Security by Design: Sicherheit von Anfang an

Heizungen, Türschlösser, Alarmanlagen, Fernseher, Rasenmäher oder Autos: Immer mehr Geräte und Anlagen sind mit dem Internet verbunden. Die universelle Vernetzung im „Internet der Dinge“ (IoT) eröffnet riesiges Potenzial. Gleichzeitig wächst die Angst vor Missbrauch, denn immer wieder werden bei IoT-Geräten zum Teil gravierende Sicherheitslücken gefunden. Allein im Juli und August machten unter anderem neue Meldungen über unsichere Waschstraßen, Aquarien, NAS-Geräte, Computertomographen oder Netzwerkkameras Schlagzeilen.

Daraus ergeben sich Bedrohungen auf mehreren Ebenen. Hacker könnten diese Geräte übernehmen und über das Netz steuern. Bei einem Kühlschrank ist das vielleicht eher lästig als gefährlich – aber bei einem Bremssystem im Auto oder einer implantierten Insulinpumpe hängen Gesundheit und Leben der Anwender von der Sicherheit des Gerätes ab.
Zudem können Lücken in IoT-Geräten Hackern auch Zugang zu gesicherten Netzwerken verschaffen. So konnten im Juli 2017 Hacker über ein vernetztes Aquarium in das IT-System eines nordamerikanischen Casinos eindringen und Daten abschöpfen.

Vor allem aber dienen solche Lücken auch häufig bereits dazu, die Geräte zum Bestandteil bösartiger Botnetze zu machen, mit denen Cyberkriminelle immer mächtigere DDoS-Attacken (Distributed Denial of Service). Nach Angaben des Security-Herstellers A10 Networks ereignen sich täglich schon zu bis zu 3.700 DDoS-Attacken; der Schaden für die betroffenen Unternehmen reichen von einigen Tausend bis hin zu über zwei Millionen US-$.

Und diese Attacken werden immer heftiger: Das Wirtschaftsprüfungs- und Beratungsnetzwerk Deloitte Global prognostiziert, dass es wegen der wachsenden Basis unsicherer IoT-Geräte und steigender Uplink-Geschwindigkeiten in diesem Jahr weltweit zu über 10 Millionen DDoS-Attacken kommen wird, von denen mindestens eine monatlich eine Schlagkraft von 1 Tbit/s oder mehr hat. Das heißt: Attacken wie die des Botnetzes Mirai (japanisch für Zukunft), das im September und Oktober 2016 zahlreiche Webdienste, u. a. Twitter, Reddit, Amazon, Netflix oder Spotify, lahmgelegt und auch den Ausfall von rund einer Million DSL-Routern (v.a. der Deutschen Telekom) verursacht hatte, sind schon bald Normalität.

Viele IoT-Geräte sind leichte Ziele: Offene Telnet-Ports ohne Authentifizierung, voreingestellte Standard-Login-Daten oder fehlende Security-Updates sind nur einige Fehler, die Hersteller hier begehen. Mirai arbeitet lediglich eine Liste von ca. 60 häufig voreingestellten Login-Kombinationen ab und konnte so ganz einfach bis zu drei Millionen Geräte seinem Botnetz einverleiben.

Die meisten Hersteller, die ihre Produkte internetfähig machen wollen, haben noch keine Erfahrung mit sicherer Softwareentwicklung. Sie stehen unter Zeitdruck, wollen keine Verzögerungen bei der Markteinführung akzeptieren und scheuen zusätzliche Kosten, um das nötige Know-how aufzubauen oder einzukaufen. Zudem gibt es noch keine gesetzlichen Vorgaben für Mindestsicherheitsstandards vernetzter Geräte. Dieser Umstand sorgt für zunehmendes Unbehagen bei Politikern und Experten und hat auch bereits zu unkonventionellen Selbsthilfemaßnahmen von Sicherheitsaktivisten geführt: So bringt man etwa mutmaßlich „gutartige“ IoT-Malware in Umlauf, um anfällige Geräte aufzuspüren oder sogar, wie die Software „BrickerBot“, unbrauchbar zu machen.

 

 
DEUTSCHENGLISH中国