Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

Ohne angemessene Sicherheitsmechanismen können IoT-Geräte leicht gehackt werden

Von unserem Gastautor Stu Sjouwerman, CEO bei KnowBe4

[datensicherheit.de, 28.01.2019] IoT-Geräte machen unser alltägliches Leben einfacher und komfortabler, zum Beispiel in der Medizintechnik, aber auch auf der Arbeit und zu Hause. Ohne angemessene Sicherheitsmechanismen kann ein IoT-Gerät jedoch leicht gehackt werden und Hacker erhalten möglicherweise Zugang zu mehr als nur dem Gerät selbst. Um sich das Ausmaß der Schäden bei Sicherheitsvorfällen mit IoT-Geräten vor Augen zu führen, eignet sich ein Blick auf den Fall von Daniel Kaye.

Befehl zum DDoS-Angriff von einem Mobiltelefon

Kaye verdient seinen Lebensunterhalt als Cyberkrimineller und wurde dadurch bekannt, dass er im Oktober 2015 einen massiven und verheerenden Angriff auf den größten Mobilfunk- und Internet-Anbieter in Liberia, Lonestar, durchgeführt hat. Der Angreifer hat von Zypern aus mit Hilfe seines Mobiltelefons den Befehl für einen DDOS-Angriff gegeben, der als Grundlage für den Angriff mehrere IoT-Geräte aus dem Botnetz Mirai nutzte. Mirai bestand aus einer großen Anzahl von Internet-Routern und Webcams, die von Firmen in China hergestellt werden. Diese gehackten Geräte werden typischerweise für Sicherheits- und Internetdienste in Privathaushalten und Unternehmen verwendet, so dass die Fremdnutzung der CPU-Leistung zumeist nicht weiter auffällt. Das Botnetz konnte das Netzwerk des liberianischen Telekommunikationsanbieters sofort lahmlegen, in der Folge konnten die Nutzer keine Mobilfunk-Services mehr nutzen. Zeitweise gab es sogar in ganz Liberia kein stabiles Mobilfunknetz.

Bild: KnowBe4

Stu Sjouweman, CEO von KnowBe4

Angriff auf die Deutsche Telekom

Im November 2016 führte Kaye dann einen ähnlichen Angriff auf die Deutsche Telekom durch. Obwohl der Angriff nicht ganz so erfolgreich war, waren bundesweit fast eine Million Telekom-Nutzer zeitweise ohne Internet. Nachdem er verhaftet worden war, sagte Kaye, dass er die Sicherheitslücke an den billigen Kameras und Routern ausgenutzt hatte, um seinen Angriff auf die Router ohne das Wissen der Eigentümer und der betroffenen Dienstleister durchzuführen.

In einem anderen Fall wurde die Überwachungskamera einer Familie, die zur Überwachung ihres Babys verwendet wurde, gehackt. Der Hacker erschreckte die Familie, indem er Ihnen sagte, dass er bereits im Kinderzimmer gewesen wäre und ihr Baby entführen wollte. In einem anderen Fall kompromittierte ein White Hat Hacker eine Überwachungskamera und sprach dabei mit dem Besitzer der Kamera. Natürlich warnte er ihn davor, wie unsicher das Gerät war.

In den Nachrichten wurde im letzten Jahr ein Sicherheitsvorfall publik, bei dem Casino-Daten durch ein smartes Gerät zur Regelung der Temperatur in einem Aquarium über eine Schwachstelle angriffen und kompromittiert wurde. Da viele kleinere IT-Abteilungen auf einfach zu implementierende und zu verwaltende Sicherheitskameras angewiesen sind, sind diese internetfähigen Geräte der perfekte Einstiegspunkt für externe Angreifer.

Verbraucher und Unternehmen sollten deshalb beim Anschluss dieser Geräte – sowohl zu Hause als auch im Büro – die folgenden Hinweise sorgfältig lesen und beachten:

• Einschränkung des externen Zugangs – In allen oben genannten Fällen waren die smarten Geräte frei über das Internet angreifbar, denn sie waren nicht abgesichert. Die intelligenten Geräte sollten mit dem Netzwerk verbunden werden und der Zugriff auf das Netzwerk über eine VPN-Verbindung abgesichert werden.
• Zwei-Faktor-Authentifizierung verwenden – Viele IoT-Geräte unterstützen eine Zwei-Faktor-Authentifizierung. Durch die Verwendung einer Mehrfaktor-Authentifizierung wird die Möglichkeit für erfolgreiche Hackerangriffe auf die Geräte limitiert. In allen beschriebenen Fällen hätte eine aktivierte Mehrfaktor-Authentifizierung die Angreifer daran gehindert, die Kontrolle über die Geräte zu erlangen.
• Unterschiedliche Passwörter verwenden – In einem der oben genannten Szenarien wurden die Informationen des Benutzers im Web kompromittiert, einschließlich des Passworts, das er auf mehreren Websites und seiner Kamera verwendet hat. Verbraucher sollten für jeden Standort, jedes Gerät, jede Anwendung usw. unterschiedliche Passwörter verwenden. Es gibt eine Vielzahl von webbasierten oder hardware-basierten Passwort-Speichern, die beim Schutz der Passwörter helfen.
• Die Wiederverwendung von Passwörtern ist keine Seltenheit – nach den Angaben des Herstellers Last Pass in der Studie „State of the Password 2018“ verwendet die Hälfte aller befragten Mitarbeiter Passwörter sowohl für Privat- als auch für Geschäftskonten. Diese Doppelverwendung stellt eine Gefahr für die Unternehmen dar. Benutzer müssen durch ein Security Awareness-Training auf folgende Maßnahmen geschult werden: die richtige Passwort-Etikette, die einfache Verwendung von Passwörtern, die Erstellung sicherer Passwörter und anderer damit zusammenhängender Maßnahmen.

Fazit

In der nahen Zukunft werden wir alle noch weitaus mehr IoT-Geräte am Arbeitsplatz und zu Hause nutzen und viele dieser Geräte werden Daten über uns erheben, von denen wir nicht einmal wussten, dass wir diese erzeugen. Deshalb ist bereits heute ein guter Zeitpunkt, um über die richtige Absicherung dieser Geräte nachzudenken, unabhängig davon, wo und wofür sie verwendet werden. Darüber hinaus sollten die Mitarbeiter ein Security Awareness-Training absolvieren, um über die Risiken von Phishing-E-Mails und schwachen Passwörtern aufgeklärt zu werden. Nur dann können in Zukunft Vorfälle ähnlich denen bei der Telekom oder Lonestar gänzlich verhindert werden. Oder zumindest abgemildert und den Hackern das Leben schwerer gemacht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten