehmen begreifen, dass die Angreifer die installierten IoT-Geräte als Ausgangspunkt für groß angelegte Angriffe nutzen können.

Normalerweise gilt als erste Sicherungsmaßnahme die Belehrung bzw. die Schulung der Nutzer als probates Mittel zur Erhöhung der Sicherheit. In diesem Fall ist es jedoch mit der Aufklärung der Benutzer noch lange nicht getan. Die IoT-Sicherheit ist nicht nur ein Benutzerproblem, sondern die Zielgruppe erweitert sich auf die Haustechnik (Klempner, Elektriker, Aufzugs- Brandmelde-, Einbruchs- und Belüftungstechniker, usw.), die in ihren eigenständigen Gewerken innzwischen auch Switches, Router und WLAN-Komponenten installieren.

Die preiswerten Komponenten tragen auch zum Problem bei. Günstige Geräte, die wenige oder gar keine Sicherheitsfunktionen bereitstellen, sorgen für die Einfallstore kommender Angriffe auf das Internet. Für viele dieser „preiswerten“ Komponenten ist von den Herstellern keine Firmware-Aktualisierung zu erhalten und auch die Fehlerbehebung bzw. die Verbesserung der Software oder die Behebung der erkannten Sicherheitslücken ist nicht zu erwarten.

Aktiv schützen, nicht nur reagieren

Viele Unternehmen reagieren im Moment auf die bekannt gewordenen DDoS-Bedrohung, da befürchtet wird, dass mögliche Störungen im Betrieb zukünftig sehr teuer werden können. So lange die Presse lautstark über neue Angriffsarten berichtet, hören die meisten Unternehmen diese Nachrichten und sind gewillt für die Sicherheit den „Extra-Euro“ auszugeben. Bleiben jedoch solche Sensationsmeldungen aus, dann schlafen alle Sicherheitsaktivitäten wieder ein und die Unternehmen gehen in den Alltagsmodus (während dem nichts passiert) über.

Auf der Politikebene gilt ein Cyber-Angriff aus einem anderen Land inzwischen als eine Vorstufe eines kriegerischen Akts. Folglich ist zu erwarten, dass auch die Regulierungen und die Gesetze solche Angriffe als Straftaten verfolgen. Die Unternehmen müssen daher sicherstellen, dass ein aktiver Schutz aller installierter Komponenten umgesetzt wird und auch der Cloud-Provider gegen DDoS-Angriff immun ist. (mh)