Herkömmliche Ansätze sind aufgrund ihrer zentralisierten Struktur anfällig

Von unserem Gastautor Dirk Schuma, Sales Manager Europe bei Opengear

[datensicherheit.de, 14.12.2020] Das Internet of Things (IoT) setzt niedrige Latenzzeiten und eine sichere Datenübertragung voraus. Herkömmliches Cloud-Computing ist aufgrund seiner zentralisierten Struktur allerdings anfällig. Opengear, Anbieter von Out-of-Band-Managementlösungen zum Schutz kritischer Infrastrukturen, erklärt welche Gefahren hier lauern können.

• Medizinische Geräte, Industrierobotik oder autonome Fahrzeuge: Die Zahl der mit dem Internet verbundenen Geräte wächst täglich und ein Ende ist nicht in Sicht. Neben den vielen Vorteilen, die diese zunehmende Vernetzung mit sich bringt, stellt IoT Unternehmen aber auch vor einige Herausforderungen. Gerade wenn sie wegen der Einfachheit und schnellen Skalierbarkeit einen Teil ihrer Daten in die Cloud verlagern. Denn bei herkömmlichen Cloud-Architekturen wird die Datenverarbeitung in riesigen Rechenzentren zentralisiert. Dadurch kommt es in drei Punkten zu erheblichen Nachteilen:
• Probleme mit der Geschwindigkeit: Je länger es dauert, bis Daten verarbeitet werden, desto weniger relevant sind sie. Autonome Fahrzeuge beispielsweise müssen Entscheidungen im Millisekunden- oder Hundertstelbereich treffen und benötigen die notwendigen Daten deshalb in Echtzeit. Wenn Daten allerdings erst sehr weite Strecken zu zentralen Cloud-Rechenzentren zurücklegen, von denen dann eine Antwort zurückkommt, vergeht unnötig viel Zeit. Vor allem dann, wenn es Verzögerungen in der Leitung gibt. Ein entscheidender Faktor für kurze Latenz und schnelle Reaktionen ist räumliche Nähe.
  Bedrohungen für die Datensicherheit. Durch die ständige Übertragung von Daten zwischen der Cloud und den IoT-Geräten und damit stärkere Belastung des Netzwerks steigt einerseits das Risiko von Cyber-Angriffen, andererseits erhöht sich die Wahrscheinlichkeit eines Ausfalls. Cloud-Computing ist aufgrund der zentralisierten Struktur zudem anfälliger für DDoS-Attacken.
• Hoher Bedarf an Bandbreite: Werden Daten nicht direkt am Ort ihres Entstehens gefiltert und verarbeitet, sondern in die zentrale Cloud-Architektur geschickt, treibt das den Bedarf an kostspieliger Bandbreite und damit die Betriebskosten nach oben. Jedes neu hinzugefügte IoT-Gerät verschlechtert die Bilanz.

Dirk Schuma, Sales Manager Europe bei Opengear, Bild: Opengear

„Bei Edge-Computing werden im Gegensatz zum Cloud-Computing die Daten dezentral am Rand des Netzwerks verarbeitet. Latenzzeiten werden damit minimiert, die Echtzeitverarbeitung riesiger Datenmengen ermöglicht und die Bandbreitennutzung reduziert. Wenn die Rechenlast aber von großen Rechenzentren an Edge-Standorte verlagert wird, müssen Unternehmen ihre Netzwerkstrategie an die neue Situation anpassen, um so eine ständige Verfügbarkeit und höchste Sicherheit zu gewährleisten“, erklärt Dirk Schuma, Sales Manager Europe bei Opengear. „Gerade Micro-Datenzentren in entlegenen Gegenden müssen zuverlässig arbeiten, sicher und robust sein. Dazu kommt, dass meist kein oder nur ungenügend ausgebildetes Personal vor Ort ist, das bei Pannen und Ausfällen eingreifen kann.“ 

Ein smartes Out-of-Band-Management (OOB) stellt sicher, dass die für Edge-Computing erforderliche Netzwerkstabilität und Ausfallsicherheit gewährleistet wird. OOB erlaubt Administratoren, kritische IT-Komponenten wie Switches und Router sowie Sicherheits-Appliances wie Firewalls und Encryption-Tools remote und unterbrechungsfrei zu verwalten. Fällt das primäre Netzwerk aus, bietet OOB über Mobilfunk (4G, LTE) oder andere Optionen eine Failover-Lösung, um die Business Continuity zu gewährleisten. Der sichere Zugriff auf die Protokolldateien der betroffenen Geräte hilft zudem, die Hauptursachen eines Ausfalls zu identifizieren und Recovery-Maßnahmen zeitnah einzuleiten. In den allermeisten Fällen erübrigt sich dadurch der Vor-Ort-Besuch eines Service-Technikers. Sollte er doch notwendig sein, weiß der Techniker im Voraus, welche Ersatzteile notwendig sind, um das Problem zu beheben.

Weitere Informationen zum Thema

datensicherheit.de, 20.05.2020
Umfrage: Netzwerkausfälle gefährden Geschäftsprozesse

Opengear
Secure Remote Access and IT Infrastructure Management

Neuer TÜV SÜD-Podcast „Safety First“ mit Mirko Ross

[datensicherheit.de, 01.07.2020] In der aktuellen – englischsprachigen – Podcast-Episode von „Safety First“ erläutert der Cybersecurity-Experte Mirko Ross, woran es dem sogenannten Internet of Things, dem IoT, beim Thema Sicherheit fehlt und wie dies verbessert werden könnte. Denn die Gefahren für die immer zahlreicher werdenden IoT-Geräte seien zwar unsichtbar aber trotzdem sehr real, so der TÜV SÜD. Der Podcast „Safety First“ von TÜV SÜD widmet sich der „Cybersecurity“, dem Datenschutz und „mehr“ – zweimal im Monat. Egal, ob als Privatperson, im Beruf bzw. als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können“, betont TÜV SÜD.

Abbildung: TÜV SÜD AG

Mirko Ross: Daran krankt das Internet of Things…

IoT: Mit der Verbreitung wächst auch die Gefährdung

Das IoT wächst weiter – für das Jahr 2020 werden laut Statista weltweit bereits rund 20,4 Milliarden vernetzte Geräte prognostiziert. Indes laufen Cyber-Angriffe auf IoT-Geräte „längst im großen Stil und automatisiert ab“.
Sogenannte Botnets greifen Millionen von IoT-Geräten an – viele Angriffe auf IoT-Geräte blieben zudem unentdeckt, die Gefahr sei zwar unsichtbar aber trotzdem real, so Ross, Geschäftsführer des IoT-Sicherheitsunternehmens Asvin und Mitglied der IoT-Expertengruppe der ENISA (European Union Agency for Cybersecurity).

Folgen unterschiedlicher Lebenszyklen der Soft- und Hardware für die Sicherheit im IoT

In dem aktuelle Podacast geht Mirko Ross auch auf die Frage ein, was ein Sicherheitslabel auf IoT-Geräten leisten kann. Zudem erörtert er die Möglichkeiten, wie sich seitens der Hersteller die Sicherheitsstandards von IoT-Geräten erhöhen lassen, und ob mehr Regulierung der einzige Weg sei oder auch Anreize für Hersteller helfen könnten.
Ferner widmet er sich u.a. folgenden Fragen: „Was können aufgeklärte Endverbraucher mit ihrer Kaufentscheidung bewirken? Welche Folgen haben unterschiedliche Lebenszyklen von Software und Hardware für die Sicherheit im IoT?“

Weitere Informationen zum Thema:

TÜV SÜD Podcast, 01.07.2020
Episode #18: The IoT is broken

datensicherheit.de, 15.06.2020
TÜV SÜD: Podcast zu Safety und Security für die Industrie 4.0

datensicherheit.de, 06.03.2020
Schatten-IoT: Wie man Licht ins Dunkel bringt / Bedrohungslandschaft im ständigen Wandel

datensicherheit.de, 04.10.2019
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand / Vorstellung auf der „it-sa 2019“ in Nürnberg

datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke / Einfallstore für Hacker und Vergrößerung der Cyber-Angriffsfläche von Unternehmen

Forschungsbericht skizziert fortgeschrittene Angriffsszenarien und gibt Empfehlungen für OT-Betreiber  

[datensicherheit.de, 12.05.2020] Das Sicherheitsunternehmen Trend Micro veröffentlicht heute neue Forschungsergebnisse, die aufzeigen, wie fortschrittliche Hacker unkonventionelle, neue Angriffsvektoren nutzen könnten, um intelligente Produktionsumgebungen zu sabotieren.

Der neue Forschungsbericht Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis entstand in Zusammenarbeit von Trend Micro Research mit dem Politecnico di Milano (Polytechnische Universität Mailand). Das dortige Industrie-4.0-Labor, ist mit echten Fertigungsanlagen von verschiedenen branchenführenden Herstellern ausgestattet, die den Forschern als Versuchsobjekte dienten. Im Rahmen der Forschung konnten sie zeigen, wie böswillige Akteure vorhandene Funktionen und Sicherheitsmängel in IIoT-Umgebungen (Industrial Internet of Things, Industrielles Internet der Dinge) ausnutzen können, um daraus finanziellen Gewinn zu schlagen.

Industrie-4.0-Labor des Politecnico di Milano, © Trend Micro

„In der Vergangenheit wurde bei Cyberangriffen auf Produktionsanlagen vor allem herkömmliche Malware verwendet, die durch übliche Netzwerk- und Endpunktschutz-Lösungen gestoppt werden kann. Es ist jedoch wahrscheinlich, dass fortgeschrittene Angreifer zukünftig Operational Technology (OT)-spezifische Angriffe entwickeln, die dann unter dem Radar fliegen“, so Udo Schneider, IoT Security Evangelist Europe bei Trend Micro. „Wie unsere Untersuchungen zeigen, gibt es mehrere Vektoren, die für solche Bedrohungen offen sind. Erfolgreiche Angriffe darauf könnten zu erheblichen finanziellen und Reputationsschäden für betroffene Industrie-4.0-Unternehmen führen. Die Antwort ist IIoT-spezifische Sicherheit, die speziell dafür entwickelt wurde, um ausgeklügelte, gezielte Bedrohungen auszuschalten.“

„Das Politecnico di Milano hat sich voll und ganz der Unterstützung der Industrie 4.0 verschrieben, um die Sicherheit und Zuverlässigkeit automatisierter und fortschrittlicher Steuerungssysteme zu verbessern. Dies ist insbesondere wichtig, da diese in allen Produktionssektoren an Bedeutung gewinnen und sich zunehmend auf das Geschäft auswirken“, so Giacomo Tavola, Lehrbeauftragter für Design und Management von Produktionssystemen und Stefano Zanero, außerordentlicher Professor für fortgeschrittene Cybersicherheitsthemen am Politecnico di Milano.

Überwiegend proprietäre Systeme

Kritische intelligente Fertigungsanlagen basieren in erster Linie auf proprietären Systemen,  verfügen jedoch über die Rechenleistung herkömmlicher IT-Systeme. Sie sind deshalb zu weit mehr in der Lage, als nur die Aufgaben zu erfüllen, für die sie in der Regel eingesetzt werden. Angreifer können dies einfach ausnutzen. Die Computer verwenden vor allem herstellerspezifische Sprachen zur Kommunikation, aber genau wie bei IT-Bedrohungen können die Sprachen dazu verwendet werden, bösartigen Code einzugeben, sich innerhalb des Netzwerks zu bewegen oder vertrauliche Informationen zu stehlen, ohne entdeckt zu werden.

Obwohl intelligente Fertigungssysteme so konzipiert und eingesetzt werden, dass sie isoliert sind, schwindet diese Abschottung mit der zunehmenden Konvergenz von IT und OT. Aufgrund der eigentlich beabsichtigten Trennung arbeiten die Systeme mit einem erheblichen Maß an Vertrauen und verzichten weitgehend auf Integritätsprüfungen, um böswillige Aktivitäten fernzuhalten.

Gefährdete Systeme und Maschinen

Zu den gefährdeten Systemen und Maschinen, die genutzt werden könnten, gehören das Manufacturing Execution System (MES), Mensch-Maschine-Schnittstellen (HMIs) und individuell anpassbare IIoT-Geräte.

Diese sind potentiell schwache Glieder in der Sicherheitskette und könnten  ausgenutzt werden, um produzierte Güter zu beschädigen, Fehlfunktionen zu verursachen oder Arbeitsabläufe zu ändern, um fehlerhafte Produkte herzustellen.

Der Bericht bietet einen detaillierte Überblick über empfohlene Verteidigungs- und Eindämmungsmaßnahmen, darunter:

• Deep Packet Inspection, die OT-Protokolle unterstützt, um anomale Payloads auf der Netzwerkebene zu identifizieren
• Regelmäßige Integritätsprüfungen auf Endpunkten, um geänderte Software-Komponenten zu identifizieren
  Code-Signierung auf IIoT-Geräten zur Einbeziehung von Abhängigkeiten wie Bibliotheken von Drittanbietern
• Ausdehnung von Risikoanalysen, um über die physische Sicherheit (Safety) hinaus auch Automatisierungssoftware mit zu berücksichtigen
• Vollständige Chain of Trust für Daten und Software in intelligenten Fertigungsumgebungen
• Erkennungswerkzeuge zur Erkennung verwundbarer oder bösartiger Logik für komplexe Fertigungsmaschinen
• Sandboxing und Privilegientrennung für Software auf Industriemaschinen

Weitere Informationen zum Thema:

Trend Micro
Threats and Consequences / A Security Analysis of Smart Manufacturing Systems

datensicherheit.de, 17.02.2020
Industrie 4.0 braucht ganzheitliche IT-Sicherheit im Wertschöpfungsprozess

datensicherheit.de, 10.09.2019
Internet-Protokoll: 4 hat fertig – ohne 6 geht es nicht

datensicherheit.de, 06.09.2019
Sichere Pfade zur Industrie 4.0: Vor der Transformation analoge Welt aufräumen

datensicherheit.de, 27.08.2019
Projektmanagement 4.0: Die Symbiose aus klassisch und agil

datensicherheit.de, 20.08.2019
Industrie 4.0 mit Sicherheit: Ziele definieren und Prioritäten setzen

datensicherheit.de, 31.01.2015
Cluster Industrie 4.0: Sicherheit 4.0 zur Bewältigung der Herausforderungen und Risiken

Industrial-ITwird neben Veränderungen im Bereich Internet-of-Things wichtig werden

[datensicherheit.de, 30.01.2020] SecureLink, Anbieter von Sicherheitsdiensten in Europa, wirft einen Blick auf die wichtigsten Entwicklungen der IT-Sicherheit. Neben den Umbrüchen im Bereich des Internet-of-Things (IoT), wo besonders die Industrial-IT wichtig werden wird, rücken im Jahr 2020 besonders drei Trends in den Vordergrund.

Erstens, wird Microsoft auf dem Security-Markt eine zunehmend größere Rolle spielen. „Zum einen sind sie als Betriebssystem und Office-Anbieter überall präsent, zum anderen haben sie ihr Security Angebot auf dem Endpoint, der Cloud und im IAM-Umfeld massiv erweitert. Wir wollen unsere Kunden darüber aufklären, inwieweit die Microsoft-Lösungen deren Anforderungen abdecken und wo es sinnvolle Ergänzungen beziehungsweise Serivces gibt, welche diese abrunden und vervollständigen“, berichtet Dr. Matthias Rosche, General Manager Deutschland bei SecureLink: „Wir haben bereits unsere Angebote über einige neue Partnerschaften und Services an das aktuelle MS-Portfolio angepasst.“

Bild: SecureLink

Dr. Matthias Rosche, General Manager, SecureLink, Germany

Zweitens, nimmt die Bedeutung von individueller Softwareentwicklung für jedes Unternehmen stark zu. „Jede Firma ist mittlerweile eine Software-Firma geworden. Das betrifft die klassische Industrie, wie Maschinenbau, Chemie oder Pharma, aber auch die Finanzbranche und sogar öffentliche Einrichtungen sowie Behörden. Ohne Entwicklung spezieller Software-Komponenten oder Anwendungen kommt keine große Firma mehr aus“, ist sich Rosche sicher. Im Zentrum eines guten Konzepts steht dabei der gesamte Software-Entwicklungsprozess, wie auch der operative Betrieb der Software. Dabei wird der Programm-Code bereits während der Entstehung auf die aktuellen Sicherheitsanforderungen überprüft. Weiterhin stehen Lösungen und Ansätze zur kontinuierlichen online-Überwachung von Apps und Service-Anwendungen im Fokus.

Drittens, wird 2020 die Auslagerung der IT-Sicherheit in Security Operations Center (SOC) verstärkt zunehmen. „Wir sehen deutlich, dass selbst die großen Unternehmen aus dem DAX über eine Auslagerung von Teilen ihrer SOC-Services nachdenken. Fachkräfte zu finden ist sehr schwierig geworden,“ meint Rosche: „Außerdem profitiert ein externer SOC-Service von der Skalierbarkeit. Ein größerer und gerichteter Angriff zielt nie auf ein Unternehmen allein. Wir als Dienstleister sehen in unserem SOC die Attacke auf einen unserer Kunden und können sofort die anderen warnen und präventiv schützen. Das kann das isolierte SOC eines Unternehmens nicht leisten.“

Weitere Informationen zum Thema:

SecureLink
SecureLink Germany

datensicherheit.de, 05.12.2019
McAfee benennt Cyber-Security-Trends 2020

Zscaler erforscht Enterprise IoT-Ökosystem / Traffic von 153 verschiedenen Herstellern in der Cloud Security Plattform gescannt

[datensicherheit.de, 26.05.2019] Zscaler hat die Ergebnisse seines Internet of Things Reports veröffentlicht: „IoT in the Enterprise: An Analysis of Traffic and Threats 2019“. Der Report veröffentlicht die Ergebnisse der Untersuchung des Datenverkehrs, der von IoT-Geräten innerhalb eines Zeitraums von 30 Tagen über die Zscaler Cloud beobachtet wurde. Das Forschungsteam von Zscaler ThreatLabZ analysierte 56 Millionen Transaktionen von IoT-Geräten und erfasst die Art der kommunizierenden Geräte, die verwendeten Protokolle, die Standorte der Server, mit denen die Geräte kommunizierten und die Häufigkeit der ein- und ausgehenden Kommunikation, um das von IoT-Geräten ausgehende Gefahrenpotenzial zu erfassen.

Transaktionen über einen Zeitraum von 30 Tagen verarbeitet

Über einen Zeitraum von 30 Tagen wurden 56 Millionen Transaktionen in der Zscaler-Cloud von 270 verschiedenen Arten von IoT-Geräten von 153 verschiedenen Herstellern verarbeitet. Die Analyse ergab, dass mehr als 1.000 Unternehmen über mindestens ein IoT-Gerät verfügen, welche Daten aus dem Unternehmensnetz über die Zscaler Cloud-Plattform ins Internet überträgt. Zu den am häufigsten erkannten IoT-Gerätekategorien in der Zscaler-Cloud gehörten unter anderem IP-Kameras, SMART-Uhren, Drucker, SMART TVs, Set-Top-Boxen, IP-Telefone sowie medizinische Geräte und Datenerfassungsterminals.

