Von unserem Gastautor Guido Schaffner, Channel Sales Engineer, NETSCOUT Arbor

[datensicherheit.de, 18.02.2019] IoT-Geräte stellen weiterhin eine große Gefahr für Unternehmen dar. Immer noch sind diese unzureichend gesichert. Im Schnitt haben Anwender nur fünf Minuten Zeit, um die Werkseinstellungen ihrer IoT-Geräte zu verändern. Ansonsten droht eine Übernahme durch Hacker.

IoT-Hersteller vernachlässigen Security-by-Design

Sicherheitslücken, Schwachstellen und Default-Einstellung: Diese drei Kernaspekte beeinflussen maßgeblich die Sicherheit von IoT-Geräten. Kein Wunder also, dass vernetzte Devices bei Cyberkriminellen immer noch hoch im Kurs stehen, um diese missbräuchlich für ihre Zwecke zu nutzen. Anfällige IoT-Geräte können unter anderem Überwachungs- und Sicherheitskameras, Router, Smart-Factory-Devices, Steuerungssysteme, Türöffnungssysteme, Sensoren und Alarmanlagen sein.

Um die Geräte zu infiltrieren, nutzen Hacker die häufig werkseitig voreingestellten Standard-Benutzernamen und Standard-Passwörter wie etwa „1234“ (Default-Einstellung) aus. Spätestens seit 2016 die IoT-Malware Mirai den DNS-Dienst Dyn und Webdienste von Unternehmen weltweit lahmlegte, ist dieses Risiko weithin bekannt. Jüngstes Beispiel ist der taiwanesische Hersteller Resource Data Management für Kühlsysteme. Rund 7.000 Geräte sollen per Default-Hack zugänglich sein, darunter auch Geräte in Deutschland. Dennoch sehen viele Hersteller von IoT-Geräten häufig immer noch nicht vor, dass Anwender derartige Default-Einstellungen überhaupt ändern können. Hinzukommt, dass Hersteller bereits im Internet veröffentlichte Sicherheitslücken und Schwachstellen kaum oder gar nicht patchen. Das Konzept „Security-by-Design“, dass also Sicherheitsanforderungen bereits bei Konzipierung des Gerätes mitbedacht werden, bleibt bei vielen Herstellern immer noch unbeachtet. Sei es aus Ressourcenmangel oder wegen möglicher höherer Produktionskosten.

Hacker setzen IoT-Botnetze vor allem für DDoS-Attacken ein

Um Geräte zu kompromittieren, sind Brute-Force-Methoden immer noch das Mittel der Wahl. Hierbei versuchen die Cyberkriminellen, willkürlich gewählte Geräte automatisiert mit Passwort-Kombinationen bekannter Default-Einstellungen zu infiltrieren. Einmal gehackt, schließen Cyberkriminelle einzelne Geräte oft zu größeren und damit mächtigen Botnetzen zusammen. So ist zwar der Datenverkehr (Traffic), den ein zweckentfremdetes IoT-Gerät alleine generieren kann, nur gering. Doch werden Tausende von ihnen als Cluster zusammengeschlossen sind, können die Hacker Angriffe im dreistelligen Gbps (Gigabit pro Sekunde)-Bereich erzielen.

Vor allem Distributed-Denial-of-Service (DDoS) -Angriffe lassen sich über Botnetze schlagkräftig ausführen. Ziel der Angreifer ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die Motive reichen von Erpressung und Datendiebstahl über Wettbewerbsschädigung bis hin zu staatlicher Einflussnahme.

Mirai-Ableger sind immer noch hochgefährlich

Und das Gefahrenpotenzial von Botnetzen bleibt weiterhin hoch. So prognostiziert das Analystenhaus IHS Markit: Bis zum Jahr 2030 wird es mehr als 125 Milliarden IoT-Geräte geben. Auch Ableger des Mirai-Botnetzes sind weiterhin im Umlauf und richten Schaden an. Besonders in weiten Teilen Asiens, Brasilien und Spanien konzentrieren sich die Mirai-Botnetz-Knoten. Aktuelle Mirai-Ableger setzen beispielsweise Exploits ein, um Schwachstellen auszunutzen. Um im Internet offen zugängliche Geräte zu ermitteln, nutzen Hacker unter anderem die Suchmaschine Shodan.

Darüber hinaus haben Cyberkriminelle eine eigene Liste mit Benutzernamen und Passwörtern zusammengestellt, die in den öffentlichen Mirai-Quellcode aufgenommen wurde. Dieser Code ermöglichte es jeder Person mit minimalen technischen Fähigkeiten, sein eigenes IoT-Botnetz aufzubauen. So sind Mirai und seine Ableger in der Lage, mehrere Arten von DDoS-Angriffen sowohl auf Netzwerk- als auch auf der Anwendungsschicht zu durchzuführen. Darunter unter fallen Flooding-Angriffe und Überlastungsattacken auf Nameserver.

