DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Deine Kamera greift mich an”

Internet of things (IoT)

Wer in der IT arbeitet hat in den letzten Jahren sicher etwas vom “Internet of Things” (kurz: IoT) gehört. Wo einst Men­schen mit­ein­ander kom­mu­ni­ziert haben, hängen jetzt Geräte im Netz und sind jederzeit bereit, auf Signal Befehle aus­zu­führen.

Das Internet of Things hat schon einige inter­es­sante Dinge geschafft. Bei einer Ver­an­staltung von Cisco wurde vor Jahren schon gepredigt, dass inzwi­schen mehr Dinge, also Things, im Internet unterwegs sind als Men­schen. Streng genommen sind da eh nie Men­schen unterwegs gewesen, zumindest kenne ich niemand, der einen direkten Anschluss ans Netz implan­tiert hat (übrigens eine Vor­stellung, die schon vor Jahr­zehnten vom Erfinder des Cyberpunk, William Gibson, in seinen Stories beschrieben wird). Aber ich schweife ab.

Fast alle Geräte, die gemeinhin zum IoT gezählt werden, haben eines gemeinsam: Beim Design geht es nur neben­sächlich um Sicherheit. Funk­tio­na­lität und Kon­nek­ti­vität haben höchste Prio­rität; eine sichere Kamera, die leider keine Bilder machen kann, ver­kauft sich schlechter als eine gute Kamera, deren Sicherheit mehr als frag­würdig ist.

Mitte Sep­tember wurde das beliebte Secu­ri­tyblog “Krebs On Security” von Brian Krebs mit einem bisher noch nie gese­henen Volumen von 620 Gbps ange­griffen. Das Blog wird von Akamai gehostet, das ist die Firma, die sich auf die Ver­teilung rie­siger Daten­mengen spe­zia­li­siert hat und auch jemand, der mit DDoS nor­ma­ler­weise gut umgehen kann. In diesem Fall hat aber auch Akamai die Segel gestrichen und das Blog irgendwann vom Netz genommen; aber das war eher eine Frage der durch den Angriff ver­ur­sachten Kosten.

Angriffe im 100 Gbps-Bereich sind nicht unge­wöhnlich. Fast immer nutzen die Angreifer hier Dienste von Dritten, welche das Daten­vo­lumen ver­viel­fachen und dann an das Ziel schicken; aber der Angriff auf Brian Krebs hat auf solche Mecha­nismen kom­plett ver­zichtet und war dennoch mit großem Abstand der Angriff mit dem höchsten bis dato gese­henen Volumen.

Um das zu ver­an­schau­lichen: wir reden hier von knapp 18 prall gefüllten DVDs, deren kom­pletter Daten­inhalt pro Sekunde auf das Ziel ein­prasseln. Man kann solchen Traffic miti­gieren (d.h. berei­nigen), wie das Bei­spiel zeigt, aber es ist teuer und man muss schon in der Ban­d­breiten-Oberliga mit­spielen.

Wie konnte der Angreifer das bewerk­stel­ligen?

Die Formel für das ver­nich­tende Potential ist: Ver­netzte Geräte plus Stan­dard­pass­wörter. Der Pro­gram­mierer des “Mirai” getauften Botnets hat ihren oder seinen Sourcecode ins Netz gestellt. 68 User/Passwort-Kom­­bi­­na­­tionen waren aus­rei­chend, um eine hohe Anzahl an Geräten zu über­nehmen (der Autor/die Autorin von Mirai spricht von 300.000 bis 380.000 Geräten im Schnitt) und als Angriffs­plattform auf Brian Krebs zu nutzen.

Was ist im Nachgang geschehen? Haben die vielen Besitzer der Bots nach dem Angriff betroffen und ver­ant­wor­tungs­be­wusst ihr Passwort geändert, damit das nicht wieder auf­tritt? Natürlich nicht.

Zum einen dürfte es sehr vielen Betrof­fenen gar nicht klar sein, dass ihre Geräte quasi hinter ihrem Rücken Angriffe aus­führen. Zum anderen machen es einem Her­steller solcher Dinge auch nicht immer einfach, Pass­wörter zu ändern; und was für einen IT-ler meistens ein kleiner Ein­griff ist, kann für andere Men­schen eine undurch­führbare Aufgabe sein.

Mirai wurde letzte Woche dafür benutzt, einen groß­flä­chigen Angriff auf Dyn zu starten. Dyn betreibt Infra­struktur für Firmen wie Twitter, Amazon, Tumblr, Reddit, Spotify und Netflix. Der Angriff auf Dyn war so erfolg­reich, dass viele große Web­seiten zeit­weise nicht mehr über reguläre Wege erreichbar waren. Die Ver­füg­barkeit des Source­codes von Mirai und die schlechte Absi­cherung von den vielen Dingen im IoT lässt erwarten, dass weitere Angriffe bevor­stehen. Inzwi­schen geht man übrigens davon aus, dass dieser zweite Angriff von unge­übten Angreifern — auch Script Kiddies genannt — durch­ge­führt wurde.

Falls Sie also IoT-Geräte im Einsatz haben, ändern Sie doch bitte mal das Passwort — wenn Sie es können.

Zum Schluss möchte ich aber noch einen posi­tiven Aspekt der ganzen Geschichte beleuchten. Wer auch immer für Mirai ver­ant­wortlich ist, hat etwas geschafft, an dem so mancher IoT-Her­steller nach wie vor knabbert: die rei­bungs­freie und über­grei­fende Ver­netzung ver­schie­denster IoT-Geräte unter­ein­ander und anschlie­ßende Koope­ration zum Erreichen eines gemein­samen Ziels.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.