Bild: Zscaler

Amit Sinha, Executive Vice President of Engineering and Cloud Operations, Chief Technology Officer bei Zscaler

„Wie so oft bei Innovationen hat sich der Einsatz der IoT-Technologie schneller entwickelt, als die verfügbaren Mechanismen zum Schutz dieser Geräte und ihrer Nutzer. Innerhalb eines Monats verzeichnete unser Threat Research Team eine astronomische Menge an Datenverkehr, der sowohl von Firmen- als auch von persönlichen IoT-Geräten verursacht wurde“, sagt Amit Sinha, Executive Vice President of Engineering and Cloud Operations, Chief Technology Officer bei Zscaler. „Unternehmen müssen Maßnahmen ergreifen, um diese Geräte vor Malware-Angriffen und anderen Bedrohungen von außen zu schützen.“

Top IoT-Sicherheitsbedenken:

• Schwache Standard-Anmeldeinformationen
• Klartext-HTTP-Kommunikation zu einem Server für Firmware- oder Paket-Updates
• Klartext HTTP-Authentifizierung
• Nutzung veralteter Bibliotheken

„Wir haben beobachtet, dass über 90 Prozent der IoT-Prozesse über Klartext erfolgen, was diese Geräte und die Unternehmen unserer Meinung nach anfällig für spezifische Angriffe macht“, so Deepen Desai, Vice President of Security Research bei Zscaler. „Unternehmen müssen ihren IoT-Footprint bewerten, da sie durchweitere Expansion das Risiko von Cyberangriffen erhöhen werden. Von der Änderung der Standard-Anmeldeinformationen bis hin zur Beschränkung des Zugriffs auf IoT-Geräte aus externen Netzwerken gibt es eine Vielzahl von Schritten, um die IoT-Sicherheit zu erhöhen.“

Bild: Zscaler

Deepen Desai, Vice President of Security Research bei Zscaler

Das Forschungsteam des Zscaler Labs besteht aus Sicherheitsexperten, Forschern und Netzwerktechnikern, die für die Analyse und Beseitigung von Bedrohungen in der Zscaler Security Cloud sowie für die Untersuchung der globalen Bedrohungslandschaft verantwortlich sind. Das Team teilt seine Research- und Cloud-Daten mit der gesamten Branche, um zu einem sicheren Internet beizutragen.

Weitere Informationen zum Thema:

Zscaler Blog
IoT traffic in the enterprise is rising. So are the threats.

datensicherheit.de, 24.05.2019
IoT-Geräte oft gar nicht oder nur ungenügend geschützt

datensicherheit.de, 30.04.2019
IoT-Sicherheitslücken: 2 Millionen Geräte betroffen

datensicherheit.de, 18.03.2019
US-Regierung schafft Rechtsrahmen zur Verbesserung der IoT-Sicherheit

datensicherheit.de, 18.02.2019
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen

datensicherheot.de, 24.10.2018
IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

Wechselseitigen Abhängigkeiten des digitalen Zeitalters erzuegen auch eine neue Angriffsfläche für Cyberkriminelle

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 28.06.2018] Die weltweite Vernetzung schreitet kontinuierlich voran, allerdings schaffen die wechselseitigen Abhängigkeiten des digitalen Zeitalters auch eine neue Angriffsfläche für Cyberkriminelle. Leider verzeichneten die letzten Jahre unrühmliche Meilensteile in der Entwicklungsgeschichte des Internet of Things (IoT): So war Ende 2016 das erste Mal ein groß angelegter Cyber-Angriff in Form der Mirai Malware erfolgreich, der hunderttausende IoT-Geräte wie Router, Kameras, Drucker und Smart-TVs für den Aufbau eines Botnets nutzte. Dieses sorgte weltweit für DDoS-Attacken, unter anderem auf Unternehmen wie Twitter, Amazon oder die Deutsche Telekom. Wie groß die Sicherheitslücken im IoT sind, wurde auch auf der Def Con Hacking Conference in Las Vegas gezeigt, indem Sicherheitsforscher vorführten, wie ein IoT-fähiges Thermostat mit einem gezielten Ransomware-Angriff gehackt und gesperrt werden kann.

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Arten von Ransomware

Zunächst ist es wichtig, zwischen traditioneller Ransomware, die in der Regel auf PCs und Server abzielt, und Attacken auf IoT-Geräte zu unterscheiden. Klassische Ransomware infiziert den Zielcomputer und verschlüsselt die darauf befindlichen Daten, um für deren Entschlüsselung anschließend ein Lösegeld zu erpressen. Zwar ist es hier möglich, mit einer Datensicherung die betroffenen Daten wiederherzustellen, doch aufgrund mangelhafter Backups sehen sich einige Opfer gezwungen, der Lösegeldforderung nachzugeben. So bleibt diese Methode für Angreifer weiterhin ein profitables Geschäft, wie auch die massiven Ransomware-Wellen von WannaCry und Petya eindrucksvoll unter Beweis gestellt haben. Mit dem geringen Sicherheitsniveau von IoT-Geräten ist daher in den kommenden Jahren auch mit darauf zugeschnittenen Ransomware-Angriffen zu rechnen.

Ziel der IoT-Ransomware: Geiselnahme des Geräts

Datendiebstahl lohnt sich bei IoT-Geräten nicht. Auf ihnen befinden sich in der Regel kaum beziehungsweise keinerlei sensible Daten. Die Strategie der Angreifer konzentriert sich daher darauf, den Nutzerzugriff auf das Gerät zu sperren und das Endgerät sozusagen in Geiselhaft zu nehmen.

Auf den ersten Blick mag dies eher wie eine Unannehmlichkeit erscheinen. Doch bereits ein relativ harmloses Beispiel wie der Hack auf das Computersystem eines Vier-Sterne-Hotels in Kärnten, der 2017 Schlagzeilen machte, zeigt, welche weitreichenden Konsequenzen ein derartiger Angriff nach sich ziehen kann: Kriminelle manipulierten das Schließsystem der Zimmer, infolgedessen sie für die Gäste nicht mehr betretbar waren. Gleich dreimal in Folge führten die Angreifer erfolgreich diese Attacke gegen Forderung eines Lösegelds aus. Gleiches gilt für den Def Con-Hack des gesperrten Thermostats: Überträgt man dieses Beispiel auf Thermostate zur Steuerung von Kühlaggregaten in einem Lebensmittellager oder auf eine Rechenzentrumsklimaanlage, wird die neue Bedrohungslage von IoT-Ransomware deutlich.

Die zweifelhafte Sicherheitshistorie des Internet of Things

Leider ist eine Vielzahl der derzeit in Betrieb befindlichen IoT-Geräte extrem anfällig für IoT-Ransomware-Angriffe, denn im Zuge der IoT-Popularitätswelle haben viele Hersteller in den letzten Jahren Millionen von IoT-Geräten so schnell wie möglich entwickelt und verkauft, wobei die Gerätesicherheit auf der Strecke blieb. Infolgedessen verfügen die meisten IoT-Geräte heutzutage über Standardberechtigungen, verwenden unsichere Konfigurationen und Protokolle und sind notorisch schwer zu aktualisieren, was sie überaus anfällig für Kompromittierungsversuche und damit zu einem lukrativen Ziel für Cyberkriminelle macht.

Erschwerend kommt hinzu, dass das Auftreten von Low-Level-Protocol-Hacks wie KRACK (Key Reinstallation Attack) Angreifern neue Möglichkeiten bietet, die IoT-Infrastruktur zu umgehen und Geräte durch die Einspeisung eines anderen Codes zu manipulieren. Dies hat besonders schwerwiegende Folgen, wenn die Geräte Steuerbefehle von einer Cloud-Anwendung synchronisieren oder empfangen müssen.

Drei Punkte zur Bewertung der IoT-Gerätesicherheit

Um sichere Betriebsabläufe gewährleisten zu können, ist beim Einsatz von IoT-Geräten eine umfassende Bewertung der Gerätesicherheit aus verschiedenen Blickwinkeln unabdingbar. Die Evaluierung sollte stets die folgenden drei Bereiche abdecken:

• Hardware: Die physische Sicherheit sollte bei der Bewertung eines neuen Geräts immer eine wichtige Rolle spielen. Mit physischen Schaltern kann das Gerät manipulationssicher gemacht werden, indem dafür gesorgt wird, dass einzelne Gerätekomponenten nicht ohne Erlaubnis angesprochen und dekodiert werden können. Beispielsweise können mit einer Stummschalttaste Mikrofone und Audioempfänger sämtlicher Geräte deaktiviert werden.
• Software: Auch bei IoT-Geräten gilt: Die Software sollte stets auf dem neuesten Stand sein. Bei der Auswahl eines Geräteherstellers muss daher darauf geachtet werden, dass dieser seine Software regelmäßig aktualisiert und patcht.
• Netzwerk: Der Datenaustausch zwischen IoT-Geräten, Backend-Management- oder Speicherlösungen sollte ausschließlich über sichere Webprotokolle wie HTTPS erfolgen und der Zugriff ausschließlich über mehrstufige Authentifizierungsmethoden. Darüber hinaus ist darauf zu achten, dass alle standardmäßigen Anmeldeinformationen, die mit dem Gerät mitgeliefert wurden, umgehend in starke alphanumerische Zeichenfolgen abgeändert werden.

Die Umsetzung dieser grundlegenden Sicherheitsprinzipien trägt wesentlich dazu bei, sich gegen viele der aufkommenden Bedrohungen wie die neue Art von IoT-Ransomware-Angriffen zu verteidigen. Wenn die IoT-Welt jedoch wirklich sicher werden soll, ist es an der Zeit, sie wie jedes andere IT-System zu behandeln und sicherzustellen, dass ihr Schutz ebenso robust, effektiv und zukunftssicher ist.

Weitere Informationen zum Thema:

Digital Guardian
Enterprise IP & DLP Software

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen

datensicherheit.de, 05.05.2018
Internet der Dinge: Betriebssicherheit und IT-Sicherheit müssen ganzheitlich konzipiert werden

datensicherheit.de, 08.11.2017
Studie: Cybersicherheit im Kontext von IoT und Operational Technology

datensicherheit.de, 30.11.2016
CATS-Event 2016: HTW-Studenten simulieren Hackerangriffe

Ein Gastbeitrag des Internet-Dienstleisters und Cloud-Anbieters OVH

[datensicherheit.de, 02.05.2018] DDoS-Angriffe haben 2016 mehrmals Schlagzeilen gemacht. Man denke etwa an die Rekord-Attacke auf einen unserer Kunden im September 2016 oder auch an den Angriff auf den Blog des investigativen Journalisten Brian Krebs. 2017 war in den Medien seltener von DDoS-Angriffen die Rede. Das bedeutet aber nicht, dass es keine gegeben hätte. Ganz im Gegenteil zeigen unsere Statistiken zum Jahr 2017, dass Distributed-Denial-of-Service-Angriffe nach wie vor eine der größten Sorgen für alle Internet-Akteure sind, seien es Cloud-Anbieter wie OVH oder Internetanbieter (engl. Internet Service Provider, ISP). Die Angriffstechniken werden immer ausgereifter, und die über dem Internet of Things (IoT) schwebende Bedrohung konnte bisher nicht abgewendet werden. Ganz im Gegenteil.