Wie Unternehmen ihre IoT-Geräte schützen können

Doch was können Unternehmen nun konkret umsetzen, um IoT-Geräte vor möglichem Missbrauch zu schützen?

1. Standard-Anmeldeinformationen ändern und Sicherheitsupdates aufspielen

Unternehmen sollten im ersten Schritt nur IoT-Geräte einsetzen, bei denen sie Default-Einstellungen selbst ändern können. Sind bereits vernetzte Devices im Einsatz, gilt es zu prüfen: Mit welchen Anmeldeinformationen sind diese derzeit ausgestattet. NETSCOUT Arbor hat eine Liste mit häufig verwendeten Kombinationen aus Benutzernamen und Passwörtern identifiziert. Einige davon sind auch im ursprünglichen Mirai-Quellcode oder in Mirai-Ablegern enthalten:

• admin/admin
• guest/12345
• root/vizxv
• root/xc3511
• support/support
• root/default
• default/default
• root/1001chin
• root/
• telnetadmin/telnetadmin
• root/ttnet
• root/taZz@23495859
• root/aquario
• e8telnet/e8telnet
• admin/
• telnet/telnet
• e8ehome/e8ehome
• root/cat1029
• root/5up
• root/ivdev
• admin/aquario
• root/zsun1188
• default/antslq
• root/founder88
• admin/ipcam_rt5350
• default/

Da Mirai und seine Ableger kontinuierlich das gesamte Internet nach anfälligen Geräten scannen, hilft der Neustart oder Zurücksetzen eines Devices nicht. Innerhalb kurzer Zeit kann ein Gerät wieder kompromittiert werden – dies hat der aktuelle Threat Intelligence Report von NETSCOUT ergeben. Darüber hinaus sollten Geräte über Firmware- und Software-Updates stets auf dem aktuellen Stand gehalten werden. Noch vor dem Kauf sollten Unternehmen prüfen, ob der Hersteller der IoT-Geräte überhaupt regelmäßige Sicherheitsupdates anbietet.

2. Bereits befallene Geräte identifizieren und nicht benötigte Dienste deaktivieren

Für Administratoren gilt es zu prüfen, ob bestehende IoT-Geräte möglicherweise bereits befallen sind. Dazu sollten sie vor allem die TCP-Ports TCP/23 und TCP/2323 kontrollieren, über die Mirai-Hacker den missbräuchlichen Zugriff auf Geräte erlangten. Auch UPnP (Universal Plug and Play)-Funktionen, etwa bei Routern und Kameras, sollten Unternehmen abstellen. So wurden im letzten Jahr aufgrund einer jahrelang unentdeckten UpnP-Lücke mehr als 100.000 Router kompromittiert und als Botnetz zusammengeschlossen. Grundsätzlich empfiehlt es sich, nicht benötigte Dienste und Funktionen an IoT-Geräten immer zu deaktivieren.

3. IoT-Geräte mit Filterrichtlinien ausstatten

Unternehmen sollten ihre Geräte darüber hinaus mit Filterrichtlinie ausstatten. Diese schränken ein, in welchem Umfang und mit welchen anderen Geräten oder Standorten die Devices kommunizieren können. Außerdem gilt es festzulegen, mit welchen Netzwerken sich die Geräte verbinden dürfen. Auch Zugriffskontrolllisten, sogenannte ACLs, können hilfreich sein, um festzulegen: Welcher Endnutzer kann wann Zugriff auf welches Device erhalten.

4. Einsatz von Zero-Trust-Modellen prüfen

Um die Sicherheit weiter zu erhöhen, kann ein Zero-Trust-Modell eingesetzt werden. Hierbei werden neben Geräten, auch alle Anwendungen, Dienste und Benutzer geprüft. Somit wird jeglicher Datenverkehr, ob extern oder intern, gleich behandelt – und als grundsätzlich nicht vertrauenswürdig eingestuft. Jedes Gerät, das mit dem Unternehmensnetzwerk verbunden ist, wird dabei isoliert, gesichert und kontrolliert. IoT-Geräte befinden sich zudem nur in dem Netzwerksegment, das für ihren Anwendungsfall bestimmt ist. Unternehmen sollten jedoch unbedingt bedenken, dass Zero-Trust-Modelle hochgradig aufwändig sind und daher entsprechende Ressourcen erfordern.

5. Honeypots nutzen und eigene Intelligence verbessern

Stehen dem Unternehmen eigene Security-Experten zur Verfügung, können sie mögliche Ziele durch den Einsatz von Honeypots identifizieren. Zu untersuchen, wie sich ein Botnetz verhält, kann dabei helfen, das Targeting und die Methodik der Hacker zu verstehen. Je mehr Unternehmen über die Taktiken, Techniken und Verfahren (TTPs) ihrer Angreifer wissen, desto besser können sie Schwachstellen identifizieren und sich verteidigen.

