DWX - Developer Week 2017
26.06.17 - 26.06.17
In Nürnberg

AppDRoadshow 2017
27.06.17 - 06.07.17
In Köln, Hamburg, Stuttgart, München, Zürich

Next IT con.
27.06.17 - 27.06.17
In Nürnberg

PM CHALLENGE IlluMinate: Communication
29.06.17 - 29.06.17
In München, SkyLounge

DIGILITY - Augmented und Virtual Reality
05.07.17 - 06.07.17
In Köln

IoT HackerDas „Internet der Dinge“ (IoT, Internet of Things) hat sich zu einem schlagkräftigen Angriffstool entwickelt. Anscheinend ist es für Angreifer viel interessanter, eine Kamera für Angriffe auf Websites zu nutzen, als damit ihre Besitzer auszuspionieren. 

An einem Freitag im Oktober letzten Jahres fand um 7:10 Uhr ein massiver DDoS-Angriff auf die Infrastruktur eines DNS-Providers an der Ostküste der USA statt. In einem Zeitraum von 11 Stunden zeigte sich die Anfälligkeit der universellen Konnektivität. Viele der betroffenen Unternehmen konnten ihren Geschäftsbetrieb nicht mehr aufnehmen, da sie keinen sekundären autoritativen DNS-Provider hatten, sondern sich allein auf einen einzigen primären autoritativen DNS-Provider verließen. Dadurch schufen sie selbst eine zentrale Schwachstelle, einen sogenannten Single Point of Failure (SPoF).

Die Auswirkungen des Angriffs waren fatal: Bedeutende digitale Marken und vom Internet abhängige Unternehmen hatten signifikante Ausfälle zu verzeichnen. Der geschäftliche E-Mail-Verkehr war lahmgelegt, die Software-Entwicklung stand still, zahlreiche Business-Apps waren nicht verfügbar, es konnten keine Werbeeinnahmen generiert werden und es ist wohl eine Ironie des Schicksals, dass auch die Dienste für die Netzwerküberwachung offline waren.

Das „Internet der Dinge“ hat sich zu einem schlagkräftigen Angriffstool entwickelt. Anscheinend ist es für Angreifer viel interessanter, eine Kamera für Angriffe auf Websites zu nutzen, als damit ihre Besitzer auszuspionieren. Deshalb sollten wir uns darauf einstellen, dass es Hackern durch die riesige Anzahl von IoT-Geräten und ihren relativ rudimentären Betriebssystemen in Zukunft noch leichter fallen wird, DDoS-Attacken auszuführen.

Unsicherheit kann aus schlechtem Dienstleistermanagement resultieren

Die negativen Downstream-Auswirkungen des Angriffs bekamen sowohl die Unternehmen als auch ihre Kunden zu spüren. In vielen Fällen wussten diese nicht einmal, warum ihre Dienste nicht mehr verfügbar waren. Trotz der ausgefeilten technischen Möglichkeiten waren die Unternehmen durch nachlässiges Dienstleister- bzw. Subunternehmermanagement und unzureichende Risikoeinschätzung in Bezug auf Dritte für die Unterbrechungen im reibungslosen Geschäftsbetrieb verantwortlich, da sie (direkt oder indirekt) ihre Verfügbarkeit einem SPoF anvertrauten. Daraus können folgende Schlüsse gezogen werden:

  • Wir haben die Komplexität, welche dem Digital Business zugrunde liegt, noch nicht vollständig erfasst. Das DNS-System ist einer der ältesten und am wenigsten getesteten Dienste der Internetinfrastruktur – wir gehen einfach alle davon aus, dass es funktioniert. In der Regel stimmt das auch. Aber wenn etwas schiefgeht, hat das katastrophale Folgen: Ausfallzeiten, Datenverlust und so weiter. Das Digital Business ist von DNS abhängig, doch leider haben nur wenige Firmen eine Business Impact Analyse (BIA) bzw. eine Risikoanalyse durchgeführt, um die komplexen Wechselwirkungen von DNS-Problemen einschätzen zu können.
     
  • Angriffe in der digitalen Welt verursachen Schäden in der realen Welt. Dieser Angriff hat eindrucksvoll gezeigt, dass keine Trennung zwischen der digitalen und physischen Welt existiert. Der Angriff geht auf eine Gruppe von physischen, mit Malware infizierten Geräten zurück, die sowohl im digitalen als auch im physischen Bereich zu Ausfällen führten.
     