Informationen von Clément Sciascia, dem Lead Tech des Projekts VAC (eine von OVH entwickelte Kombination verschiedener Technologien zur Abwehr von DDoS-Angriffen).

Gestiegenes Angriffsvolumen und zeitliche Verteilung

Ein paar allgemeine Informationen vorab: 2017 hat das VAC von OVH im Schnitt rund 1.800 DDoS-Angriffe pro Tag registriert, das sind etwa 50.000 pro Monat. Der ruhigste Tag war der 16. März 2017 mit „nur“ 981 Angriffen. Der ereignisreichste Tag des vergangenen Jahres war dagegen der 04. Oktober 2017 mit 7.415 Angriffen. Das ist übrigens der Jahrestag der Unabhängigkeitserklärung von Belgien (04. Oktober 1830), aber wir vermuten da erst einmal keinen Zusammenhang.

In Abbildung 1 ist zu sehen, dass die allgemeine Tendenz – bezogen auf die Zahl der registrierten Angriffe – steigend ist (R2 = 0,05613). Hierfür können verschiedene Erklärungen angeführt werden. Einerseits darf man nicht unterschätzen, dass unsere Systeme mit der Zeit immer ausgereifter werden und die Angriffe besser erkennen (das ist die gute Nachricht). Andererseits ist aber auch klar, dass die Zahl der Angriffe immer mehr zunimmt (das ist die weniger gute).

Wenn man sich Abbildung 1 einmal genauer anschaut, ist außerdem zu erkennen, dass es in manchen Monaten mehr Angriffe gab als in anderen. Das ist zunächst einmal eine interessante Tatsache, aber es ist noch zu früh, hieraus irgendwelche Schlussfolgerungen zu ziehen.

Bild: OVH

Abbildung 1: Zahl der vom VAC von OVH im Jahr 2017 erkannten und abgewehrten Angriffe nach Monaten.

Bild: OVH

Abbildung 2: Vorkommen von Angriffen nach Wochentag und Uhrzeit (UTC).

Bei einem genaueren Blick auf die Verteilung der Angriffe nach Wochentag und Uhrzeit (Abbildung 2) wird deutlich, dass die meisten Attacken gegen Abend stattfinden (Weltzeit), und zwar größtenteils zwischen 19 und 21 Uhr UTC.

Diese sehr ungleichmäßige Verteilung der Angriffe stellt eine besondere Herausforderung für das VAC Team dar, weil eine regelrechte Angriffswelle in einem sehr kurzen Zeitfenster abgewehrt werden muss. Und das gilt umso mehr, als der frühe Abend auch der kritischste Zeitraum für die meisten Spiele- und E-Commerce-Plattformen ist, die zu dieser Tageszeit die meisten Besucher haben. Zu dieser Zeit wird die Bandbreite also am meisten in Anspruch genommen, und zwar sowohl vom legitimen Traffic als auch vom durch die Angriffe generierten unerwünschten Traffic, der dann vom VAC erkannt und abgewehrt werden muss (Mitigation). Schon die geringste Überlastung hätte erhebliche Konsequenzen für die Dienstqualität aller Kunden.

2017 waren etwa 60.000 verschiedene IP-Adressen bei OVH das Ziel wenigstens eines DDoS-Angriffs.

Bild: OVH

Abbildung 3: Verschiedene IP-Adressen, die im Laufe des Jahres 2017 mindestens einmal Ziel eines DDoS-Angriffs waren.

Abbildung 3 zeigt für jeden Monat des Jahres die Zahl unterschiedlicher IP-Adressen, die mindestens einmal Opfer eines Angriffs wurden. Dieses Diagramm weist einen wesentlichen Unterschied zu dem in Abbildung 1 auf (Zahl der registrierten Angriffe pro Monat): Mit Ausnahme des Monats Juni ist die Zahl der angegriffenen IP-Adressen mit etwa 9.000 pro Monat im Jahresverlauf relativ konstant. Gleichwohl ist die Tendenz auch hier steigend (R2 = 0,01282).

Die Unterschiede in den Abbildungen 1 und 3 deuten darauf hin, dass manche IP-Adressen häufiger Ziel einer Attacke sind als andere. Abbildung 4 bestätigt diese Annahme.

Bild: OVH

Abbildung 4: Angriffshäufigkeit je Monat und IP-Adresse.

Diese Abbildung gruppiert die IP-Adressen nach Angriffsvolumen pro Monat. Es ist klar zu erkennen, dass die Mehrzahl der IP-Adressen zwischen ein- und fünfmal pro Monat angegriffen wird (Medianwert 2). Im gesamten Jahresverlauf waren die angegriffenen IP-Adressen im Schnitt 13 Angriffen ausgesetzt. 30 der betroffenen IP-Adressen wurden im Jahresverlauf häufiger als 1.000-mal angegriffen (auf die am häufigsten angegriffene IP-Adresse erfolgten 4.317 Attacken).

E-Gaming und E-Commerce: die am häufigsten von DDoS-Angriffen betroffenen Services

Wir haben einen näheren Blick auf die betroffenen IP-Adressen geworfen. Aus den uns zur Verfügung stehenden Informationen über die verantwortlichen Nutzer der damit verbundenen Dienstleistungen konnten wir ableiten, welche spezifischen Aktivitäten am häufigsten Opfer dieser Angriffe werden.

Als Erstes haben wir festgestellt, dass alle Nationalitäten unter diesen Attacken zu leiden haben. Wie nicht anders zu erwarten war, werden Online-Gaming-Dienste am häufigsten angegriffen, allen voran Minecraft-Server. Schon seit einigen Jahren beobachten wir die Rivalität zwischen Game-Server-Administratoren, die sich regelrechte Cyberkriege liefern.

Auch wenn die Gründe hierfür manchmal nichtig sind, scheint es doch vor allem eine Sache des Geldes zu sein. Die wichtigsten Gaming-Server generieren einen beträchtlichen Umsatz. Deshalb greifen die Administratoren sich gegenseitig an, um die Servicequalität des Konkurrenten zu verschlechtern und so die Gamer zu den eigenen Servern zu locken. Ein gnadenloser Wettstreit …

Es ist dabei auch festzuhalten, dass der von OVH angebotene spezifische DDoS-Schutz für den Gaming-Sektor zahlreiche Nutzer aus diesem Bereich überzeugt hat, sodass sie in unseren Statistiken wohl überrepräsentiert sind. Auch wenn die Angriffe auf bei OVH gehostete Game-Server aufgrund unserer soliden Schutzmechanismen meist ins Leere laufen, sind die Versuche doch nicht umsonst. Sie helfen nämlich unseren Ingenieuren im Bereich Forschung und Entwicklung, die ständig an der Verbesserung der Erkennungsalgorithmen arbeiten, indem sie diese Angriffe analysieren. Das wiederum kommt allen Kunden von OVH zugute.

An zweiter Stelle kommen die E-Commerce-Plattformen. Erstaunlicherweise werden Plattformen unterschiedlichster Größe angegriffen − vom riesigen Händler bis hin zum kleinen Onlineshop mit eher bescheidenem Traffic. Dabei geht es in den wenigsten Fällen um eine Rivalität zwischen den Beteiligten, sondern vielmehr um Erpressung. Das Prinzip ist einfach: Nach einer ersten Attacke schickt der Angreifer seinem Opfer eine E-Mail und fordert darin im Gegenzug für die Einstellung der Angriffe eine Zahlung in einen elektronischen Geldbeutel, normalerweise in Form von Bitcoins (BTC) oder Monero (XMR). Meist werden diese Drohungen nicht umgesetzt. Wir empfehlen Ihnen auch, niemals auf solche Forderungen einzugehen und zu zahlen, denn damit würden Sie diese kriminellen Aktivitäten geradezu unterstützen. Und Sie selbst hätten trotzdem keinerlei Sicherheit, nicht noch einmal das Opfer von Angriffen zu werden. Die einzig echte Lösung besteht darin, einen Hosting-Anbieter zu finden, der diese Angriffe effizient abwehren kann. Dadurch werden Ihre Angreifer entmutigt und konzentrieren sich dann auf eine leichtere Beute.

Bild: OVH

Abbildung 5: Eine der schlimmsten uns bekannten Erpresser-E-Mails.

Im Übrigen sind die angegriffenen Aktivitäten sehr heterogen, sodass eine Klassifizierung wenig sinnvoll wäre. Innovative Start-ups, öffentliche Verwaltung oder Informationsseiten (Medien, Blogs, …), jeder kann eines Tages Opfer eines solchen DDoS-Angriffs werden. Die Hintergründe sind kaum zu verallgemeinern: Rivalität zwischen Konkurrenten, Streitigkeiten zwischen einem Service und einem Nutzer, der Versuch, die Medien zu zensieren (zu diesem Thema empfehlen wir den Artikel des amerikanischen Journalisten Brian Krebs: The Democratization of Censorship) u. v. m.

Veränderungen in Intensität und Art der Angriffe

Wir konnten auf unserem Netzwerk 2017 keine Angriffe feststellen, die den Rekord von 1 Terabit pro Sekunde überschritten hätten. Dennoch haben wir weiterhin in die Kapazitäten unseres VAC und unseres Backbone investiert, um so mit diesen unvermeidbaren Angriffen umgehen zu können. Denn die Mittel zu deren Umsetzung gibt es immer noch, insbesondere Botnets (Netzwerke aus kompromittierten Geräten), auf die wir gleich näher eingehen werden.

Bild: OVH

Abbildung 6: Für Angriffe auf IP-Adressen bei OVH genutzte Vektoren im Jahr 2017.

Bei einer Analyse der in Abbildung 6 gezeigten Vektoren und Fokussierung auf die vierte Schicht (L4) des OSI-Modells fanden wir wenig überraschend vor allem UDP-Angriffe, SYN-Flood und Amplification-Angriffe. Die Ausnutzung von Schwächen des UDP-Protokolls stellt mehr als die Hälfte aller auf unserem Netzwerk registrierten Angriffe dar (UDP + Amplification + DNS + NTP). Die Wahl der UDP und SYN-Flood Vektoren ist dabei keineswegs zufällig. Vielmehr bieten sie dem Angreifer die Möglichkeit, die eigene Identität zu verschleiern, indem er Pakete mit missbräuchlich angeeigneten IP-Adressen zusammenstellt. Eine Technik, die übrigens auch die Umsetzung von Amplification-Angriffen ermöglicht. Diese wiederum werden gerne von „Booter-Diensten“ eingesetzt − Plattformen, die DDoS-Angriffe zum Kauf anbieten und dafür in der Regel ein Netzwerk von Computern verwenden, die ihre echte IP verbergen. Tatsächlich wird ein Großteil der von uns registrierten Angriffe über solche Plattformen gestartet; die Botnets stellen ihrerseits einen deutlich geringeren Anteil dar.

Auch wenn die Vektoren auf L4 gleich geblieben sind, konnten wir eine kleine Veränderung in der Art der Angriffe feststellen. Abbildung 7 zeigt den Monatsdurchschnitt der Attacken nach Datenpaketen pro Sekunde und Bandbreite. Während die Bandbreite im Jahresverlauf weitgehend konstant bleibt (etwa 700 Mbit/s je Angriff), schwankt die Zahl der versendeten Pakete doch beträchtlich, mit einer auffälligen Spitze im Oktober mit fast 1 Mpps.

Bild: OVH

Abbildung 7: Durchschnitt der DDoS-Angriffe in Paketen pro Sekunde (pps) (oben) und Bandbreite (Mbit/s) (unten) je Monat.

Bei einem Blick auf die Statistik zu den größten Angriffen im Jahr 2017 (Abbildung 8) lässt sich eine klare Verbindung herstellen zwischen den einzelnen Spitzen und dem Auftauchen neuer Botnets aus verbundenen Geräten (IoT) oder gehackten Routern. Auch wenn wir oben betont haben, dass der Großteil der Angriffe über „Booters“ gestartet wird, werden doch die stärksten Attacken gerade über Botnets gestartet, insbesondere solche der Mirai-Familie (also durch Verwendung von Teilen des Mirai-Codes, der Ende 2016 von seinem reuigen Entwickler öffentlich gemacht wurde).

Darüber hinaus konnten wir eine Veränderung in den von den Angreifern gewählten Strategien sehen. Es ist klar zu erkennen, dass die Größe der stärksten Angriffe im Hinblick auf die Bandbreite unterhalb von 200 Gbit/s bleibt, also deutlich weniger als in den vergangenen Jahren. Die Angreifer haben wohl erkannt, dass wir einfach zu viel zusätzliche Bandbreite in der Hinterhand haben, als dass sie unsere Netzwerke überlasten könnten. Tatsächlich nutzen wir von den 13 Tbit/s der weltweiten OVH Netzwerkkapazität gerade einmal durchschnittlich 3,5 Tbit/s. Stattdessen konzentrieren sich die Angreifer jetzt auf die Kapazität des Netzwerk-Equipments und unserer Abwehrsysteme zur Verarbeitung großer Mengen an Datenpaketen, indem sie Angriffe mit geringer Bandbreite, dafür aber umso mehr Paketen starten. Ganz konkret werden nicht etwa Pakete mit 1.480 Bytes versendet, die einen beträchtlichen Traffic generieren würden, sondern zahllose winzig kleine Pakete mit weniger als 100 Bytes.

In Abbildung 8 ist deutlich zu sehen, wie im Laufe der Monate die Zahl der pps kontinuierlich steigt. Das zeigt einmal mehr, dass wir es mit Angreifern zu tun haben, die sich anpassen und ihre Techniken immer weiter verbessern, um unsere Schutzmechanismen zu umgehen. Deshalb müssen wir sicherstellen, dass wir ihnen immer einen Schritt voraus sind.

Bild: OVH

Abbildung 8: Größte Attacken nach pps (oben) und Bandbreite (unten) je Monat.

Angriffe, die auf Schicht 4 des OSI-Modells ansetzen, sind im Allgemeinen besonders beeindruckend in Sachen Bandbreite und/oder Pakete pro Sekunde. Nichtsdestotrotz sind auch Angriffe auf Schicht 7 (Anwendungsebene) nicht zu unterschätzen, etwa HTTP-Floods.

Hier ist zunächst einmal festzuhalten, dass die Angriffe auf Schicht 7 seit dem Auftauchen neuer Vektoren wie SSH-Flood oder SMTP-Flood deutlich ansteigen. Dabei ist HTTP-Flood mit zwei Dritteln aller von uns beobachteten Angriffe auf Schicht 7 unzweifelhaft der am häufigsten verwendete Vektor. Diese Attacken haben übrigens nicht die gleichen Auswirkungen auf das Ziel wie L4-Angriffe. Hier geht es nicht darum, die Netzwerkinfrastruktur, sondern vielmehr die Anwendung selbst zu überlasten, indem man beispielsweise einen Apache-Dienst mit Anfragen überschwemmt. Derartige Angriffe sind in der Regel etwas schwieriger aufzuspüren, weil eine Vielzahl von Variablen eine Rolle spielt, etwa die Leistung des Servers (ein VPS wird nicht so viele Anfragen bewältigen können wie ein Dedicated Server mit Dual-Socket-System) oder auch die Konfiguration des Servers und dessen Optimierung angesichts erhöhter Last. Die Erkennungsmechanismen können also nicht für alle Kunden die gleichen Grenzwerte verwenden.

Sie sehen also, dass genau in diesem Bereich die größte Herausforderung für unsere Teams besteht. Denn Angriffe auf L7 könnten in den nächsten Monaten noch deutlich häufiger werden. Wir haben festgestellt, dass anders als bei den L4-Attacken die Angriffe auf Schicht 7 größtenteils über Botnets gestartet werden, seien es IoT-Botnets oder traditionellere Varianten. Insbesondere haben wir festgestellt, dass immer häufiger „WordPress Pingbacks“ ausgenutzt werden, eine standardmäßig aktivierte Funktion, die für Reflection-Angriffe genutzt werden kann.

Reaper- und Satori-Botnets im Fokus

Anhand der Statistiken in Abbildung 8 ist deutlich zu erkennen, dass es gegen Ende 2017 relativ viele DDoS-Angriffe gab. Die Monate September und Oktober waren Schauplatz von Angriffen zwischen 80 und 100 Gbit/s bzw. zwischen 60 und 90 Mpps. Einige dieser Attacken konnten wir dem Reaper-Botnet zuordnen, das innerhalb eines sehr kurzen Zeitraums eine Vielzahl von Systemen infiziert hat. Hier ist auch ein Phänomen zu erkennen, das wir schon weiter oben erläutert haben: Die Angreifer versuchen die Anzahl der Pakete pro Sekunde zu maximieren, anstatt die Bandbreite zu überlasten. Wir können Ihnen allerdings versichern, dass das OVH VAC problemlos alle hinterhältigen Pläne durchkreuzen konnte.

Das Satori-Botnet, das in der Welt der Cybersicherheit immer mehr von sich reden macht, hat seit November einen steilen Aufstieg hingelegt. Am 24. November 2017 konnten wir beobachten, wozu dieses Botnet tatsächlich fähig ist: Ein Angriff mit „nur“ 160 Gbit/s hat fast 250 Mpps generiert. Das war das erste Mal in der Geschichte des VAC, dass wir es mit einer solchen Zahl zu tun hatten. Gleichzeitig war es auch eine hervorragende Gelegenheit, das Verhalten der verschiedenen an der Mitigation beteiligten Bausteine im Detail zu analysieren. Das VAC hat den Angriff abgewehrt, aber vor allem konnten wir aufgrund der gesammelten Daten mögliche Verbesserungen ermitteln und unsere Abwehr-Algorithmen optimieren.

IoT: die unsichtbare Gefahr

Nachdem wir nun schon von Reaper und Satori gesprochen haben, dürfen zum Abschluss dieses Artikels natürlich die IoT-Botnets nicht fehlen. Im September 2016 hat die Welt Mirai kennengelernt, und zwar infolge eines Angriffs auf einen unserer Kunden, bei dem ein neuer Rekord von einem Terabit pro Sekunde aufgestellt wurde (genug, um eine Festplatte mit 2 TB in nur 16 Sekunden zu füllen!). Dieses Botnet hat Nachlässigkeiten seitens der Hersteller verbundener Objekte (IoT) bei der Entwicklung ihrer Produkte ausgenutzt. So wurden vor allem Kameras mithilfe einer Schadsoftware kompromittiert, um sie so in Zombies zu verwandeln, die ihrem Botmaster zu Diensten sind.

Aber die vom IoT ausgehende Bedrohung, die über dem Internet schwebt, beschränkt sich nicht allein auf Mirai. Schon vorher folgte Malware häufig dem gleichen Prinzip, etwa Aidra (2008), Tsunami (2010), Mr.Black (2014) oder auch LizKebab/Gafgyt/QBOT (2014). Seit dem Angriff auf unser Netzwerk beobachten wir diese Botnets mit umso größerer Aufmerksamkeit, um ihre Organisation zu verstehen, ihre Verbreitungsmechanismen, die Entwicklung in der Zahl der kompromittierten Geräte, die für einen geplanten Angriff verwendet werden können, und noch vieles mehr.

Dank dieser systematischen Beobachtungen haben wir heute eine sehr viel genauere Vorstellung von dieser Bedrohung – und können im Fall der Fälle die notwendigen Schritte einleiten. So haben etwa im letzten November unsere Erkennungstools verschiedene Versuche des Satori-Botnets festgestellt, immer mehr verbundene Objekte zu kompromittieren.

Um neu entstehende und etablierte Botnets im Auge zu behalten, verwenden wir sogenannte „Honeypots“, wörtlich also „Honigtöpfe“. Die Bezeichnung ist eine Anspielung auf den Zeichentrickbären Winnie Puuh, der oft durch den Anblick oder den Duft eines Honigtopfes verführt wird und so in kritische Situationen gerät. Bei unseren Honigtöpfen handelt es sich um Köder, die wir ganz bewusst mit Schwachstellen designen und ins Internet stellen. Regelmäßige Analysen helfen uns dann dabei, die Funktionsweise der Kompromittierungsversuche zu verstehen.

Abbildung 9 zeigt eben diese Aktivitäten rund um unsere Honeypots für das Jahr 2017. Berücksichtigen wir zusätzlich zu diesen Kurven noch die Spitzenzeiten der großen Botnets, die 2017 Schlagzeilen gemacht haben − etwa Hajime, Reaper oder Satori −, dann stellen wir fest, dass die Aktivität rund um die Honeypots deutlich zugenommen hat.

Bild: OVH

Abbildung 9: Aktivität unserer Honeypots im Kampf gegen IoT-Botnets.

Anhand dieser Grafik kann man auch für das erste Quartal 2017 eine relativ hohe Aktivität feststellen. Diese ist vor allem auf die Malware Hajime zurückzuführen, die das gesamte Internet in einer Art Dauerschleife gescannt hat. Ab April gab es dann spürbar weniger Aktivität, bevor es im September wieder von Neuem anfing – wenn auch in geringerem Ausmaß. Diese Trends spiegeln die geringer werdende Begeisterung der „Script Kiddies“ für Mirai wider. Als „Script Kiddies“ bezeichnet man Jugendliche mit nur geringer technischer Kompetenz, dafür aber umso mehr Ambitionen im Bereich Cyberkriminalität. Blöd für sie, dass der Aufbau eines Botnets mit Mirai oder einer seiner Varianten dann doch nicht so kinderleicht ist. Um die notwendige Zahl an kompromittierten Geräten zu erreichen, muss man regelrechte F&E betreiben, um die Vektoren für die Infektion aktuell zu halten. Denn die Sicherheitslücken, die sich die Vektoren von gestern zunutze machten, sind heute vielleicht schon geschlossen. Deswegen haben die „Kiddies“ dann realistischere Projekte für sich entdeckt: QBOT. Wir werden noch auf diesen Punkt zurückkommen, aber heute repräsentiert QBOT etwa 80 % der aktiven IoT-Botnets. Technisch versiertere Angreifer haben weiterhin Mirai verwendet und auch verbessert, indem sie unter anderem die Ausnutzung neuer Sicherheitslücken in Geräten in den Code eingepflegt haben.

Bild: OVH

Abbildung 10: Geolokalisierung der IPs, über die unsere Honeypots kompromittiert werden sollten, im zeitlichen Verlauf.

In Abbildung 10 sieht man perfekt die Umsetzung neuer Schwachstellen und Nachlässigkeiten in den Infektionsalgorithmen. Jedes Mal, wenn ein neuer Exploit implementiert wird, werden sehr schnell sehr viele Geräte neu kompromittiert, was zu einer ungewöhnlich hohen Aktivität auf unseren Honeypots führt (Spitzen). Wenn wir die infizierten Geräte dann geolokalisieren, können wir für jede einzelne Spitze ein bestimmtes Land ermitteln.

Und hier ist die Erklärung dafür: Die am häufigsten ausgenutzten Schwachstellen sind Router (und vor allem Router von Privatpersonen, also normale „Internetrouter“). Wenn sich die Hacker auf diese Geräte konzentrieren, ist ihnen ein gewisser Erfolg sicher, weil die Internetanbieter ihre Kunden in einem Land oder einem geografischen Gebiet praktisch flächendeckend mit einem einzigen Routermodell versorgen. Hat dieses Modell eine Sicherheitslücke, können mit nur einem einzigen Infektionsalgorithmus innerhalb kürzester Zeit Tausende Geräte kompromittiert werden. Und weil ein kompromittiertes Gerät dann seinerseits das Internet nach anfälligen Geräten durchsucht, gibt es plötzlich eine ungewöhnlich hohe Aktivität aus einem bestimmten Land. Diese wird dann durch unsere Honeypots zurückverfolgt, wie in Abbildung 10 zu sehen ist.

Zur Erinnerung: Ein Botnet ist eine Gruppe von infizierten Geräten, den sogenannten Zombies, die mit einem Command-and-Control-Server verbunden sind. Dieser Kontrollserver steuert sie per Fernzugriff und lässt sie bestimmte Aktionen ausführen (z. B. eine IP angreifen). Unsere Honeypots ermöglichen es uns, auch diese Kontrollserver zurückzuverfolgen und so ihre Anzahl zu schätzen. Abbildung 11 zeigt die Zahl der von unseren Systemen im Jahr 2017 erkannten Command-and-Control-Server (kurz C&C-Server). Zwar identifizieren wir immer mehr davon, allerdings darf man daraus keine voreiligen Schlüsse ziehen. Jeden Monat verbessern wir unsere Erkennungssysteme und entdecken deshalb heute Botnets, die gestern noch nicht auf unserem Radar erschienen wären. Daher können wir heute noch nicht mit Sicherheit sagen, ob es hier eine echte steigende Tendenz gibt.

Bild: OVH

Abbildung 11: Durch unsere Systeme erkannte Kontrollserver je Monat in 2017.

Was jedoch in jedem Fall bemerkenswert ist, ist die weiter oben schon angesprochene zunehmende Abkehr von Mirai zugunsten von QBOT. Während im ersten Quartal 2017 fast 30 % der von uns erkannten Botnets den Mirai-Code verwendeten, waren es im vierten Quartal 2017 nur noch 10 % (die übrigen identifizierten Botnets verwendeten mit überwältigender Mehrheit QBOT). Wie aber schon Elie Bursztein (Leiter des Anti-Abuse-Teams von Google) in seinem Blog erklärt hat, hat sich die Architektur von Mirai-Botnets im Laufe der Monate weiterentwickelt. Statt eines einzigen großen Botnets nutzen die Betreiber jetzt lieber mehrere kleine, um einerseits eine höhere Ausfallsicherheit zu erreichen, falls ein Teil ihres Netzwerks erkannt wird, und andererseits auch den Verkauf der durch diese Botnets angebotenen „Dienste“ zu erleichtern (normalerweise hängen die Kosten für die Nutzung eines Botnets von der Anzahl der mobilisierten Bots ab). Dementsprechend ist es nicht ungewöhnlich, dass mehrere Kontrollserver mit unterschiedlichen IP-Adressen gleichzeitig genau denselben Befehl an ihre Bots senden.

Wenn wir uns nun noch einmal genauer ansehen, auf welche Vektoren die Nutzer dieser Botnets setzen, und zwar unabhängig von ihrem Ziel, dann können wir große Ähnlichkeiten zu den Angriffen auf dem OVH Netzwerk feststellen, die wir oben bereits analysiert haben. In Abbildung 12 ist zu sehen, dass auch hier UDP mit 46 % an der Spitze liegt, gefolgt von SYN-Flood mit 20 % und (auf der Anwendungsebene) HTTP-Flood mit 19 %.

Bild: OVH

Abbildung 12: Am häufigsten durch IoT-Botnets verwendete Vektoren im Jahr 2017.

Ganz besonders interessant ist auch, die von den Hackern angegriffenen Ports zu analysieren. In Abbildung 13 sieht man die sieben am häufigsten angegriffenen Ports, unabhängig vom Netzwerk. Port 80 (HTTP) wird am häufigsten ins Visier genommen, und zwar sowohl bei Angriffen via TCP-Protokoll als auch via UDP-Port – auch wenn das auf Anhieb unlogisch erscheint (denn HTTP basiert auf TCP).

Die übrigen Ports sind noch interessanter, weil man durch sie ein klares Bild der Nutzer von Botnets bekommt. Wie oben bereits angesprochen, ist die Welt der Videospiele unerbittlich, und die starke Konkurrenz verleitet Admins dazu, sich auf regelrechte Cyberkriege einzulassen. Darüber hinaus scheinen aber viele der Benutzer dieser Botnets einfach nur schlechte Spieler zu sein, die versuchen, ihre Gegner während einer laufenden Partie durch Angriffe auf die Xbox Live Ports zu stören.

Bild: OVH

Abbildung 13: Durch IoT-Botnets am häufigsten angegriffene Ports im Jahr 2017.

Ausgehend von diesen Zahlen versuchten wir herauszufinden, ob andere Netzwerke von den gleichen, durch IoT-Botnets verursachten Angriffstypen wie OVH betroffen waren. Hierfür haben wir drei andere Internet-Akteure ausgewählt: einen wichtigen US-amerikanischen ISP, einen großen CDN-Provider und schließlich einen Hosting-Anbieter, der in seiner Geschäftstätigkeit OVH ähnelt.

Die Ergebnisse sind spannend:

• Der große amerikanische ISP wird vor allem Opfer solcher DDoS-Attacken, die auf Xbox Live, PlayStation und alles, was mit Gaming zu tun hat, abzielen.
• Der CDN-Provider hingegen ist hauptsächlich von L7-Attacken des Typs HTTP-Flood betroffen (was in Anbetracht seines Geschäftsmodells auch relativ logisch ist).
• Der Hosting-Anbieter dagegen erlebt ganz ähnliche Angriffe wie OVH.

Für alle, die noch Zweifel hatten: DDoS-Angriffe nehmen also keineswegs nur Hoster ins Visier. Alle Internet-Akteure, ob groß oder klein, sind in der einen oder anderen Form dieser Bedrohung ausgesetzt, die direkt von der Art der angebotenen Dienstleistungen abhängt. Der einzig echte Unterschied besteht in den zur Verfügung stehenden Mitteln, mit denen diese Akteure ihre Nutzer schützen. Und in ihrer Fähigkeit, durch die genaue Beobachtung und Auswertung der Techniken schon heute die DDoS-Angriffe von morgen vorherzusagen.

Die wichtigsten Fakten

Nach dieser Analyse können wir nun drei wichtige Tatsachen festhalten:

• Die Angriffstypologien verändern sich: Die Intensität in Sachen Bandbreite nimmt deutlich weniger zu als die Zahl der versendeten Pakete pro Sekunde.
• Es gibt deutlich mehr Angriffe auf Anwendungsebene (L7).
• Die Struktur der IoT-Botnets beweist – wenn überhaupt ein Beweis nötig war –, dass Cyberkriminelle die Schwachstellen der verbundenen Objekte gezielt ausnutzen, um ihr „Business“ nachhaltig zu sichern.

Diese Entwicklungen zeigen deutlich, wie die Angreifer ihre Techniken kontinuierlich an die Gegenmaßnahmen von Akteuren wie OVH anpassen.

Es ist schlicht unmöglich, ein prototypisches Opfer von DDoS-Angriffen auszumachen; die Profile sind vollkommen unterschiedlich. Allerdings sind zwei Bereiche besonders häufig betroffen: Online-Gaming (allen voran Minecraft- und Teamspeak-Server) und E-Commerce-Plattformen, und zwar unabhängig von ihrer Größe.

In den meisten Fällen verfolgen die Angreifer vor allem finanzielle Ziele: sei es ganz direkt durch die Erpressung von Geldern, oder indirekt durch die Schädigung eines Konkurrenten mit dem Ziel, dessen Kunden abzuwerben. Noch kurz zu einem Punkt, der nichts mit Gaming zu tun hat: Es haben auch schon Herausgeber von Anti-DDoS-Lösungen Angriffe gestartet um dann hinterher bei den Opfern der Attacken Werbung für das eigene Schutzangebot zu machen.

Wir jedenfalls werden auch 2018 aufmerksam beobachten, ob sich die in dieser Analyse festgestellten Trends langfristig bestätigen.

Weitere Informationen zum Thema:

OVH
Anti-DDoS

datensicherheit.de, 21.02.2018
DDoS-Bedrohung wächst: Defizite beim Schutz erleichtert Attacken

Von unserem Gastautor Frank Ruge, Director Sales für Zentraleuropa bei Infoblox

[datensicherheit.de, 13.01.2017]  Im Internet of Things (IoT) werden Alltagsgegenstände mit Kommunikationsfähigkeiten ausgestattet. Anwendungsfälle erstrecken sich vom Heimbereich, über das industrielle Umfeld – Stichwort Industrie 4.0 – und öffentliche Einrichtungen bis hin zum Transport- und Gesundheitswesen. Kein Wunder also, dass IoT fest auf der Agenda von IT-Entscheidern weltweit steht. Denn die zunehmende Vernetzung und Digitalisierung verändern die Geschäftsmodelle. IDC schätzt, dass es bis 2020 etwa 30 Milliarden vernetzte IoT-Geräte geben wird. Ein Albtraum für Security-Verantwortliche: Denn die Vielzahl neuer, kommunizierender Geräte schafft ganz neue Gefahren und erfordert gleichzeitig neue Sicherheitskonzepte.

Herausforderung: Sicherheit im IoT

Trotz dem unglaublichen Wachstum an IoT-Geräten gibt es bisher nur wenige Antworten auf die Frage, was das Internet of Things für Netzwerke und IT-Abteilungen bedeutet und wie diese eine ausreichende Sicherheit für ihre Unternehmen gewährleisten können. Das Problem: Für die neuen Geräte müssen eine Vielzahl neuer IP-Adressen und zusätzliche Bandbreite geschaffen und verwaltet werden. Außerdem gilt es, die IoT-Geräte im Unternehmen so abzusichern, dass Hacker nicht durch diese ins Netzwerk eindringen können.

Unsichere Geräte und wie sie sicher werden

Die Notwendigkeit der ausreichenden Absicherung von IoT-Geräten wurde bereits deutlich gemacht. Das ist jedoch gar nicht so einfach: Die minimale Rechenleistung der meisten IoT-Geräte gefährdet nämlich die Sicherheit im gesamten Netzwerk, denn die Mehrheit der Devices unterstützt beispielsweise keine robusten Mechanismen zur Authentifizierung, oder sie sind mit Default-Kennungen versehen. Hinzu kommt, dass viele IoT-Geräte gar nicht so smart sind wie sie aussehen: Manchen fehlt ein Interface, was die Konfiguration für das Unternehmensnetzwerk zur Herausforderung macht. Weiter bauen alle mobilen IoT-Komponenten ihre Verbindungen je nach Ort und Umgebung per Mobilfunk, Bluetooth oder WLAN auf und können auch über mehr als eine Schnittstelle gleichzeitig mit dem Internet verbunden sein. Dies ist zwar notwendig, um ein „Handover“ beim Übergang zwischen den Netzwerken zu ermöglichen, aber auch fatal, denn so gelingt es Cyberkriminellen, bestehende Verbindungen, wie etwa das WLAN, in dem das IoT-Gerät registriert ist, zu knacken.

Es existieren bereits Methoden, die Netzwerkadministratoren helfen, IoT-Geräte sicher zu implementieren. Zuerst geht es darum, dass diese möglichst früh in den IoT-Planungsprozess integriert werden und dass die Minimalanforderungen für die Geräte im Netzwerk von Beginn an angegeben werden, da sie später installiert und unterstützt werden müssen. Diese Anforderungen sollten den Support von 802.1X, DHCP, SNMP Management, Remote Upgrades und IPv6 beinhalten.

Nichtsdestotrotz sollte man jedoch nicht davon ausgehen, dass die Geräte selbst sicher sind. Somit wird es umso wichtiger, im Netzwerk Funktionen zu haben mit denen Kommunikations-Anomalien und Malware aufgedeckt werden können. Hierzu bietet sich insbesondere der DNS-Dienst an, da dieser in der Regel der erste Kontrollpunkt ist, um die Entscheidung zu treffen, ob es sich um eine gute oder bösartige Kommunikationsanfrage handelt.

Absicherung des DNS – wichtiger denn je

Immer häufiger hört man von radikalen Cyberangriffen auf DNS (Domain Name Systems)-Systeme mit verheerenden Folgen. Man sehe sich nur den sich kürzlich erfolgten DDoS-Angriff (Distributed Denial of Service) auf Dyn an, der Netflix, Amazon, Twitter & Co kurzerhand für einige Stunden lahm legte. Die Attacke hatte ein Volumen von über einem Terabit pro Sekunde und ging von IP-Kameras, Druckern, Routern, Babyphones, TV-Festplatten-Receivern und Beleuchtungssystemen aus.

Eine neue Generation von Botnetzen und anderen Advanced Persistent Threats (APTs) nutzt vermehrt das DNS, um Maschinen zu infizieren und für ihre Zwecke einzusetzen, sowie um ausgeklügelte Netzwerkattacken auszuführen. Es ist daher essentiell, dass sich Unternehmen, zusätzlich zur richtigen Absicherung ihrer IoT-Geräte, ebenso mit der Absicherung ihres DNS beschäftigen. Ein einfaches Beispiel: Ein IoT-Gerät, das nicht im Unternehmensnetzwerk gemeldet ist, stellt eine Anfrage an das unternehmenseigene DNS. Ist dieses nicht ausreichend abgesichert, schaffen es Cyberkriminelle über das DNS ins Unternehmensnetzwerk zu gelangen. Wie aber sichern Unternehmen ihr DNS richtig ab?

So geht’s richtig

Über 90% aller Malware-Kommunikation findet über DNS statt. Über 65% aller DNS-Server in Unternehmen werden nicht gemanagt. In über 80% von DNS-Sicherheits-Checks findet sich von Kunden bislang nicht bemerkte Malware und bis dato unerkannte DNS-Tunnel.

Angriffsmöglichkeiten auf das DNS sind zu vielschichtig, als dass eine einzige Technologie vor der Vielzahl an Attacken schützen könnte. Um sich wirksam gegen Angriffe auf sein DNS schützen zu können, bedarf es einer ausgeklügelten Sicherheitsstrategie auf mehreren Ebenen.

Drei Tipps für die Absicherung des DNS:

• Absicherung des DNS-Dienstes gegen Angriffe von innen und außen zur Sicherung der Hochverfügbarkeit von Basisdiensten.
• Nutzen einer DNS-Firewall-Funktion, um frühzeitig Malware zu identifizieren und isolieren.
• Monitoren des DNS-Verkehrs zur Erkennung von Anomalien, die in der Regel auf Datenexfiltration oder DNS-Tunnel hinweisen.

Fazit

Das Internet der Dinge repräsentiert neue Möglichkeiten, von denen viele bis jetzt noch nicht einmal in Betracht gezogen wurden. Es arbeitet mit Netzwerken und verlässt sich auf die darunter liegenden Netzwerktechnologien, die von Netzwerkmanagern und Administratoren eingesetzt und gewartet werden müssen. Unternehmen müssen sich, ebenso wie ihr Netzwerk, daher bereits jetzt auf die Herausforderungen des IoT einstellen, früh in die Planung einsteigen und Sicherheitsprobleme mit großer Sorgfalt angehen. Für Netzwerkadministratoren ist es unabdinglich, mehr denn je jederzeit genau identifizieren zu können, wer in ihrem Netzwerk unterwegs ist und was die jeweiligen Geräte dort machen.

Weiter ist zu berücksichtigen, dass nicht ausschließlich die Absicherung der unternehmenseigenen IoT-Geräte den vollständigen Schutz vor Cyberangriffen bietet, sondern vielmehr auch die Tatsache, dass vor allem das DNS in letzter Zeit zu einer immer attraktiveren Option für Angreifer geworden ist, um die existierenden Verteidigungsvorkehrungen umgehen zu können und Netzwerke lahmzulegen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.12.2016
Industrie 4.0: Neben technischen auch zahlreiche rechtliche Fragen zu klären

datensicherheit.de, 24.10.2016
Themenkomplex Industrie 4.0 – Internet der Dinge: Risiken jetzt methodisch begegnen

datensicherheit.de, 10.10.2016
Cluster Industrie 4.0 zu Gast bei datensicherheit.de auf der „it-sa 2016“

65 Prozent der Organisationen können IoT-Geräte in ihren Netzwerken nicht ausreichend erkennen, klassifizieren und verwalten

[datensicherheit.de, 20.10.2016] ForeScout Technologies, Inc. veröffentlicht heute die Ergebnisse seiner neuen Studie „European Perceptions, Preparedness and Strategies for IoT Security“. Die Mehrzahl der befragten Teilnehmer sieht durch IoT bessere Chancen für Unternehmen, zeitgleich gestehen aber viele Befragten ein, dass sie nicht genau wissen, wie sie diese Geräte richtig absichern können.