6. Mehrstufigen DDoS-Schutz implementieren

Zwar gab es in den letzten 24 Monaten einen dramatischen Anstieg der volumetrischen Distributed- Denial-of-Service (DDoS)-Angriffe, die von IoT-Botnetzen ausgelöst wurden. Doch künftig erwartet NETSCOUT Arbor komplexere Angriffe. So umfasst heutige Botnetz-Malware bereits verschiedene Angriffstechniken, die gleichzeitig über mehrere Vektoren ausgeführt werden können. Bereits 59 Prozent der Service Provider und 48 Prozent der weltweit in einer Studie befragten Unternehmen verzeichneten 2017 sogenannte Multivektor-Angriffe. Dies sind gleichzeitige Attacken auf die IT-Infrastruktur an verschiedenen und potenziellen Schwachstellen. Dies erschwert Unternehmen die Abwehr, während die Erfolgschancen der Angreifer steigen.

Sicherheitsexperten sind sich daher einig, dass Unternehmen auf mehrstufige DDoS-Abwehrmaßnahmen setzen sollten. Mehrstufige Abwehrlösungen setzen sich aus einer vor Ort installierten Komponente und aus einer Cloud- beziehungsweise beim Internet Service Provider (ISP) vorhandenen Komponente zusammen. Die On-Premise-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von Angriffen, bevor es zu Auswirkungen auf Dienste kommt. Außerdem eignet sich diese besonders für die Abwehr von Attacken auf Anwendungsebene. Hochvolumige Angriffe werden hingegen in der Cloud direkt beim ISP mitigiert.

Auch Laien können Botnetz-Angriffe durchführen

Vor allem der öffentlich zugängliche Schadcode von Mirai, auf denen heute noch viele IoT-Botnetze basieren, bleibt gefährlich. So wurde die ursprüngliche Mirai-Codebasis kontinuierlich um neue Funktionen erweitert, sodass zahlreiche weitere Varianten wie etwa OMG, JENX, Satori und IoTrojan existieren. Akteure gehen außerdem dazu über, bestehende Botnetze an Dritte weiterzuvermieten. Diese sind dann in der Lage, einen Angriff gegen Bezahlung ausführen. Für 7.500 US-Dollar wurde beispielsweise der Zugriff auf das Mirai-Botnetz gewährt. Ein kurzzeitiger Angriff über ein vergleichsweise kleines Botnetz lässt sich heute schon für weniger als 5 US-Dollar im Darknet akquirieren. Unternehmen müssen sich also der Gefahrenlage bewusst sein und entsprechend vorbereiten. Da Botnetze vor allem für DDoS-Attacken genutzt werden, ist eine geeignete DDoS-Abwehrlösung unabdingbar. Diese Lösung sollte, laut übereinstimmender Meinung von Sicherheitsexperten, mehrstufige Abwehrfunktionen enthalten.

Bild: NETSCOUT Arbor

Guido Schaffner ist Channel Sales Engineer bei NETSCOUT Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen. Dort ist er verantwortlich für die DDoS-Abwehrlösungen von NETSCOUT Arbor sowie das Channel-Geschäft in der DACH-Region. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.

Weitere Informationen zum Thema:

datensicherheot.de, 24.10.2018
IoT-Botnetze nutzen weiterhin erfolgreich Standardpasswörter aus

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 08.09.2018
Studie: Wenig Mitspracherecht bei IoT-Entscheidungen für Sicherheitsverantwortliche

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

[datensicherheit.de, 18.09.2017] Im Rahmen der „Sommerakademie 2017“ des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH) am 18. September 2017 in Kiel haben Experten mit den mehr als 400 Teilnehmern die heutige Technik-Nutzung, Effekte der Digitalisierung und die neue Welt des „Internet of Things“, wenn alle Geräte miteinander vernetzt sein können und sich austauschen, ohne einzelne Entscheidungen ihrer Nutzer abzuwarten, diskutiert. Erörtert wurde demnach, wie viel Datenschutz im „Smart Car“ oder in der „Smart City“ vorkonfiguriert sein muss, ob die Hersteller über die Datenschutz-Voreinstellungen bestimmen und ob sich der Staat einmischen muss…

1983 Begründung des Rechte auf informationelle Selbstbestimmung

In seinem Grußwort führte Dr. Ulf Kämpfer, Oberbürgermeister der Landeshauptstadt Kiel, aus, wie wichtig das Zusammenspiel von Digitalisierung und Datenschutz sei. Die Wichtigkeit des für den Datenschutz zentralen Bundesverfassungsgerichtsurteils von 1983, in dem das Recht auf informationelle Selbstbestimmung begründet wurde, sei ihm schon als Kind deutlich geworden; später im Berufsleben habe Datenschutz natürlich auch dazugehört. Als Begründer der „Digitalen Woche Kiel“ sei er begeistert von dem Engagement so vieler Akteure: Das ULD mit 15 eigenen Veranstaltungen – neben der Sommerakademie – gehöre auch dazu.

Viele Gründe für faktisch „informationelle Nichtbestimmung“

Marit Hansen, Leiterin des ULD und Landesbeauftragte für Datenschutz Schleswig-Holstein erläuterte, dass viele Gründe zu einer faktischen „informationellen Nichtbestimmung“ führen könnten: Überlastung, Bequemlichkeit, zu hoher Aufwand, Hilflosigkeit oder Resignation.
Sie stellte die heutige Situation des „eingebauten Datenschutzes“ dar: Dieser sei leider keineswegs eine Selbstverständlichkeit, stattdessen seien Verkettbarkeit und Identifizierbarkeit in der Technik implementiert, gegen die sich Nutzende kaum wehren könnten. Als Beispiele nannte sie die „yellow dots“ (gelbe Punkte), die von den meisten Farbkopierern ohne Wissen der Nutzer in die gedruckten Seiten eingefügt werden und Informationen über Datum, Zeit und Seriennummer des Geräts enthalten. Obwohl dies schon im Jahr 2005 von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) bekannt gemacht worden sei, habe bisher niemand etwas dagegen unternommen. Im Sommer 2017 sei bekannt geworden, dass diese gelben Punkte dazu beigetragen haben sollen, eine Whistleblowerin zu enttarnen. Eine Rechtsgrundlage für das Eincodieren dieser Informationen sei nicht bekannt – die Hersteller seien vermutlich einem Wunsch der US-amerikanischen Sicherheitsbehörden nachgekommen. Ein Beispiel, in dem Nutzende gar nicht bestimmen könnten – und die meisten von diesen kennzeichnenden Punkten wohl noch nicht einmal wüssten. Ähnliches gelte für Metadaten in Office-Dateien und in Fotos, bei denen unwissentlich sensible Informationen weitergegeben werden könnten.
Hansen kritisierte außerdem die Zumutung des Prinzips „Take it or leave it“ („Nimm es, wie es ist, oder lass es bleiben“), mit dem datenhungrige Apps auf dem Smartphone alle möglichen Zugriffsberechtigungen begehrten. Sich gegen zu weitgehende Zugriffe der Apps zu wehren, funktioniere allenfalls eingeschränkt – oft könne man die App dann nicht nutzen. Dies muss sich nach Auffassung der Landesdatenschutzbeauftragten dringend ändern – im Sinne einer fairen Digitalisierung und spätestens ab dem 25. Mai 2018 auch wegen der Anforderungen der Europäischen Datenschutz-Grundverordnung, die eingebauten Datenschutz und datenminimierende Voreinstellungen verlangt.

Zivilisatorische Werte bleiben in eigener Verantwortung

Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz und Bundesbeauftragter für den
Datenschutz und die Informationsfreiheit a. D., hat sich seit Jahrzehnten mit der Entwicklung des Datenschutzes beschäftigt. Er knüpfte an Erwartungen aus der Vergangenheit an den Datenschutz an: „Datenschutz soll sexy sein!“, kam aber zu dem Schluss, dass der Sex-Appeal des Datenschutzes immer noch begrenzt sei.
Viele Nutzer machten sich mit der Installation von mit Mikrofonen ausgestatteten Lautsprecherboxen freiwillig zu Opfern großer Lauschangriffe – dies sei eine bereitwillige Selbst-Verwanzung der Privaträume.
Ähnlich wie beim Umweltschutz gehe es auch beim Datenschutz um Nachhaltigkeit: Zivilisatorische Werte und Prinzipien, Demokratie, Freiheit des Individuums, verbriefte Grund- und Menschenrechte ließen sich in der Informationsgesellschaft nur bewahren, wenn wir ihre Durchsetzung als persönliche, technologische und gesellschaftliche Aufgabe begreifen, die sich nicht auf eine Behörde oder einen Datenschutzbeauftragten delegieren lassen.

Datenschutz als Individualrechtsschutz bei Algorithmen unwirksam

Die Forscherin Lorena Jaume-Pasalí von AlgorithmWatch wies darauf hin, dass Datenschutz als Individualrechtsschutz bei Algorithmen nicht wirke, um Diskriminierungen und andere unerwünschte Effekte zu verhindern.
Vielmehr wäre ein kollektiver Ansatz erforderlich, der jedoch rechtlich und gesellschaftlich heutzutage unterentwickelt sei. Auch seien die Datenschutzbehörden nicht die richtigen Akteure, um Fairness der technischen Systeme zu gewährleisten. Selbst wenn kein Personenbezug vorläge, könnten Algorithmen gesellschaftlich wesentliche Auswirkungen
haben.

Best-Practice-Beispiele für Datenschutz durch Technik gefordert

Susanne Dehmel vom Bitkom e.V. stellte aus Sicht der Wirtschaft drei Thesen auf:

1. Datenschutz könne durch Voreinstellung die Selbstbestimmung des Nutzers nicht ersetzen.
2. Niemand kaufe ein Produkt, nur weil der Datenschutz so gut sei – allerdings könnten Konsumenten durchaus auf ein Produkt verzichten, wenn IT-Sicherheits- und Datenschutzmängel bestünden.
3. Das Prinzip „Viel hilft viel“ gelte nicht für Datenschutzerklärungen. Sie wünsche sich Best-Practice-Beispiele für Datenschutz durch Technik.

„Privacy by Design“ muss schon am Anfang einer Entwicklung stehen!

Frank Wagner, Deutsche Telekom AG, gab einen Einblick in die Datenschutz-Entwicklungen bei dem Telekommunikationsunternehmen.
Datenschutz gehöre einfach dazu – wie bei einem Neuwagen, bei dem auch ein bestandener TÜV eine Selbstverständlichkeit sei. „Privacy by Design“ müsse schon am Anfang einer Entwicklung stehen.
Wichtig seien nicht nur die Voreinstellungen – „Privacy by Default“ käme zu spät, wenn nicht schon die richtigen Design-Entscheidungen getroffen seien. Dazu solle man auch „out of the box“ denken:
Statt z.B. einen Dienstleister einzuschalten, der bei verlorenen Handys eine Lokalisierung oder eine Löschung ermöglichen würde und dafür jederzeit auch bei der berechtigten Nutzung den Aufenthaltsort sehen und speichern könne, wäre dies auch möglich ohne Einbindung eines Dienstleisters – so hätten sie eine Lösung entwickelt, bei der im Fall des Verlusts des Handys eine Fernsteuer-SMS mit einem Kennwort von einem anderen Gerät abgesandt werden könne, um die Lokalisierung vorzunehmen.

Datenschützer als „Agenten der Demokratie und der Freiheit“

Paul Nemitz, Leitender Beamter in der Generaldirektion für Justiz und Verbraucher der Europäischen Kommission, richtete seinen Appell zunächst an die Wirtschaft, weil seiner Ansicht nach mit Datenschutz viel Geld zu verdienen sei.
Zudem gebe es aber auch viel Potenzial bei Anwendungen, die ohne personenbezogene Daten auskommen würden. Für die Umsetzung der Datenschutz-Grundverordnung könnten mit unternehmerischer Offenheit insbesondere zwei Arten von IT-Lösungen entwickelt werden:
Zum einen Lösungen für Anwender, beispielsweise Dashboards für Unternehmen, um festzustellen und zu visualisieren, wo welche personenbezogenen Daten verarbeitet werden, zum anderen Prüftechniken für Behörden und die Zivilgesellschaft, um die Einhaltung der Datenschutzregeln überprüfen zu können.
Alle, die sich mit Datenschutz beschäftigen, seien „Agenten der Demokratie und der Freiheit“.

Neue Spielregeln auf Basis der EU-DSGVO gelten für alle

In der sich anschließenden, von Barbara Körffer, der stellvertretenden Landesbeauftragten für Datenschutz Schleswig-Holstein, moderierten Podiumsdiskussion ging es um die Erwartungen an die Wirtschaft und an Datenschutzbehörden:
Alle müssten nun die neuen Spielregeln, die sich mit der Datenschutz-Grundverordnung ändern würden, verwenden. Es böte sich an, dass Anwender ebenso wie Entwickler gleichzeitig „Security by Design“ und eingebauten Datenschutz voranbrächten. Transparenz sei auch bei Algorithmen vonnöten; die Datenschutz-Grundverordnung sehe aussagekräftige Informationen über die Logik vor.

Weitere Informationen zum Thema:

ULD Schleswig-Holstein
Sommerakademie 2017: Herausforderung „Informationelle Nichtbestimmung“

datensicherheit.de, 31.07.2017
Datenschutz-Sommerakademie 2017 am 18. September in Kiel

[datensicherheit.de, 22.08.2017] In einer aktuellen Stellungnahme betont der eco – Verband der Internetwirtschaft e.V., dass schlecht programmierte, schlecht gewartete bzw. schlecht konfigurierte Software zu den meisten erfolgreichen Cyber-Angriffen führt – das zeigten Cyber-Bedrohungen wie „WannaCry“, „Locky“ oder das „Mirai“-Botnet. Hersteller werden daher aufgerufen, mit „Security by Design“ von Anfang an widerstandsfähige Software anzubieten und damit Kosten zu senken sowie ihr Renommee zu erhöhen.

Sicherheit von Anfang an – statt ständig neue Patches anzubieten!

„Es lassen sich viele Kosten senken, wenn Hersteller von Software die Sicherheit von Anfang an stärker berücksichtigen, statt ständig neue Patches zur Verfügung zu stellen“, betont Cyber-Security-Experte Felix von Leitner. Stattdessen habe man aber eine „resignative Grundhaltung“ eingenommen – ein Weltbild, „in dem Software halt Sicherheitslöcher hat, und Hacker diese halt ausnutzen“, so von Leitner weiter.
Dagegen halten könnten Software-Entwickler mit „Security by Design“. Mit diesem Konzept lasse sich Software weitestgehend frei von Schwachstellen so unempfindlich gegen Angriffe wie möglich entwerfen. „Das gelingt, wenn Entwickler die Sicherheit bereits im Entstehungsprozess einer Software einplanen und von Anfang an mitdenken“, sagt Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices beim eco–Verband. Von der Ideenphase an müsse Sicherheit eines der Designkriterien sein. Entwickler sollten sich auch die Frage stellen, ob sich ihre Idee unter Sicherheitsgesichtspunkten überhaupt wie geplant realisieren lässt, erläutert Schaffrin.

Davon wegkommen, nicht ausgereifte Software auszuliefern!

In der Realität hingegen würden Sicherheitsaspekte viel zu häufig der kurzfristigen Wirtschaftlichkeit untergeordnet. Das führe dazu, dass im Lebenszyklus einer Anwendung immer neue Lücken gefunden würden, die es dann mittels teurer und aufwendiger Patch-Zyklen zu stopfen gelte.
„Wir müssen davon wegkommen, nicht ausgereifte Software auszuliefern. Die Risiken trägt zurzeit der Kunde alleine“, kritisiert von Leitner. Einige Hersteller verweigerten sogar kritische Sicherheitsupdates, wenn der Kunde keinen Support-Vertrag unterschrieben hat. Von Leitner: „Das ist die Art von Nährboden, auf der landesweite IT-Verwundbarkeit gedeiht.“

Ausgereifte Software: Stärkung des Renommees und Kostensenkung

Dabei sei „Security by Design“ unabdingbar für nachhaltigen unternehmerischen Erfolg: Hersteller verbesserten ihre Anwendungssicherheit und senkten damit die Kosten für die Entwicklung und das Ausspielen von Patches. Wer von Anfang an sichere Software bietet, erhöhe auch sein Renommee, denn Sicherheit sei für viele Kunden ein wichtiges Qualitätskriterium.

„Internet Security Days 2017“ am 28. und 29. September 2017

„Security by Design“ ist laut eco eines von fünf Schwerpunktthemen der „Internet Security Days 2017“ am 28. und 29. September 2017: Im „Phantasialand“ in Brühl bei Köln sprechen neben Felix von Leitner zahlreiche Experten zum Thema und geben wertvolle Praxistipps.

Weitere Informationen zum Thema:

eco
Agenda der „Internet Security Days 2017“

datensicherheit.de, 30.03.2016
Internet Security Days 2016 am 22. und 23. September im Phantasialand

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing

[datensicherheit.de, 13.11.2014] In der IT-Branche werden hohe Erwartungen in das „Internet der Dinge“ (engl. „Internet of Things“, IoT) gesetzt – großen wie kleineren Unternehmen und auch Behörden könnte es enorme Vorteile bringen, denn das Potenzial für Einblicke in „Echtzeit“, erweiterte Big-Data-Analysen und hochwertige „Business Intelligence“ erscheint unbegrenzt. Nichtsdestotrotz müssen Unternehmensführer und Entscheidungsträger erkennen, dass es durchaus kein einfacher Prozess sein wird, das IoT erfolgreich zu nutzen. Der hohe Vernetzungsgrad bietet neue Möglichkeiten, schafft aber eben auch neue Schwachstellen. Diese sind ein Problem für Nutzer wie Anbieter von IoT-Lösungen und -Geräten.

Bequemlichkeit schafft weiche Flanken im Haushalt

Selbst die einfachsten Haushaltsartikel könnten in das IoT eingebunden werden – intelligente Leuchtmittel z.B., die sich mit den WLAN-Netzwerken der Besitzer so verbinden, dass diese die Beleuchtung ihrer Häuser über Smartphone oder Tablet steuern können. Durch Ausnutzen einer Sicherheitslücke könnten sich Hacker Zugang zum WLAN-Netzwerk eines Benutzers verschaffen und die Macht über das heimische Beleuchtungsmanagement übernehmen.
Für das IoT gilt also noch mehr denn je, das Heimnetzwerk zu schützen.

Unternehmen müssen ihre IoT-Kontaktpunkte identifizieren

Mit der Ausbreitung des IoT werden Unternehmen unweigerlich noch mehr miteinander verbundene Geräte verwenden. Nicht behobene Schwachstellen auf diesen Rechnern können und werden direkt zu verheerenden Fällen von Datenmissbrauch und anderen Datenschutzvorfällen führen. Unternehmen müssen deshalb zunächst ihre IoT-Kontaktpunkte identifizieren. Seinem Wesen nach schafft das IoT eine große Anzahl dieser Punkte.
Jeder einzelne Anwender kann somit potenziell als Zugang für einen feindlichen Cyberangriff dienen – durch bösartige Zugriffe über die von ihm genutzten ungesicherten Geräte. Jede Firma, die die Vorteile des IoT nutzen will, braucht also gründliche Kenntnis davon, wo diese Schwachstellen entstehen können. Der Schutz sensibler interner Informationen wird in Zukunft noch schwieriger.

Sicherheitsproblemen von IoT-Produkten schon auf Design- und Produktionsebene begegnen

Offensichtlich könnte ein Missbrauch, wie z.B. auf die oben beschriebene Hausbeleuchtung, schwerwiegende Folgen für den Hausbesitzer haben. Aber der Lösungsanbieter selbst dürfte überproportional mehr von IoT-Sicherheitslücken betroffen sein. Denn Verbraucher sind sich heutzutage stärker bewusst, wie wichtig es ist Identitäten zu schützen – sie wissen, dass sie vorsichtig mit ihren sensiblen Daten umgehen müssen, um einen möglichen Identitätsdiebstahl oder Betrug zu vermeiden.
Ein großer Teil dieser Vorsichtsmaßnahmen besteht darin, Unternehmen zu meiden, bei denen Datenmissbrauch oder andere Sicherheitsvorfälle bekannt geworden sind. Ruf und Umsatz einer Firma, die IoT-fähige Geräte anbietet, würden nachhaltig beschädigt, wenn derartige Sicherheitsmängel ans Licht kommen.
Unternehmen, die IoT-fähige Produkte und Dienste anbieten, müssen also die Zugangspunkte kennen, die ihre Produkte schaffen – und sie müssen diese Informationen klar an potenzielle Kunden vermitteln. Sicherheitsproblemen von IoT-Produkten sollte schon auf der Design- und Produktionsebene begegnet werden.

IoT: Neue Sicherheitsansätze gefragt

Mit den prognostizierten 50 Milliarden „Dingen“ des Internets, die den Markt mittelfristig geradezu überschwemmen werden, müssen IoT-Unternehmen Sicherheitsprobleme von Beginn des Entwicklungsprozesses an bedenken. Das betrifft sämtliche der hier kurz angerissenen potenziellen Risiken.

Weitere Informationen zum Thema:

GlobalSign
GlobalSign – Europas globales TrustCenter

datensicherheit.de, 17.09.2014
Internet of Everything: Cisco eröffnet Forschungszentrum in Berlin

datensicherheit.de, 13.04.2010
IoT/RFID-Technologie im Flugverkehr: Herausforderungen und Risiken müssen identifiziert und proaktiv angegangen werden

[datensicherheit.de, 08.09.2014] Wie lässt sich ausreichende IT-Sicherheit für die Industrie der Zukunft erreichen? Diese Frage diskutierten Experten aus Industrie und Informationstechnik in einem Fachgespräch im Kloster Eberbach. Ausgehend von den wesentlichen Herausforderungen erarbeiteten die Teilnehmer konkrete Lösungsvorschläge. Hierzu gehören unter anderem Security by Design-Methoden für das industrielle Umfeld, konkrete Bauanleitungen und Mindeststandards für Anlagen und Komponenten sowie eine herstellerübergreifende Systematik, um industrielle IT-Sicherheit aussagekräftig bewerten zu können. Die vollständigen Ergebnisse dieses Eberbacher Gesprächs hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT jetzt in einem Bericht veröffentlicht, der kostenlos heruntergeladen werden kann. „Unsere Veröffentlichung beschreibt die wichtigsten Aufgabenstellungen, die Forschung und Entwicklung zur industriellen IT-Sicherheit in den nächsten Jahren lösen müssen“, sagt Institutsleiter Michael Waidner.

© Fraunhofer SIT

Der Weg zur sicheren Industrie 4.0

Die IT-getriebene Entwicklung der Industrie bezeichnet man in Deutschland als die Vierte industrielle Revolution oder kurz als Industrie 4.0. Bereits heute ist das Produktionsumfeld den gleichen Angriffen und Gefahren ausgesetzt wie die klassische IT-Welt, ohne dass es ausreichende Lösungen für industrielle IT-Sicherheit gibt. Beispielsweise können Anlagenbauer und produzierende Unternehmen bislang nicht die IT-Sicherheit von Anlagen aussagekräftig bewerten, weil es an Beschreibungsmöglichkeiten und Kennzahlensystemen mangelt. Grund hierfür ist, dass sich Forschung und Entwicklung in der IT-Sicherheit bislang vorwiegend mit der Absicherung der klassischen IT und insbesondere der Unternehmens-IT beschäftigt haben. „Die etablierten IT-Sicherheitsmethoden lassen sich prinzipiell auf die Produktions-IT übertragen“, so Michael Waidner. „Im Detail zeigen sich aber deutliche Unterschiede zwischen den beiden Welten und damit Anpassungsbedarf. So müssen zum Beispiel in industriellen Infrastrukturen anders als in der Unternehmens-IT Reaktionen in Echtzeit erfolgen.“

Im Rahmen des Eberbacher Gesprächs identifizierten die Teilnehmer sechs Handlungsfelder, die für die Realisierung einer sicheren Industrie 4.0 von entscheidender Bedeutung sind. Hierzu zählt die Erarbeitung von Bauanleitungen und Mindeststandards: Anlagenplaner, Integratoren und Betreiber benötigen konkrete Leitfäden für Planung und Betrieb von Systemen. Für die Modernisierung bestehender Anlagen braucht es darüber hinaus auch ein Reifegradmodell, mit dem sich Übergangsstrategien entwickeln und die dafür notwendigen Investitionen verlässlich planen lassen.

