IoT-Sicherheit: Botnetze und DDoS-Angriffe im Visier

Veröffentlicht am: 2. April 2019 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik, Technologie Keine Kommentare

Was haben der Journalist und Security-Experte Brian Krebs, die Deutsche Telekom und der Web-Dienstleister Dyn gemeinsam? Sie alle wurden in der Vergangenheit Opfer von großangelegten DDoS-Angriffen (Distributed Denial-of-Service Attacken). Sie stehen damit stellvertretend für eine Bedrohung, die sich immer weiter verschärft. Der Schaden, der bei solchen Attacken entsteht, ist immens. Die Angriffe setzen vor allem auf einen „Verbündeten“: leicht zu korrumpierende IoT-Devices. Nicht ohne Grund warnen Experten deshalb schon seit geraumer Zeit davor, dass durch die weiter stark wachsende Verbreitung von IoT-Devices auch die Intensität von DDoS-Angriffen weiter zunehmen könnte. Ein schnelles und präzises Handeln von Politik und Wirtschaft ist deshalb gefragt.

DDoS-Angriffe: Gefahr für Wirtschaft und Gesellschaft

Experten bemühen gerne das Bild eines Verkehrsstaus, um die Wirkung einer DDoS-Attacke zu beschreiben. Nimmt der Verkehr immer mehr zu, kommt dieser irgendwann vollständig zum Erliegen. Dann geht nichts mehr. Für Unternehmen bedeutet das: Webseiten stellen den Dienst ein, Cloud-Applikationen sind nicht mehr verfügbar, ganze Unternehmensnetze brechen zusammen. Der wirtschaftliche und der Image-Schaden sind riesig. Aber auch für unser Grundrecht auf freie Meinungsäußerung können solche Angriffe schnell zur Gefahr werden, wenn – wie in den USA während der Präsidentschaftswahlen 2016 geschehen – Kriminelle versuchen, mittels DDoS-Attacken Soziale Netzwerke lahmzulegen.

Essenzieller Teil einer jeden DDoS-Attacke ist ein Botnetz, ein Zusammenschluss aus vernetzten Geräten, die gemeinsam einen koordinierten Angriff zum Beispiel auf den Webserver eines Online-Shops durchführen. Der wohl prominenteste Vertreter dieser „Spezies“ ist das Mirai-Botnetz, das 2016 rund 500.000 vernetzte Geräte – die meisten davon IoT-Devices – umfasste.

IoT-Geräte bei Kriminellen hoch im Kurs

Warum aber sind gerade IoT-Geräte bei Cyberkriminellen so beliebt? Zwei Dinge sprechen für den vernetzten Kühlschrank, die IP-Kamera & Co.: Erstens sind sie – anders als zum Beispiel Laptops, PCs oder Smartphones – fast permanent mit dem Internet verbunden und somit für Angriffe stets verfügbar. Zudem wird Sicherheit bei solchen Geräten bedauerlicherweise oft nicht sonderlich großgeschrieben. Und genau hier liegt die große Herausforderung für Politik und Wirtschaft. Denn die freie Marktwirtschaft hat hier leider völlig versagt. Hersteller unsicherer IoT-Produkte haben keinerlei Motivation, sich stärker um einen besseren Schutz ihrer Geräte zu bemühen. Das hat vielerlei Gründe: die Berücksichtigung von IT-Sicherheit im Design- und Entwicklungsprozess ist zeitaufwendig und kostenintensiv und in letzter Instanz tragen die Hersteller keine Konsequenzen, wenn ihre Produkte selbst gröbste Sicherheitslücken aufweisen und als Folge dessen leicht zur scharfen Waffe von Cyberkriminellen werden. Und nicht zuletzt fehlt es an der einen oder anderen Stelle vermutlich schlichtweg an der nötigen Security-Expertise.

Um das zu ändern, bleibt nur eines: Der Gesetzgeber muss als Regulator „einspringen“ und die Hersteller zu mehr Sicherheit zwingen.