„Der enorme Zuwachs an IoT-Geräten schafft für Unternehmen sowohl Chancen als auch Risiken“, erklärt Jan Hof, International Marketing Director, ForeScout Technologies. „Viele Organisationen erkennen im Internet der Dinge eine Möglichkeit zur Optimierung und Vereinfachung von Geschäftsprozessen, doch gehen damit auch Sicherheitsprobleme einher, die  gelöst werden müssen – insbesondere dadurch, dass solche Geräte sichtbar und transparent gemacht werden, sobald sie sich mit dem Netzwerk verbinden. Denn was man nicht sieht, kann man auch nicht schützen.“

Bild: ForeScout

Jan Hof, International Marketing Director, ForeScout Technologies

Die Untersuchung wurde von ForeScout in Auftrag gegeben und von dem externen, unabhängigen Marktforschungsinstitut Quocirca durchgeführt. 201 führende IT-Entscheider in Großbritannien und den DACH-Ländern Deutschland, Österreich und der Schweiz wurden gebeten, ihre Meinung zu den Sicherheitsmaßnahmen für das Internet der Dinge (IoT) in ihrem Unternehmen abzugeben.

Die wichtigsten Ergebnisse der Studie: 

Die Angriffsfläche wird immer größer und vielgestaltiger: Unternehmen von durchschnittlicher Größe gehen davon aus, dass sie im Lauf der nächsten 18 Monate 7.000 IoT-Geräte integrieren müssen. Und selbst kleinere Firmen rechnen mit Zahlen, die in die Hunderte oder Tausende gehen – das sind weit mehr Endpunkte, als im Bereich der herkömmlichen Benutzer-Endgeräte üblicherweise abgesichert werden müssen.
Der Gesundheitssektor ist auf das Internet der Dinge zu wenig vorbereitet: Ein Drittel der Befragten gab an, dass das IoT bereits große Auswirkungen auf ihr Unternehmen hat, und ein weiteres Drittel erwartet, dass dies bald der Fall sein wird. IT und Telekommunikation sind die Sektoren, die für das IoT am besten gerüstet sind. Das Gesundheitswesen, das vom Internet der Dinge erheblich profitieren kann, hinkt vergleichsweise hinterher.
Unsicherheit im Hinblick auf die Identifizierung und Verwaltung der Geräte: 65 Prozent der Befragten sind sich nur „ziemlich“, „wenig“ oder „gar nicht“ sicher, dass sie alle IoT-Geräte in ihrem Netzwerk identifizieren und überwachen können. Verstärkt wird diese Unsicherheit durch die Tatsache, dass viele IoT-Geräte Open-Source-Betriebssysteme haben, die von den Geräteherstellern angepasst werden, wodurch zahlreiche Varianten entstehen.
Agentenfrei ist der einzige Weg: Die Fähigkeit, IoT-Geräte ohne Einsatz von Agenten zu erkennen und zu klassifizieren (die meist nur gängige Betriebssysteme wie Windows, Android, iOS und OS X unterstützen), wurde von 64 Prozent der Befragten als „außerordentlich wichtig“ oder „ziemlich wichtig“ eingeschätzt. Im Gesundheitssektor – wo sehr viele ungewöhnliche Geräte existieren, wie etwa CT-Scanner, Insulinpumpen und Pulsmessgeräte – waren sogar 73 Prozent dieser Ansicht.
Das größte Sicherheitsproblem im Zusammenhang mit dem IoT? Die Kooperation der einzelnen IT-Bereiche: 83 Prozent der Befragten waren der Meinung, dass die größte Sicherheitsherausforderung im Zusammenhang mit dem IoT darin bestünde, eine Zusammenarbeit der verschiedenen IT-Bereiche im Unternehmen zu erreichen (Netzwerk, Sicherheit, DevOps etc.). Eine Minderheit der Umfrageteilnehmer sieht den Mangel an Personal als Problem, und mehr als die Hälfte machen sich Sorgen um die Budgets und die Verfügbarkeit geeigneter Produkte.
Dazu Bob Tarzey, Analyst und Direktor des Marktforschungsinstituts Quocirca, das die Umfrage durchführte: „Die IoT-Implementierungen in europäischen Unternehmen umfassen bereits Millionen von Geräten. Viele davon haben nur eine begrenzte Rechenleistung und dürfen nur wenig Strom verbrauchen. Andere haben ungewöhnliche Betriebssysteme, und in bestimmten Fällen werden die betreffenden ‚Dinge’ dem IT-Sicherheitsteam nicht bekannt sein, wenn sie sich erstmals mit dem Netzwerk zu verbinden versuchen. All dies erfordert Lösungen, die den Sicherheitsstatus aller mit dem Netzwerk verbundenen Geräte erkennen, ohne dass Agenten installiert werden müssen.“

Untersuchungsmethodik

ForeScout beauftragte Quocirca, im Zeitraum von August bis September 2016 die Studie „European Perceptions, Preparedness and Strategies for IoT Security“ durchzuführen. Dazu wurden 201 führende IT-Entscheider in Großbritannien und den DACH-Ländern Deutschland, Österreich und Schweiz befragt. Die Studie analysierte und bewertete die Ansichten der Teilnehmer zu den IoT-Geräten und den zugehörigen Sicherheitsrichtlinien, -maßnahmen und -werkzeugen in ihren Unternehmen. Dabei wurden verschiedene Sektoren sowie Unternehmen jeder Größe einbezogen – von Firmen mit nur 10 Mitarbeitern bis hin zu Großunternehmen mit mehr als 10.000 Beschäftigten. Die Untersuchung schloss sich an eine Umfrage an, die Webtorials zwischen März und April 2016 in den USA durchgeführt hatte.

[datensicherheit.de, 06.04.2016] Das Internet of Things (IoT) stellt den wichtigsten Treiber für aktuelle Veränderungen in der IT-Sicherheit dar. Dies legt der eco Sicherheitsreport 2016 nahe, für den eco – Verband der Internetwirtschaft e. V. rund 600 IT-Sicherheitsexperten befragt hat.Demnach stuft über die Hälfte (51 Prozent) der Firmen das Internet der Dinge als den wichtigsten Faktor für anstehende Veränderungen in IT-Sicherheitsfragen für 2016 ein. Ein Jahr zuvor hatte der Anteil der Befragten mit dieser Einschätzung noch bei unter 40 Prozent gelegen. In der aktuellen Umfrage an zweiter Stelle steht mit 45 Prozent der Aspekt der kritischen Infrastrukturen, der im letzten Jahr ebenfalls noch bei unter 40 Prozent gelegen hatte.

„IoT und kritische Infrastrukturen haben die Themen Cloud, Datenschutz und Mobile deutlich zurückgedrängt, was ihre Bedeutung für die IT-Sicherheit angeht“, erklärt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit beim eco.

Geheimdienste sind aus dem Bewusstsein verschwunden

So wird Cloud Computing aktuell noch nicht einmal von einem Drittel (32 Prozent) der Befragten als Treiber für Veränderungen in Sachen IT-Sicherheit eingestuft (Vorjahr: 38 Prozent). Der Datenschutz ist in dieser Zeitspanne von 41 auf 29 Prozent gefallen, das Themengebiet Mobile von 43 auf 28 Prozent. Die Relevanz von Big Data ist von 25 auf 21 Prozent abgerutscht. Das Ausspähen durch Geheimdienste ist als Sicherheitsrisiko beinahe völlig aus dem Bewusstsein verschwunden: Lediglich 20 Prozent der Firmen stufen Spionage als Treiber für betriebliche Sicherheitsfragen ein. Nur ein Jahr zuvor hatten noch 38 Prozent genau diese Gefahr als treibende Kraft eingestuft.

Sicherheit in der Smart World

Die deutsche Wirtschaft steht dem Konzept des Smart Car mit zunehmenden Sicherheitsbedenken gegenüber. Hingegen nimmt das Bewusstsein für Sicherheitsfragen beim Smart Home immer mehr ab. Das ist ein weiteres Fazit des eco Sicherheitsreport 2016.

Deutlich mehr als ein Drittel (36 Prozent) der aktuell Befragten vertreten die Auffassung, dass das smart vernetzte Automobil ein Sicherheitsrisiko darstellt. Ein Jahr zuvor hatte diese Gruppe der Bedenken­träger noch bei unter einem Drittel (32 Prozent) gelegen. Nur noch neun Prozent sind der Meinung dass die „Smartisierung“ die Sicherheit im Auto erhöht (Vorjahr: 15 Prozent). Die Mehrheit (55 Prozent; Vorjahr: 53 Prozent) denkt pragmatisch: Die Vernetzung wird sowohl für mehr als auch für weniger Sicherheit sorgen. „Es fällt offenbar vielen Menschen sehr schwer abzuschätzen, welche Veränderungen die neue smarte Automobilwelt wirklich mit sich bringen wird und welche Sicherheitsvor- und –nachteile damit verbunden sein mögen“, sagt eco Kompetenzgruppenleiter Oliver Dehning.

Anders beim Smart Home: 99 Prozent (!) der aktuell Befragten mahnen mehr Sicherheitsbewusstsein bei der Vernetzung der eigenen vier Wände an. Ein Jahr zuvor hatte dieser Anteil bei 92 Prozent gelegen. „Das Bewusstsein für die Notwendigkeit von Sicherheit im Smart Home ist abnehmend gegen Null“, erklärt Oliver Dehning.