  • Die gesamte Struktur des Internets ist bedroht. Die universelle Konnektivität ist vielleicht unser größtes Problem. Angriffe wie dieser, die eine Schwachstelle im fragilen Ökosystem des Internets ausnutzen, führen uns dessen Verwundbarkeit vor Augen. So legte beispielsweise ein einziger Angriff eine Website mit jährlich 82 Milliarden Aufrufen (2015) lahm, ohne ein einziges Paket an diese Adresse gesendet zu haben. Aufgrund der steigenden Attraktivität von DDoS-Attacken ist es an der Zeit, die immanenten Schwachstellen des Internets anzugehen, das sich immer mehr von einem dezentralen zu einem zentralisierten Netz entwickelt.

Mit IoT-Geräten erreichen DDoS-Attacken eine neue Stufe

Die Hersteller von IoT-Geräten, aber auch Benutzer und Operatoren sind inzwischen nicht nur Opfer, sondern Teil rekordverdächtiger DDoS-Attacken, die (wie die Attacke im Oktober letzten Jahres gezeigt hat) eine Gefahr für das gesamte Internet darstellen. Ein chinesischer Hersteller räumte ein, dass viele der bei dem Angriff verwendeten IoT-Geräte, darunter überwiegend digitale Videorekorder und Kameras, von seinem Unternehmen produziert wurden.

Die Mirai-Schadsoftware, die bei dem Angriff verwendet wurde, nutzte Sicherheitslücken und schwache Standardpasswörter in diesen Geräten aus. Während neuere Geräteversionen des Unternehmens gepatcht wurden, verwenden die vor September 2015 ausgelieferten Versionen noch die alte Firmware und sind weiterhin anfällig. Um weitere oder noch verheerendere Ausfälle zu verhindern, sind einige Veränderungen im technologischen Ökosystem der Business Technology des 21. Jahrhunderts erforderlich – von den Herstellern über die Carrier bis hin zu den Cloud-Anbietern:

  • Hersteller von IoT-Geräten müssen einige grundlegende Sicherheitsfunktionen in ihre Geräte implementieren. Keinem IoT-Gerät sollte es möglich sein, über das Internet zu kommunizieren, bevor der Benutzer nicht das Standardpasswort geändert hat. Die Standardpasswörter sollten auf Grundlage von Variablen wie Herstellungsdatum, Seriennummer und Händler zufällig generiert werden. Außerdem sollten bei den Geräten strikte Richtlinien für die Filterung des Ausgangsverkehrs implementiert werden, um die verfügbaren Kommunikationswege einzuschränken.
     
  • Die für IoT-Geräte verantwortlichen Operatoren in den Unternehmen müssen die Transparenz und Segmentierung des Netzwerks sicherstellen. Deshalb sollten Unternehmensnetzwerke auf einer Zero-Trust-Architektur basieren. Hierfür sind Segmentierungen und Zugriffskontrolllisten erforderlich. In diesem Fall sollten sich IoT-Geräte in einem Netzwerksegment befinden, das nur für einen bestimmten Einsatz im Unternehmen vorgesehen ist. Mit Richtlinien für die Filterung des Ausgangsverkehrs kann die externe Kommunikation eingeschränkt und auf diese Weise verhindert werden, dass diese IoT-Geräte für DDoS-Angriffe (wie im Oktober) missbraucht werden.
     
  • Auch die Benutzer tragen Verantwortung für ihre IoT-Geräte. Sicherheits- und Risiko-Experten müssen sicherstellen, dass Sicherheits- und Mitarbeiterrichtlinien die Realität im Hinblick auf den weit verbreiteten Einsatz von IoT-Geräten widerspiegeln. Dies gilt insbesondere für die zulässige Gerätenutzung oder BYOD (Bring Your Own Device). Sicherheitsschulungen für Endbenutzer sollten Themen wie die zulässige Nutzung von IoT-Geräten und die Sammlung und Verwaltung von Daten im Unternehmen umfassen. Sie sollten aber auch die Mitarbeiter darüber aufklären, welche Verantwortung sie bei der Nutzung von IoT-Geräten als Endbenutzer tragen. Hierzu gehören die Anpassung der Standardeinstellungen sowie das Aktualisieren der Firm- und Software, sobald diese verfügbar ist.
     
