Internet der Dinge Sicherheit von IoT-Geräten muss auf Vertrauen basieren

Gregory Rudy * |

Anbieter zum Thema

Der Denial-of-Service-Angriff auf namhafte Internetdienste vom Oktober 2016 wirft Fragen nach der Sicherheit von IoT-Geräten auf. Am effektivsten ist eine mehrschichtige Strategie.

Angriff auf Data-Center: Die Attacke auf große Internetdienste im Oktober 2016 ging von vernetzten Kleingeräten mit zum Teil undokumentierten Sicherheitslücken aus. Hersteller solcher IoT-Geräte müssen ein besseres Sicherheitsbewusstsein entwickeln.
Angriff auf Data-Center: Die Attacke auf große Internetdienste im Oktober 2016 ging von vernetzten Kleingeräten mit zum Teil undokumentierten Sicherheitslücken aus. Hersteller solcher IoT-Geräte müssen ein besseres Sicherheitsbewusstsein entwickeln.
(© sonjanovak - Fotolia)

Am 21. Oktober 2016 hat eine groß angelegte DDoS-Attacke (Distributed Denial of Service) den Internet-Zugriff auf mehrere Webseiten in den USA gestört, darunter Twitter, Netflix, Spotify, Airbnb, Reddit und die New York Times. Die Störung wurde durch eine anhaltende Flut schädlicher Nachrichten verursacht, die von Millionen IP-Adressen gesendet wurden. Der Domain Name Service von DYN, eines Cloud-basierten Internet Performance Management (IPM) Unternehmens, konnte dem nicht standhalten.

Wer verursacht eine so groß angelegte Attacke? Hundertausende von IoT-Einrichtungen, die mit dem Botnet-VirusMirai“ infiziert waren, darunter DVRs, NVRs und IP-Kameras. Dies hat zwar nicht die Dimensionen von Skynets „Rebellion der Maschinen“ (aus den Terminator-Filmen) erreicht, zeigt aber doch, dass Gesetzgeber und Produktentwickler die Sicherheit ihrer IoT-Einrichtungen überdenken müssen.

Nur weil eine Schnittstelle nicht in der Bedienungsanleitung aufgeführt ist, heißt dies noch lange nicht, dass sie nicht existiert. Im Falle dieser DYN-Attacke wurde eine IoT-Management-Plattform an verschiedene Produktentwickler verkauft.

Die in die Plattform integrierte Web-Schnittstelle ermöglicht den Anwendern, ihr Passwort zu ändern – aber die SSH- und Telnet-Schnittstellen akzeptierten weiterhin die Werkseinstellungen – selbst nachdem das Kennwort des Benutzers geändert wurde. Das Botnet durchforstete das Internet nach allen Produkten mit dieser offenen Hintertür und lud das Programm hoch, um den DYN-Server zu attackieren, während weiterhin nach Einrichtungen gesucht wurde, um auch diese zu infizieren.

Verschiedene Entwicklungsfehler führen auf die DYN-Attacke zurück. Die Behebung eines der folgenden Fehler hätte die Attacke verhindert:

  • Debug-Ports abschalten – Die Suche nach offenen Netzwerk-Ports ist die erste Lektion beim Hacking. Ein Port-Scan dauert nur wenige Sekunden und enthüllt alle offenen Verbindungen – auch die nicht dokumentierten wie Telnet und SSH. Debug-Ports sind zwar für die Diagnose hilfreich, sie sind aber auch ein weiterer Zugangspunkt, der geschützt werden muss.
  • Systemweite Passwörter – Das Konzept eines Nutzers sollte das gesamte System mit einbeziehen und nicht jede Schnittstelle. Die Änderung eines Passworts über eine Schnittstelle sollte auf alle anderen übertragen werden.
  • Einzigartige Werkseinstellungen – Systemweite Passwörter sind nur dann wirksam, wenn Nutzer sie von den Werkseinstellungen ändern. In Wirklichkeit kommen die meisten Nutzer aber nicht dazu. Die Gefahr globaler Passwörter und Schlüssel ist, dass alle Einrichtungen bzw. Geräte betroffen sind, sobald nur ein Passwort oder Schlüssel bekannt ist. Das Einrichten eines einzigartigen Passworts pro Gerät während der Fertigung – was zwar komplexer ist als eine softwarebasierte Integration – hätte die DYN-Attacke gänzlich verhindert.

(ID:44395431)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung