Bot-Netze nutzen das IoT für DDoS-Angriffe

Autor: Thomas Snor ist Executive Enterprise Security Architect bei NTT Security und Spezialist für Informationssicherheit und Risikomanagement
Quelle: SecurityForum Ausgabe 3

DDoS-Angriffe benutzen neuerdings schlecht gesicherte Geräte im Internet der Dinge als Ausgangsbasis. Die Folgen sind massive Attacken von bisher nicht gekanntem Ausmass. Da die Sicherheitslage im IoT auf absehbare Zeit unbefriedigend bleiben wird, müssen sich Unternehmen primär auf herkömmliche Weise schützen.

Die Cyber-Kriminalität ist offenbar in ein neues Stadium getreten: Ende 2016 wurde erstmals das Internet der Dinge (IoT) als Plattform für einen gross angelegten Distributed-Denial-of-Service-Angriff (DDoS) verwendet. Das beteiligte Bot-Netz bestand aus rund 300 000 IoT-Geräten, vor allem aus ungesicherten Überwachungskameras, die mit der Schadsoftware Mirai infiziertworden waren. Auf dieser Basis erfolgte dann ein DDoS-Angriff auf DYN, den DNS-Provider von namhaften Content-Anbietern wie Amazon, Spotify oder Netflix, deren Dienste zeitweise nichtmehr beziehungsweise nur mit Einschränkungen erreichbar waren. Wie gewaltig dieser Angriff war, zeigen auch die Zahlen: Erstmals wurde bei einer DDoS-Attacke das Volumen von einem Terabitpro Sekunde überschritten. Noch zu Beginn des Jahres 2016 hatte sich das Volumen von DDoS-Angriffen bei etwa 300 Gigabit bewegt.

IoT als ideale Angriffsstelle

Diese Entwicklung ist durchaus beunruhigend, denn ein näherer Blick auf die Eigenheiten dieses Angriffs zeigt, dass künftig mit weiteren, womöglich nochmassiveren Angriffen dieser Art zu rechnen ist: Das Internet der Dinge wächst nicht nur deutlich stärker als die Zahl klassischer Computer, es erweist sich in seiner derzeitigen Verfassung als geradezu ideale Plattform für Bot-Netze und damit für DDoS-Attacken.

Der erwähnte DDoS-Angriff über Mirai präsentiert sich als typischer Fall: Ansatzpunkt waren bekannte Schwachstellenin webbasierten Kameras, in denen sowohl Passwort als auch Username hartcodiert waren, sie konnten demnach von den Betreibern nicht geändert werden. Die Kameras erfüllten also nicht die imWeb grundlegendsten Sicherheitsanforderungen. Und das macht genau die Attraktivität von IoT-Systemen aus: Sie sind in der Regel auf Funktionalität hin optimiert und Sicherheitsaspekte spielen, wenn überhaupt, nur eine Nebenrolle. Zugleich aber erfreuen sie sich eines rasant wachsenden Zuspruchs seitens der Nutzer: Ob Webkameras, Beleuchtungen, Heizungsanlagen oder smarte Fernsehgeräte – die Web-Integration lässt sich gut verkaufen und gerade im Sektor «Smart Home» will kein Anbieter auf entsprechende Produkte verzichten. Aber auch ausserhalb des privaten Bereichs bietet das Internet der Dinge jede Menge lohnende Ziele. Es werden dabei nicht nur hochwertige Anlagen und Maschinen webfähig gemacht, es sollen auch relativ einfache Systeme wie Strassenlampen ins Web integriert werden – man kann davon ausgehen, dass die Bot-Entwickler sich darauf schon vorbereiten.

Nutzer verhalten sich meist nicht risikobewusst

Neben dem niedrigen Sicherheitsniveau und der grossen Verbreitung der Geräte kommt Angreifern ein weiterer Aspekt entgegen: Gerade in der vertrautenHome-Umgebung verhalten sich die Nutzer meist nicht risikobewusst. Was kein Wunder ist, denn die Anbieter versprechen ihnen ja auch Systeme, die ganz einfach zu bedienen sind, und von notwendigen Sicherheitsmassnahmen ist dabei höchst selten die Rede. Verkaufsargumente sind gerade beim Thema Smart Home letztlich Komfort und Ease-of-Use, und das will man sich eben nichtselbst zerreden. So kann es denn nicht verwundern, dass die Benutzer Standardpasswörter einfach beibehalten oder dass sie nur schwache Passwörter eingeben – sofern das herstellerseitig überhaupt möglich ist. Solche Nutzer nehmen dann oft auch keine Updates der Software vor.

Für DDoS-Angreifer ist damit alles bestens vorbereitet. Sie können ganz einfach eruieren, welche Haussysteme über eine IP-Adresse über den Footprint zu erreichen sind, den die Geräte im Netz hinterlassen – dann versuchen sie anzugreifen. Solche Angriffe erfolgen heute im Wesentlichen automatisiert. Auch das Businessmodell der Täter hat sich erheblich verändert: Zum einen werden die Angriffe weitgehend automatisiert gefahren, das heisst, der Angreifer sucht nicht selbstnach einem geeigneten Objekt und infiziert es, sondern überlässt das einem entsprechend programmierten Roboter. Zum anderen baut heute niemand mehr ein Bot-Netz, um bestimmte Unternehmenanzugreifen. Vielmehr entwickelt man ein Bot-Netz, um es gegen eine entsprechende Vergütung Dritten zur Verfügung zu stellen, die es dann für ihre eigenen Ziele nutzen. Das Businessmodell des DDoSas-a-Service ist kommerziell wesentlich lukrativer und auch gefährlicher.

IoT-Geräte sichern: drei Punkte

In der Regel werden die Entwickler von Bot-Netzen im IoT so arbeiten, dass der Betreiber des betroffenen IoT-Systems davon möglichst wenig merkt – er ist ja nicht das Ziel des Angriffs, sondern nur sein Mittel.

Dennoch wird man auf Dauer nicht darum herumkommen, IoT-Geräte entsprechend zu sichern. Drei Ansatzpunkte bieten sich dafür an:

Hersteller: In erster Linie sind die Hersteller von IoT-Geräten in der Pflicht. Sie müssen für eine sinnvolle Grundabsicherung ihrer Systeme sorgen. Hartcodierte Passwörter wie im Mirai-Fall sind natürlich ein absolutes No-Go, vielmehr sollten die Geräte zum Beispiel durch ein starkes individuelles Passwort schon ab Werk gesichert sein. Allerdings haben viele Entwickler von IoT-Geräten nur geringes Verständnis für die Sicherheitsproblematik, sie sind in der Regel auf Funktion getrimmt.

Auf Dauer wird man daher kaum um Standards, Vorschriften oder Prüfzeichen herumkommen. Es bleibt jedoch die Frage, wie dergleichen praktisch um- und durchzusetzen ist, denn vielfach handelt es sich bei den schwach gesicherten Komponentenum Billigprodukte oder -bauteile. Entsprechende Regelungen sind noch nicht einmal in Sicht und hängen nicht zuletzt in hohem Masse von der industriepolitischen Ausrichtung ab.

Nutzer: Natürlich sollte auch der IoT-Nutzer beziehungsweise Betreiber an die Sicherheit seiner Dinge denken. Was bei kommerziellen Anwendern selbstverständlich ist, muss bei privaten Nutzern mit einem grossen Fragezeichen versehen werden. Noch sind es vorwiegend technikaffine Nerds, die sich ein Smart Home einrichten, in dem sie Heizung, Licht und Rollläden mit dem Smartphone steuern können. Ziel ist aber, die Techniken jedermann zugänglich zu machen. Und es ist absehbar, dass diese «Jedermänner» und «-frauen» damit heillos überfordertsein werden – niemand lässt sich ein Smart Home einrichten, um dann regelmässig Security-Updates für Garagentor und Kühlschrank einzuspielen.

Besonders im Visier stehen im Smart-Home-Bereich Smart-TVs sowie entsprechende Receiver und Settop-Boxen. Zum einen werden diese Geräte schon jetzt massiv ausgeliefert, sodass davonauszugehen ist, dass die Nutzer in Fragen der Sicherheit unerfahren sind. Zum anderen verfügen Smart-TVs naturgemäss über eine breitbandige Anbindung, sodass sich Angriffe dann auch wirklich «lohnen».

Provider: Schliesslich müssen aber auch die Provider in die Pflicht genommen werden. Sie können erkennen, ob beispielsweise in Home-Netzen plötzlich unüblicher Traffic entsteht und müssendiesen unterbinden. Bisher haben Internet-Service-Provider allerdings erst recht wenig gegen die Gefahr aus dem IoT unternommen.

Fazit

Die Bekämpfung der Ursachen solcher Angriffe ist also nicht weit gediehen, und es ist fraglich, ob sie je im erwünschten Umfang stattfinden wird. Daher müssen sich die Unternehmen, die im Visier der Angreifer stehen – also im Grunde alle –, gegen die Folgen schützen.

Für die Opfer ist es weitgehend unerheblich, ob ein DDoS-Angriff via IoT oder klassisch via Computer erfolgt. Beide Varianten unterscheiden sich vor allem durch das Ausmass des Angriffs. Eine Möglichkeit ist die Zusammenarbeit mit einem Security-Provider, der in einem speziellen Scrubbing-Center ausreichend Bandbreite zur Verfügung stellen kann, um den verdächtigen Traffic umzuleiten und zu analysieren. Dieser lässt dann nur den «gesäuberten» Traffic durch. Vor allentechnischen Lösungen ist aber etwas anderes zu beachten: Unternehmen müssen rechtzeitig – also weit vor einem Angriff – ein ganzheitliches Sicherheitskonzept erarbeiten.

Fachartikel herunterladen >