DoS-Angriffe über IoT-Geräte
Office-Router, smarte Video-Kamera oder intelligenter Kaffee-Automat: Webfähige Geräte bergen Risiken, warnt Roger Scheer von Tenable im Interview.
Webfähige Geräte sind praktische Helfer im Alltag. Warum ist die Cybersicherheit von IoT-Devices so ein wichtiges Thema?
Roger Scheer: Angreifer versuchen nachweislich immer öfter, IoT-Geräte zu kompromittieren: So nimmt beispielsweise die im Dezember 2023 entdeckte neue Variante des Botnetzes P2Pinfect gezielt webfähige Devices, Router und andere Embedded Systeme ins Visier. Und das ist nur eines von vielen Beispielen – immerhin ist Botnet-Malware heute als Open Source leicht über kriminelle Foren zu beziehen. Einmal infiziert, werden die IoT-Geräte über Angriffs-Payloads, die typischerweise auf Malware wie Mirai oder Gafgyt basieren, in die Botnetze der Angreifer eingebunden und anschließend für DoS-Angriffe gegen attraktive Ziele genutzt. Aber auch von Ransomware wie Flocker und El Gato, die infizierte Systeme verschlüsselt und erst nach einer Lösegeldzahlung freigibt, geht nach wie vor große Gefahr aus.
Die Folgen eines Angriffs auf IoT-Komponenten sind schwer zu prognostizieren und reichen von der Infizierung einzelner Devices über den Verlust oder die Vernichtung sensibler personenbezogener Daten bis hin zu einem möglichen Komplettausfall der gesamten Computer-Infrastruktur, der das Unternehmen lähmt und handlungsunfähig macht.
Gibt es verbindliche Standards, die Unternehmen helfen, die Weichen für eine robuste IoT-Security zu stellen?
Mit Blick auf die zunehmend dynamischen Bedrohungslandschaften und das hohe Schadenspotenzial von Cyberangriffen führen weltweit immer mehr Regierungen regulatorische Vorgaben ein, um die Weichen für höhere Resilienz und einen besseren Schutz kritischer Dienste zu stellen. Die Europäische Gemeinschaft sieht sich im Bereich der Cybergesetzgebung durchaus in einer Vorreiterrolle – von der GDPR über die NIS- und NIS2-Direktiven bis hin zum Digital Operational Resilience Act (DORA) und dem im November 2023 verabschiedeten Cyber Resilience Act (CRA).
Letzterem wird bei der Absicherung von IoT-Devices in Europa zweifellos eine Schlüsselrolle zukommen. Allerdings dürfte noch etwas Zeit vergehen, bis der CRA in das nationale Recht der EU-Mitgliedstaaten überführt ist – und auch der Wortlaut und die Anforderungen könnten sich durchaus noch ändern. Die meisten Experten gehen daher davon aus, dass die neuen Bestimmungen frühestens 2027 in Kraft treten dürften.
Wie wirksam sind solche Standards? Tragen sie wirklich dazu bei, die Herausforderungen beim Einsatz von IoT-Geräten zu meistern?
Grundsätzlich sind Branchenstandards und gesetzliche Bestimmungen, die darauf abzielen, den Schutz von IoT-Geräten zum Zeitpunkt der Einführung und über den gesamten Produktlebenszyklus hinweg zu verbessern, natürlich begrüßenswert. Aber auch wenn sie ein wichtiger Schritt in die richtige Richtung sind, reichen sie für sich genommen nicht aus.
Unternehmen dürfen sich nicht in der falschen Gewissheit wiegen, dass sie optimal geschützt sind, nur weil sie auf der richtigen Checkliste die richtigen Kästchen angekreuzt haben. Jeder Betrieb und jede Einrichtung ist letztlich selbst dafür verantwortlich, sichere Prozesse zu definieren und zu implementieren, um ihre Infrastrukturen zuverlässig zu schützen – einschließlich der IoT-Geräte.
Warum ist es so schwierig, IoT-Geräte über den gesamten Produktlebenszyklus hinweg zu schützen?
Weil es vielen IoT-Devices selbst an grundlegenden Security-Funktionalitäten fehlt – aus unserer Sicht eine der größten Bedrohungen, vor denen wir derzeit stehen. Die Mehrzahl webfähiger Devices wird mit Fokus auf Flexibilität und Funktionalität designt, die Sicherheit der Geräte ist in den Augen vieler Hersteller nur von nachgelagerter Bedeutung. Damit wird der Schutz der IoT-Produkte zur Aufgabe der Anwender, die plötzlich Dutzende neuer Geräte managen sollen: von der angeblich intelligenten Kaffeemaschine über den smarten Router bis hin zum Konferenzsystem und dem gesamten Großraumbüro voller Smart-Office-Technologie. Das darf aber nicht sein! Anwender sind keine Admins – und der Schutz smarter Devices ist nicht ihre Aufgabe!
Schließlich sind nur die wenigsten Benutzer heute in der Lage, auch nur das Passwort dieser Geräte zu ändern, ganz zu schweigen von regelmäßigen Updates oder vom Check, ob ein Device möglicherweise bekannte Schwachstellen aufweist. Und auch wenn einige Geräte ihre Updates inzwischen automatisiert beziehen, erfordern immer noch zu viele bei diesem kritischen Schritt das manuelle Eingreifen der Anwender. Das führt dazu, dass webfähige Geräte die Angriffsflächen der Unternehmen enorm vergrößern, und den Angreifern letztlich die freie Wahl bleibt, welche der unsicheren Protokolle sie nutzen möchten, um ihre ahnungslosen Opfer zu attackieren.
Welche gängigen Schwachstellen sind typisch für IoT-Geräte – und wie können diese ausgenutzt werden?
Ein einfaches Einfallstor für Hacker – wenn auch keine Schwachstelle im engeren Sinn – sind die unsicheren Default-Passwörter vieler IoT-Geräte, zumal diese ja häufig nicht aktualisiert werden. Ebenso gefährlich sind die einfach zu erratenden Zugangsdaten, die viele Anwender vergeben. Und auch unsichere Datentransfer- und Storage-Protokolle treten bei IoT-Geräten beängstigend häufig auf, wie viele Analysten beklagen.
Besorgniserregend ist auch, dass praktisch jede Schwachstelle, die wir in einem Device finden, in der Praxis eine ganze Reihe von Geräten betrifft. Ein Beispiel: Unsere Security-Analysten haben eine Path-Traversal-Schwachstelle in Routern lokalisiert, über die Angreifer die Authentisierung am Web-Interface umgehen können, um auf andere Systeme im gleichen Heim- oder Unternehmensnetzwerk zuzugreifen. Nachdem die meisten Systeme heute mit Shared Libraries arbeiten, konnten wir die gleiche Schwachstelle anschließend in den Routern von mindestens 13 Internet Service Providern in 11 Ländern nachweisen.
Die traurige Wahrheit ist, dass der Großteil aller Angriffe eigentlich verhindert werden könnte. Denn viele Angreifer verlassen sich auf längst bekannte, aber ungepatchte Schwachstellen von Software, die oft auf IoT-Geräten läuft. Wenn sie das Netz infiltriert haben, machen sie sich meist Fehlkonfigurationen zunutze, um sich tiefer in die jeweilige Infrastruktur vorzuarbeiten oder um Anwendungen zu manipulieren. Und schließlich suchen sie nach Identities mit zu weit gefassten oder falsch konfigurierten Zugangsrechten, um die vollständige Kontrolle über die Umgebung zu übernehmen und sich nach Belieben darin zu bewegen.
Gibt es einen Weg, solche Schwachstellen proaktiv zu erkennen und zu adressieren?
Nachdem die Zahl der Angriffe auf Smart Devices kontinuierlich ansteigt, stehen Verbraucher und Unternehmen zunehmend unter Druck, die Weichen für einen besseren Schutz dieser Geräte zu stellen. Daher testen inzwischen viele Security-Teams die von ihnen eingesetzten IoT-Geräte aktiv auf mögliche Schwachstellen und arbeiten mit den betroffenen Herstellern daran, die identifizierten Lücken zu schließen.
Das ist ein sehr wichtiger Schritt. Trotzdem werden die Hersteller der IoT-Devices aber nicht umhin kommen, Security von vornherein fest im Design der Geräte zu verankern. Schon jetzt zeichnet sich ab, dass robuste Sicherheits- und Datenschutz-Mechanismen bei webfähigen Produkten künftig wichtige Wettbewerbsfaktoren sein werden.
Welche Best Practices sollten Unternehmen befolgen, um ihre IoT-Security zu stärken?
Die einzige Möglichkeit, den Angreifern einen Schritt vorauszubleiben, ist es, proaktiv die Schwachstellen der eigenen Umgebung zu identifizieren – und diese anschließend risikobasiert zu beheben oder zu minimieren.
Die Business- und die Security-Verantwortlichen müssen dabei eng zusammenarbeiten, um die möglichen Auswirkungen eines Cyberangriffs fundiert bewerten zu können. Das geht nur, wenn das Security-Team die Business-Ziele des Unternehmens versteht und darauf aufsetzend gezielt die Werkzeuge, Assets und Daten schützt, auf die die Mitarbeiter im Alltag angewiesen sind. Eine solche bereichsübergreifende Analyse der Cyberrisiken spart Zeit, ermöglicht belastbare Investitionsentscheidungen, verbessert den Versicherungsschutz, stellt die Weichen für kontinuierliche Prozessoptimierungen – und minimiert nachhaltig das Risiko für das Unternehmen.
Zu den konkreten Schritten, die Unternehmen angehen müssen, gehört zum einen die Einführung einer Passwort-Policy für IoT-Geräte, die Mitarbeiter in die Pflicht nimmt, schwache Default-Passwörter sofort durch stärkere Alternativen zu ersetzen und regelmäßig zu aktualisieren. Zum anderen sollten umfassende Vulnerability-Management-Programme angestoßen werden, die auch die IoT-Devices einbeziehen und sicherstellen, dass diese ebenso zuverlässig auf mögliche Schwachstellen hin bewertet werden wie alle anderen gemanagten Assets. Und schließlich gilt es im Rahmen der gängigen Cyberhygiene durchgehend zu validieren, ob das Niveau der Verschlüsselung (und der damit verbundenen gültigen Schlüssel) für die Data-at-Rest und die Data-in-Transit auf den IoT-Geräten auch angemessen hoch ist.
All dies hilft den Unternehmen, präventiv zu verhindern, dass Cyberkriminelle ihre Infrastrukturen infiltrieren können. Dabei gilt: Nur wer das Vorgehen der Angreifer versteht, wird auch in der Lage sein, fundierte Security-Programme zu entwickeln – und seine Maßnahmen so zu priorisieren, dass die gefährlichsten Bedrohungen und Angriffspfade als erstes adressiert werden.
ist Regional Vice President Central Europe beim Exposure-Management-Anbieter Tenable.