  • Carrier müssen ihre DDoS-Schutzeinrichtungen aufstocken und nicht nur gewinnbringend vermarkten. Bandbreitenbeschränkungen für Endkunden einerseits und die Verkäufe von DDoS-Abwehrsystemen für Unternehmen andererseits stellen für die Telekommunikationsunternehmen einen erheblichen Interessenkonflikt dar. Konsumenten, die unwissentlich Teil einer DDoS-Attacke werden, könnten sehr schnell ihr festgelegtes Datenvolumen überschreiten und dadurch zusätzlichen Umsatz generieren, während das angegriffene Unternehmen gezwungen ist, einen Provider für den entsprechenden DDoS-Schutz zu bezahlen.

DNS-Konfiguration: Tipps für den Ernstfall

Eine bittere Lektion haben wir bereits mehrfach lernen müssen – das Internet birgt zahlreiche Risiken und Gefahren. Die nächste Lektion lautet – eine umfassende Lösung ist grundsätzlich sehr komplex und vermutlich nicht realisierbar. Deshalb müssen CISOs für sich und ihre Unternehmen eigene Lösungen finden. Hier einige Beispiele:

  • Richten Sie einen sekundären DNS-Provider ein und fügen Sie diesen Ihrer Liste mit Name-Servern hinzu. Automatisieren Sie die Replikation vom primären zum sekundären DNS-Provider. Wenn eine Website zwei DNS-Provider verwendet, merken die Besucher davon nichts. Wenn eine Website jedoch von einem DNS-Provider anhängt, werden Benutzer und Kunden dies garantiert registrieren. Hängt ein großer Teil Ihres Umsatzes von der Konnektivität ab, ist ein einziger DNS-Provider nicht nur ein signifikanter SPoF, sondern macht auch alle anderen redundanten Sicherheitsvorkehrungen zunichte.
     
  • Fragen Sie Ihre DNS-Provider, wie sie sich vor DDoS-Angriffen schützen. Durch den Angriff im Oktober wurde die Anfälligkeit der bekanntermaßen schwer abzusichernden DNS-Systeme deutlich. Schließlich sollen DNS-Dienste als „Adressbuch“ des Internets jeglichen Datenverkehr akzeptieren. DNS-Provider müssen deshalb Konzepte für die Abwehr verschiedenster DDoS-Attacken wie direkte oder reflektive NTP-, UDP- oder API-Angriffe vorlegen. Fragen Sie neben den genauen Schwellenwerten für die Angriffsabwehr auch nach den Schwellenwerten für die geografische Region, bestimmte Dienste und nach rechenzentrumsspezifischen Grenzwerten.
     
  • Wenn Ihre Dienstleister bzw. Subunternehmer *aaS-Dienste gemeinsam nutzen, die einen SPoF darstellen, hat dieser auch Auswirkungen auf Ihr Unternehmen. Zahlreiche SaaS-, IaaS-, PaaS- und IDaaS-Unternehmen waren über Stunden für ihre Kunden nicht erreichbar, obwohl die Unternehmen selbst reibungslos funktionierten. Wenn Unternehmen und ihre Dienstleister bzw. Subunternehmer von einem einzigen DNS-Provider abhängig sind, sollten Sie veranlassen, dass diese mehr als einen Provider verwenden. Darüber hinaus ist es sinnvoll, wenn die Dienstleister nicht die gleichen Provider wie Ihr Unternehmen verwenden.
     
  • Überprüfen Sie unter besonderer Berücksichtigung der DNS-Systeme Ihre BCDR-Maßnahmen erneut. Hierbei handelt es sich um Strategien zur kontinuierlichen Fortführung der Geschäftsplanung und -prozesse im Katastrophenfall. Ihre BCDR-Pläne, Prozesse und Tests sollten die Umschaltung vom primären zum sekundären DNS-System enthalten und auf Dienstausfälle reagieren, die durch DNS-Probleme von Cloud-Anbietern verursacht werden.

Christian ReussChristian Reuss, Sales Director DACH bei Arbor Networks

de.arbornetworks.com

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet

 

Awareness Factsheet