Aktuelles, Experten - geschrieben von dp am Mittwoch, Oktober 26, 2016 20:40 - noch keine Kommentare
Cyber-Angriffe durch IoT-Botnetze: BSI nimmt Hersteller in die Pflicht
Bundesamt für Sicherheit in der Informationstechnik fordert, schon bei der Entwicklung neuer Produkte auf Sicherheit zu achten
[datensicherheit.de, 26.10.2016] Vor dem Hintergrund des Cyber-Angriffs auf den Internet-Dienstleister Dyn fordert das BSI Hersteller von online-fähigen Geräten auf, angemessene Sicherheitsanforderungen umzusetzen.
Missbrauch IoT-fähiger Geräte
Für den Cyber-Angriff sei von den Angreifern ein Botnetz genutzt worden, das sich nicht nur aus PCs, Notebooks, Smartphones oder Tablets zusammensetze, sondern zu großen Teilen aus mit dem Internet verbundenen Haushaltsgeräten bestehe, die im Zuge des Internets der Dinge (Internet of Things, IoT) immer größere Verbreitung fänden.
Hierzu gehörten beispielsweise Netzwerkkameras, Drucker oder TV-Empfänger. Die meisten dieser Geräte seien im Auslieferungszustand unzureichend gegen Cyber-Angriffe geschützt und könnten somit von Angreifern leicht übernommen und für Straftaten missbraucht werden.
Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich!
Dieser Fall zeige anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein werde, betont BSI-Präsident Arne Schönbohm. Angreifer durchsuchten das Internet auf der Suche nach verwundbaren Netzwerkgeräten, würden hunderttausendfach fündig und schlössen die Geräte zu einem schlagkräftigen Angriffswerkzeug zusammen.
Die Anwender merkten oft nichts davon, dass ihre Geräte übernommen wurden. „Wir fordern daher die Hersteller von Netzwerkgeräten auf, die Sicherheit ihrer Produkte zu verbessern und schon bei der Entwicklung neuer Produkte das Augenmerk nicht nur auf funktionale und preisliche Aspekte zu richten, sondern auch notwendige Sicherheitsaspekte einzubeziehen“, so Schönbohm. Das BSI werde den Dialog mit den Herstellern und Verbänden verstärken, um gemeinsam Lösungsansätze zu entwickeln.“
BSI empfiehlt Herstellern folgende Sicherheitsanforderungen:
- Voreingestellte Zugangsdaten und Passwörter für alle Zugriffsmöglichkeiten auf die Geräte, zum Beispiel via HTTP, TELNET oder SSH, müssen durch den Nutzer geändert werden können.
- Sind die voreingestellten Passwörter nicht für jedes Gerät individualisiert, so ist bei der Inbetriebnahme ein Passwortwechsel zu erzwingen.
- Nicht zwingend benötigte Dienste müssen durch den Benutzer deaktiviert werden können.
- Die eingehende und ausgehende Kommunikation des IoT-Geräts sollte nur mittels kryptografisch geschützter Protokolle wie TLS erfolgen.
- Ein IoT-Gerät sollte nicht automatisiert über „Universal Plug and Play“ (UpnP) eine unsichere Konfiguration im Router herstellen, etwa Verbindungen zu unsicheren Diensten erlauben.
- Hersteller müssen regelmäßig, schnell und über einen hinreichenden Nutzungszeitraum hinweg Sicherheitsupdates für die Geräte zur Verfügung stellen. Die Übertragung und Installation sollte dabei mittels kryptografischer Verfahren geschützt werden.
- Die Firmware des IoT-Geräts ist hinreichend zu härten, um beispielsweise das unkontrollierte Nachladen von Inhalten aus dem Internet zu verhindern.
Weitere Informationen zum Thema:
BSI FÜR BÜRGER
Service / Der Bot im Babyfon
BSI FÜR BÜRGER
Botnetze
datensicherheit.de, 26.10.2016
„Conficker“ auf Platz 1: Check Point’s Top Malware im September 2016 publiziert
datensicherheit.de, 06.10.2016
SANS Institute: Warnung vor IoT-Botnetzen
Aktuelles, Experten - Mrz 28, 2024 11:04 - noch keine Kommentare
Orientierung für Privatanwender: T-Sicherheitskennzeichen des BSI für Videokonferenz-Dienste
weitere Beiträge in Experten
- 5G-Campusnetze: TeleTrusT veröffentlichte Handreichung zur IT-Sicherheit
- Cyber-Sicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf
- CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU
- eco-Kommentar zum Digitale-Dienste-Gesetz: DDG wichtiger Schritt zur Rechtssicherheit für Unternehmen und Verbraucher
- BKA-Mitteilung zum Nemesis Market: Illegaler Darknet-Marktplatz mit über 150.000 Nutzern aufgeflogen
Aktuelles, Branche - Mrz 27, 2024 17:45 - noch keine Kommentare
Bernard Montel kommentiert World Backup Day 2024:
weitere Beiträge in Branche
- World Backup Day 2024: Backup für Cyber-Sicherheit notwendig, aber noch nicht hinreichend
- Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr
- Hacktivisten: Erfolgreiche DDoS-Attacken stärken Fan-Basis im CyberSpace
- Weinprobe als Köder: Cyber-Spionage nahm EU-Diplomaten ins Visier
- IoT-Sicherheit: Keyfactor betont drei Schlüsselaspekte für den Schutz vernetzter Geräte
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren