Aktuelles, Branche - geschrieben von dp am Freitag, Oktober 28, 2016 17:31 - noch keine Kommentare
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge
Noch mehr IoT-Attacken dieses und noch größeren Ausmaßes befürchtet
[datensicherheit.de, 28.10.2016] In einer aktuellen Stellungnahme kommentiert Günter Untucht, Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa, den vor einer Woche erfolgten massiven Distributed-Denial-of-Service-Angriff (DDoS-Attacke) auf den DNS-Service „DynDNS“, der aus dem Internet der Dinge (engl. „Internet of Things“, IoT) geführt wurde. Es seien insbesondere vier Lektionen, die man aus dem jüngsten und beileibe nicht dem ersten Angriff dieser Art lernen könne:
- Zeit und Geld zur Abwehr erforderlich!
Attacken dieser Art werden weitergehen, ist Untucht überzeugt.
Da bislang im IoT das Thema Sicherheit eher an letzter Stelle gekommen sei, hätten die Cyber-Kriminellen sich einen Vorsprung sichern können, der noch einige Zeit Bestand haben dürfte. Denn viele dieser Geräte würden sich auch nachträglich nicht absichern lassen, müssten also ausgetauscht werden. Das werde aber Zeit und Geld kosten.
Gleichzeitig habe der jüngste Angriff gezeigt, wie massiv die realen Konsequenzen sein könnten. „Eine Website, die nicht erreichbar ist, ist eine Sache, ein Produktionsausfall, weil die in der Cloud angesiedelten IT-Systeme blockiert sind, eine andere. Solange also das Sicherheitsniveau im Internet der Dinge nicht deutlich steigt, müssen wir mit weiteren Attacken rechnen, die zudem beträchtliche Schäden anrichten können“, betont Untucht. - IoT-Anbieter: Wissen für „Security by Design“ fehlt!
Das „Ökosystem“ funktioniere nicht. Das IoT werde von Anbietern beherrscht, deren Kerngeschäft nicht IT und schon gar nicht IT-Sicherheit heiße.
Es fehle also in vielen Fällen und wohl bis auf Weiteres das notwendige Wissen, um die intelligenten Geräte sicher zu designen.
Gleichzeitig führe der Wettbewerbsdruck dazu, dass auch Partner der Hersteller wenig Anreize hätten, in der Support-Phase für die notwendige Sicherheit zu sorgen. Denn im Augenblick stünden noch möglichst kurze Markteinführungszeiten und das Interesse, die Geräte erst einmal zum Laufen zu bringen, im Vordergrund. Das werde sich vielleicht erst dann ändern, wenn ein Anbieter von IoT-Geräten wegen mangelnder Sicherheit Konkurs anmelden muss. - Ohne Regulierungsdruck kein Mehr an IoT-Sicherheit!
Regulierer müssten eingreifen.
Niemand in der IT-Industrie höre das gern, aber es werde unvermeidbar sein: „Ohne Regulierungsdruck wird sich wohl in absehbarer Zeit nur wenig an der mangelnden Sicherheit der IoT-Geräte ändern.“
Was bei elektrischen und elektronischen Geräten gang und gäbe sei, müsse auch in der IoT-Welt Standard werden, fordert Untucht: Vorschriften zur Erhöhung der Sicherheit, um zum Beispiel das Schließen offener Ports oder das verschlüsselte Versenden von Daten verpflichtend zu machen. - Anbieter, Verbände und Regulierungsbehörden: An einem Strang ziehen!
Die IoT-Sicherheit werde nur allmählich zunehmen.
Es werde irgendwann dazu kommen, dass die Hersteller von IoT-Geräten wirtschaftliche Einbußen wegen mangelnder Sicherheit verzeichnen werden. Untucht: „Und irgendwann werden sicherlich einige Geräte von den Aufsichtsbehörden aus dem Verkehr gezogen werden.“
Doch nur wenn Anbieter, Verbände und Regulierungsbehörden an einem Strang zögen, werde dieses „irgendwann“ früher als am „Sankt-Nimmerleins-Tag“ eintreten.
Leidensdruck u.U. noch nicht groß genug!
„Reicht der Warnschuss von vergangener Woche aus, um ein Umdenken zu bewirken, damit die IoT-Sicherheit schneller als bisher erhöht wird?“
Untucht lässt sich nach eigenen Angaben „gerne umstimmen“, aber seine persönliche Prognose lautet, „dass wir erst noch mehr IoT-Attacken dieses und noch größeren Ausmaßes werden erleben müssen“. Er leitet seit 2006 die „EMEA“-weite Rechtsabteilung beim japanischen IT-Sicherheits-anbieter Trend Micro. Bevor Untucht im Jahr 1990 seine beruflichen Interessen auf die IT-Industrie verlagerte, hatte er als leitender Justiziar in einem US-amerikanischen Pharmakonzern gearbeitet und war Vorstandsmitglied eines Industrieverbandes. Anschließend war er unter anderem bei Compaq Computer sowie bei BearingPoint (früher: KPMG Consulting) tätig.
Günter Untucht: Zweifel, dass der jüngste „Warnschuss“ zum Umdenken führt
Weitere Informationen zum Thema:
datensicherheit.de, 11.10.2016
TREND MICRO will auch Privatanwendern Schutz gegen Erpressersoftware bieten
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren