DDoS-Attacken und IoT-Geräte: Eine gefährliche Kombination

LinkedInXingPocketWhatsAppFlipboard

Der Missbrauch von vernetzten Geräten für DDoS-Attacken ist Realität. Die Angreifer finden immer neue Strategien, um IoT-Geräte für ihre Zwecke einzusetzen. Gesetzesinitiativen wollen ein Mindestmaß an Sicherheit gewährleisten, beseitigen aber das Problem der milliardenfachen IoT-Altlasten.

Der Deutschen liebste IoT-Geräte sind Drucker, Set-Top-Box und vernetzte Fernseher. Sie führen – so der Home Securit Report von Avast – die Top 10 der vernetzten Geräte an, die in privaten Haushalten genutzt werden. In über 43 % aller Haushalte sind mindestens fünf Geräte mit dem Internet verbunden. Tendenz steigend. Auch im gewerblichen Bereich sind die Nutzungszahlen glänzend. Laut Vodafone IoT Barometer 2019 setzt bereit jedes dritte Unternehmen auf vernetzte Geräte. Der „Internet of Things forecast“ von Ericsson sagt für 2022 rund 29 Milliarden vernetzte Geräte voraus, von denen ca. 18 Milliarden auf das IoT entfallen.

Anzeige

Sicherheit des IoT stagniert auf niedrigem Niveau

Doch allein in der DACH-Region weisen hunderttausende der Geräte im heimischen Gebrauch Schwachstellen auf, berichtet Avast. Sicherheitsanforderungen werden oft vernachlässigt. Das macht es Cyberkriminellen leicht, auf die Geräte zuzugreifen und sie für ihre Zwecke zu missbrauchen. Die Mehrzahl der IoT-Geräte besitzt keine Sicherheitsmechanismen wie Virenschutz oder Firewall. Die Gerätehersteller verlassen sich darauf, dass der Besitzer bzw. Administrator für Netzwerksicherheit sorgt. Bei vernetzten Haushaltsgeräten ist auch keine präventive Abwehr von Angriffen vorgesehen. Die Zugriffskontrolle – wenn überhaupt – erfolgt meist nur mit werkseitig voreingestellte Benutzernamen und Passwörter. Dieses niedrige Sicherheitsniveau macht es Cyberkriminellen leicht, die Geräte zu kapern und mit ihnen neue Botnetze z. B. für DDoS-Attacken zu bilden.

Die Cyberkriminellen versuchen per Brute-Force-Methode die Zielgeräte automatisiert mit Kombinationen aus Default-Einstellungen zu infiltrieren. Privatanwender haben selten das Fachwissen, um zu erkennen, ob ihre Nannycam, ihre Kaffeemaschine oder ihr Kühlschrank kompromittiert wurden. So konnten in den vergangenen Jahren gigantische Botnetze aus IoT-Geräten von mehreren zehntausend Geräten entstehen. Sie liefern die benötigte Bandbreite, um volumenstarke DDoS-Attacken zu starten. In Deutschland konnte eine der größten Attacken der vergangenen Monate auf gekaperte IoT-Geräte zurückführen, berichtet der Link1 DDoS-Report. Der Angriff aus dem Herbst 2018 zielte mit 371 Gbps auf mehrere Webserver.

Immer neue IoT-Schwachstellen

Das mittlerweile weltweit bekannte Mirai-Botnetz war das erste seiner Art, das das gerade auf dem Vormarsch befindliche IoT dazu benutzt hat, DDoS-Angriffe durchzuführen. Als Schwachstelle wurden dabei die Sicherheitslücken der Werkssoftware genutzt, mit der die IoT-Geräte an die Kunden ausgeliefert wurden. Seitdem wurden mehrere Mirai-Ableger entwickelt, die unter anderem Exploits einsetzten, um Schwachstellen der Geräte auszunutzen und diese mit Malware zu infizieren. Dadurch konnten und können Hacker die Geräte so benutzen und missbrauchen, wie sie es wollen. Erst Anfang Juni 2019 wurde eine weitere Mirai-Variante bekannt, die über acht neue Schwachstellen drahtlose Präsentationssysteme, SD-WANs und Home Controller zu infiltrieren versucht. Zu den wichtigsten Einsatzmöglichkeiten dieser IoT-Botnetze zählen neben DDoS-Angriffen auch Cryptomining oder die Verbreitung von Malware und Spam.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Neuer Trend zu Amplification-Attacken durch SSDP und CoAP

Neben den Ablegern des Mirai-Botnetzes befindet sich eine weitere Art von IoT-Botnetze im Umlauf. Sie missbrauchen die smarten Geräte aufgrund ihrer Protokolle, z. B. SSDP und CoAP, für Amplification-Attacken, der Code der Geräte bleibt dabei aber unverändert. 

Viele IoT-Geräte nutzen das Simple Services Discovery Protocol (SSDP). Bei SSDP handelt es sich um ein Netzwerkprotokoll (Port 1900/udp), das nach Universal Plug and Play (UPnP)-Geräten bzw. drahtlos vernetzbaren Geräten sucht. Nach Analysen des Link11 Security Operation Centers sind DDoS-Attacken mit SSDP-basierten Geräten in Deutschland seit 2015 zunehmend zum Problem geworden. Auch Geräte, die das Constrained Application Protocol (CoAP) nutzen, finden sich immer häufiger in Botnetzen wieder. CoAP ist ein spezialisiertes Web-Transfer-Protokoll, das sich einfach in HTTP umwandeln lässt. Mit Stand von Juni 2019 meldet die Suchmaschine Shodan über 550.000 Geräte, die CoAP nutzen. Diese kommen – so die Zahlen des Link11 Security Operation Centers – seit Oktober 2018 immer häufiger bei DDoS-Attacken zum Einsatz.

Regulierungen und Zertifizierungen als Rettungsanker

Das wirft die Frage auf, wie man mit der digitalen Bedrohung umgehen soll. In Kalifornien und Großbritannien setzt man auf Regulierung. Ab dem 1. Januar 2020 dürfen im US-amerikanischen Bundesstaat nur noch vernetzte Geräte verkauft werden, die werksseitig mit einem individuellen Passwort versehen sind. Alternativ muss der Nutzer bei Inbetriebnahme zum Passwortwechsel gezwungen werden. Zumindest auf dem Papier des „Senate Bill No. 327“ setzt die Regierung damit neue Maßstäbe in Sachen IT-Sicherheit. Auch die Regierung in Großbritannien sagt Standard-Passwörtern wie „123456“ oder „password“ in einem Gesetzentwurf den Kampf an. Ebenfalls mehr Sicherheit für IoT-Geräte verspricht die Spezifikation DIN SPEC 277072. Erst im Mai 2019 hat das Deutsche Institut für Normung einen Mindestsicherheitsstandard für Smart-Home-Geräte vorgestellt.

Sicherheitsrisiken für Unternehmen bleiben durch IoT-Altlasten bestehen

So positiv die Initiativen der Gesetzgeber und Institutionen für mehr Sicherheit in einer zunehmend vernetzten Welt sind – den Unternehmen, die Tag für Tag unter DDoS-Attacken stehen, helfen sie kurzfristig nicht. Denn die digitale Welt hat ein riesiges Problem mit IoT-Altlasten. Für die über 20 Milliarden vernetzten Geräte, die es mit Stand 2019 laut Ericson-Studie weltweit gibt, ist kein Sicherheitskonzept vorgesehen. Smarte Glühbirnen oder Überwachungskameras von heute werden bis zum Ende ihrer Lebensdauer ungeschützt online sein. Daher bleiben IoT-Attacken eines der größten Sicherheitsrisiken, mit dem jedes Unternehmen jeden Tag rechnen muss.

Firmen, die auf die hundertprozentige Verfügbarkeit ihrer digitalen Geschäftsabläufe und Online-Angebote angewiesen sind, können nicht abwarten, dass die staatlichen Initiativen Wirkung zeigen oder die Hersteller ihre schon verkauften Geräte nachrüsten werden. Sie müssen selbst aktiv werden und der Gefahr mit spezialisierten Schutzlösungen begegnen. Die Investition in dedizierte Lösungen, die sowohl volumenstarke Attacken, als auch ressourcenintensive Angriffe auf Protokoll- und Applikationsebne abwehren ist eine wirksame Absicherung gegen die IoT-Gefahr. Denn sie wirkt sofort.
 


Marc

Wilczek

Link11 GmbH -

Geschäftsführer

Marc Wilczek ist als Geschäftsführer bei Link 11 für die strategische Geschäftsentwicklung, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich. Neben Management-Funktionen innerhalb des Deutsche Telekom Konzerns war er zuvor als Senior Vice President Asien-Pazifik/Lateinamerika/Naher Osten und Afrika beim eHealth-Konzern CompuGroup Medical tätig und leitete u.a. das Asiengeschäft beim IT-Sicherheitsexperten
Anzeige

Weitere Artikel

Cybercrime
So funktioniert der Betrug mit Fake-Profilen von Führungskräften
Cybercrime
Das sind die globalen Brennpunkte für Cyberkriminalität
Cybercrime
Aufdeckung jahrzehntelanger rumänischer Botnet-Operation: RUBYCARP
Cybercrime
StrelaStealer-Kampagne attackiert Unternehmen in der EU und den USA
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.