iot-security, ido

IoT frisst das Internet

Gekaperte IoT-Geräte haben es geschafft, Teile des Internets lahmzulegen. Und das nur wenige Wochen, nachdem dies durch die News-Seite KrebsonSecurity prognostiziert wurde.


ÄHNLICHER ARTIKEL

https://blog.avira.com/de/iot-irritierende-der-dinge/


Der Dyn-Angriff

Ein beispielsloser Distributed-Denial-of-Service-Angriff (DDos) hat Dyn heimgesucht, eine Firma, die entscheidende Services für Reddit, Spotify, SoundCloud und Twitter bereitstellt. Dadurch wurden diese Firmen und Ihre Services teilweise vom Internet abgeschnitten. Das ist uncool und nervig, doch das viel größere Problem ist es, die Millionen und Abermillionen von IoT-Geräten, die den Markt fluten, so sicher zu gestalten, dass sie für diese Art von Angriffe nicht mehr genutzt werden können.

Der Angriff gegen Dyn wurde hauptsächlich mit Botnets durchgeführt, die unsichere IoT-Geräte gekapert und diese gegen das festgelegte Ziel gerichtet haben. Im Gegensatz zum klassischen DDoS-Angriff, bei dem einzelne verschieden große Systeme auf eine Seite angesetzt werden, waren hier Millionen gehackter oder gekaperter Geräte beteiligt. Diese haben dann einen virtuellen Tod durch tausende kleiner Papierschnittwunden verursacht. Quasi: Bewirf jemanden mit Wattebällchen bis er blutet – nur passierte hier das (virtuelle) Bluten tatsächlich.

Zur Erinnerung: Die IoT-Fakten

  1. Es gibt bereits sehr viele IoT-Geräte – und es werden noch viel mehr. Man geht von ca. 20 Milliarden Geräten im Jahr 2020 aus.
  2. Viele IoT-Geräte machen es schwierig – bis unmöglich – die vorgegebenen Administrator-Einstellungen zu ändern.
  3. Einige wenige IoT-Hersteller – darunter XiongMai and Dahua – wurden mit einem sehr hohen Anteil befallener Geräte in Verbindung gebracht..
  4. Der Quellcode für das Mirai-Botnet, dass in Verbindung mit den Angriffen auf Krebs und Dyn gebracht wird, wurde öffentlich zugänglich gemacht, sodass Möchtegern-Hacker es noch einfacher haben, in dieses Spiel einzusteigen.

Die große Frage ist nun, was passieren sollte, um diese Geräte – und das Internet – sicherer zu machen. Und wer kann dafür Sorge tragen? Ist das etwas, was der private Sektor, eine staatliche Institution oder irgendeine zertifizierte Agentur übernehmen soll? Die primären Optionen sind derzeit limitiert – und auch nur theoretisch.

Mögliche Lösungen

Aufgezeigt und angezeigt – Listen, wie die von Krebsonsecurity veröffentlichten, könnten dabei helfen, das Problem zu beheben: Denn zum Schutz des eigenen Rufs könnten sie Firmen dazu bringen, sich selbst um die Sicherheit ihrer Geräte zu kümmern. Vor dem Mirai-Angriff war das Sicherheitsproblem der IoT-Geräte der breiten Öffentlichkeit nicht bewusst und gleich Null.

Rechtliche Schritte – Instanzen, wie z.B. Dyn oder auch Krebsonsecurity könnten aufgrund der Verluste fürs eigene Geschäft eine Sammelklage gegen die Hersteller der unsicheren Geräte anstrengen. Wenn man einen Autohersteller für fehlerhafte Zündschlösser oder Airbags verklagen kann – wie sieht es dann mit einer Firma aus, die Geräte herstellt, die wie wandelnde Pulverfässer sind und auf jeden im Internet abgefeuert werden können?

Staatlicher Zwang— Die europäische Kommission arbeitet nachweislich an den Anforderungen, die benötigt werden, um die Sicherheit von IoT-Geräten zu erhöhen. Das könnte zum Beispiel ein Sicherheitsetikett werden, wie man es schon von der Energieeffizienz bei Kühlschränken und Waschmaschinen kennt.

Unabhängige Agentur – Eine andere Option wäre eine unabhängige Test- und Zertifizierungsstelle, die einschreiten und ein Sicherheitsrating für IoT-Geräte erstellen könnte. Das könnte man dann mit den Crash-Tests des ADAC vergleichen.

Denken Sie mal darüber nach: Ein ADAC Crashtest-Rating mit weniger als 4 Sternen kann den Erstvertrieb eines Autos erheblich verschlechtern und auch den Wert trotz Nachbesserung drastisch senken.

Wenn es um den Zeitfaktor und die politischen Machbarkeit geht, würde ich den staatlichen Zwang ans untere Ende der Liste setzen. Zusätzlich kann es sein, dass die Option rechtliche Schritte einzuleiten ausschließlich in den USA funktioniert. Eine „Aufgezeigt und angezeigt“-Lösung, bei der Firmen durch die schwachen Sicherheitsmaßnahmen ihrer Produkte „geouted“ werden, scheint derzeit die beste Lösung zu sein. Sollten Sie sich also demnächst ein neues IoT-Gerät zulegen wollen, schauen Sie vorher auf die Liste von Krebsonsecurity.

Update

Laut einem Yahoo-Artikel hat die erste Firma in Bezug auf den Angriff gegen Dyn ihre soziale Verantwortung wahrgenommen und ruft Millionen von Produkten zurück, die sie vor 2015 in den USA verkauft haben. Hangzhou Xiongmai Technology ist ein Hersteller für Kameras, die direkt ans Internet angeschlossen sind, und für digitale Recorder. In einem Statement gegenüber Yahoo sagt das Unternehmen, dass Produkte, die nach 2015 verkauft wurden, bereits ein Update erhalten haben und keine Gefahr mehr darstellen würden.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.