USA will Richtlinien für IoT-Einsatz in US-Behörden

Dass das durchaus geht, zeigen die USA. Die dortige Regierung forciert nun ein wichtiges Vorhaben, um die Cybersicherheit zu erhöhen und die Bedrohung durch unsichere IoT-Devices zu senken. Der im Februar vorgestellte „IoT Cybersecurity Improvement Act of 2019“ – der gleichzeitig eine Wiederauflage des bereits im August 2017 vorgestellten Gesetzesentwurfs ist – soll geeignete Richtlinien für die Verwendung und Verwaltung von IoT-Geräten in Bundesbehörden beinhalten. Auf diese Weise sollen zum Beispiel Hersteller, deren Produkte als unsicher gelten, bereits im Auswahlprozess aussortiert werden.

Das ist ein guter und richtiger Weg, den die US-Regierung hier geht. Solche Rahmenwerke haben ein enormes Potential und können tatsächlich sehr wirkungsvoll sein. Allerdings sind sie nur ein Puzzlestück im großen Ganzen.

Wichtiger Baustein: IT-Sicherheits-Mindeststandards

Die EU arbeitet ebenfalls unter Hochdruck an der Erhöhung des Cybersicherheitsniveaus. Die größte Herausforderung lautet auch hier, die Sicherheit von IoT-Produkten signifikant zu steigern. Ideen sind zahlreich vorhanden: die Einführung von Verbrauchersiegeln und markttauglichen Zertifikaten, die gesetzliche Festlegung verbindlicher Sicherheits-Mindeststandards oder die Update-Pflicht für Hersteller – um nur eine Handvoll zu nennen.

Insbesondere Sicherheits-Mindeststandards spielen eine ganz wichtige Rolle. Hier werden zwei unterschiedliche Szenarien diskutiert. So könnte man für alle internetfähigen Produkte ein und dieselben einheitlichen Sicherheits-Mindeststandards festlegen. Der Charme dieses Ansatzes ist, dass transparente Regeln für alles, was über das Internet kommuniziert, gelten würden. Keine Ausnahmen, keine Abweichungen. Der Nachteil liegt allerdings auf der Hand: Spezifische Produkteigenschaften können bei einem solch horizontalen Ansatz nicht berücksichtigt werden, die Mindeststandards müssten daher auf sehr niedrigem Niveau gesetzt werden.

Deshalb verfolgt das zweite Szenario auch einen individuelleren, vertikalen Ansatz: Hier soll es für die unterschiedlichen Geräteklassen und Anwendungsfelder angepasste Sicherheits-Mindeststandards geben. Der vernetzte Kühlschrank bei mir zu Hause muss somit anderen Sicherheitsanforderungen gerecht werden als beispielsweise Geräte aus dem Bereich IIoT (Industrial Internet of Things) oder ein WLAN Access Point. Eine solche Regulierung käme den realen Marktbedingungen und den Ansprüchen der Anwender deutlich näher und würde Mindeststandards auf einem viel höheren Niveau gewährleisten. Andererseits wäre sie auch deutlich komplexer und langwieriger in der Umsetzung.

5G wirkt als Brandbeschleuniger

Trotz aller Warnschüsse sucht man vergleichbare Sicherheitsansätze in vielen IoT-Anwendungen nach wie vor vergeblich. Doch das ist fatal!

Denn mit 5G steht der neue, ultraschnelle Mobilfunkstandard in den Startlöchern, der dazu führen wird, dass noch mehr vernetzte Geräte in den Markt gebracht werden. Gleichzeitig werden IoT-Anwendungen durch 5G zunehmend unternehmenskritisch. Dann geht es nicht mehr nur um das Thema DDoS-Attacken, sondern auch um den Schutz der eigenen Infrastruktur vor Sabotage.

Auch der Trend zur Künstlichen Intelligenz befeuert diese Gefahr. Denn durch KI entstehen gänzlich neue Einsatzszenarien für internetfähige Produkte – und mit ihnen innovative, lukrative Geschäftsfelder, die sich kein Unternehmen entgehen lassen möchte.

IoT und IT-Sicherheit müssen unzertrennlich zusammenwachsen, zur Not mit „gesetzgeberischer Unterstützung“. Und dies bitte schnell: sonst laufen wir den Cyberkriminellen bald noch weiter hinterher, als wir dies heute vielfach bereits tun.

PS: Wer sich gerne persönlich über IoT und Industrial IoT „made by LANCOM“ sowie unsere hochautomatisierten Netzwerk-Lösungen informieren möchte, den lade ich herzlich dazu ein, in dieser Woche unseren Stand auf der Hannover Messe Industrie zu besuchen. Sie finden uns in Halle 5, Stand D18.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.