Ein weiteres wichtiges Thema ist Security by Design, also die Berücksichtigung von IT-Sicherheit bereits in Planung und Entwurf. Hierfür gilt es, Methoden und Werkzeuge zu entwickeln, die den technischen und organisatorischen Anforderungen der industriellen Welt gerecht werden. Um ausreichende Verlässlichkeit in der Industrie 4.0 zu gewährleisten, so das Expertengremium, braucht es außerdem eine Vertrauensinfrastruktur, die verlässliche Identitäten und Systemintegrität entlang von Wertschöpfungsketten gewährleistet. Als Basis hierfür sehen die Experten die kryptografisch basierte Ende-zu-Ende-Sicherheit. Diese müsse in Referenzarchitekturen praktisch erprobt werden. Hierzu gehören auch Systeme, welche die Integrität von cyberphysischen Systemen prüfen und Angriffe automatisch erkennen und abwehren können.

Weitere Informationen zumThema:

Fraunhofer SIT
Eberbacher Gespräch zu »Sicherheit in der Industrie 4.0«

[datensicherheit.de, 06.06.2013] Hersteller von Software sehen in der IT-Sicherheit sowohl ein Risiko als auch eine Chance im globalen Wettbewerb. Die drei vom Bundesministerium für Bildung und Forschung (BMBF) geförderten deutschen Kompetenzzentren für IT-Sicherheit – CISPA, EC SPRIDE und KASTEL – unterstützen Hersteller bei der Entwicklung von sicherer Software: In ihrem aktuellen Trend- und Strategiebericht „Entwicklung Sicherer Software durch Security by Design“ erörtern sie Herausforderungen und Lösungswege. KASTEL ist als Kompetenzzentrum für Angewandte Sicherheits-Technologie am Karlsruher Institut für Technologie (KIT) angesiedelt.

Softwarehersteller wissen: IT-Sicherheit ist neben der eigentlichen Funktionalität eine immer wichtigere Produkteigenschaft. Um Softwareprodukte sicherer zu machen, müssen IT-Sicherheitsfragen von Beginn des Herstellungsprozesses an berücksichtigt werden. Bezieht man sie zu spät ein, können neben den Kosten für die nachträgliche Behebung von Schwachstellen möglicherweise sogar Schadensersatzklagen sowie ein langfristiger Image- und Vertrauensverlust drohen. In Zukunft werden sich die Probleme noch verstärken: Die Komplexität von Software wird weiter zunehmen und die nachträgliche Absicherung von Software wird immer aufwendiger und teurer. Eine frühe systematische Berücksichtigung von Sicherheit bei der Softwareherstellung hat eine strategische Dimension und wird zum Wettbewerbsvorteil. Die Kompetenzzentren CISPA, EC SPRIDE und KASTEL zeigen der Softwareindustrie in ihrem Trend- und Strategiebericht Wege und Ansatzpunkte zur Verbesserung der Softwaresicherheit. „Security by Design berücksichtigt Sicherheitsaspekte von Anfang an. Wichtig ist etwa, die Komplexität beherrschbar zu halten. Sicherheit kann man dagegen nicht nachträglich in ein fertiges Produkt einbauen“, erklärt Professor Dr. Jörn Müller-Quade, Sprecher von KASTEL.

Die Zentren haben sich mit den Herausforderungen und Problemen der heutigen Softwareindustrie in Bezug auf IT-Sicherheit beschäftigt und Fragen aufgezeigt, die zur Verbesserung der Softwarequalität beantwortet werden müssen. Einige der Anregungen des Berichtes können unmittelbar gewinnbringend von der Softwareindustrie umgesetzt werden, andere brauchen noch industrielle Vorlaufforschung. Die perspektivischen Punkte müssen bei der Planung zukünftiger Forschungsprogramme von Fördergebern, von einschlägigen Forschungseinrichtungen und von Forschungsabteilungen der Softwareindustrie berücksichtigt werden. Die Zentren wollen die Forschung maßgeblich vorantreiben und Partnerunternehmen unterstützen. „IT-Systeme sind hochkomplex und IT-Sicherheit muss daher interdisziplinär sein. Ein wichtiges Forschungsziel ist, eine gemeinsame Sprache über verschiedene Disziplinen hinweg zu entwickeln“, so Müller-Quade.

Das Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) bündelt die Kompetenzen in der IT-Sicherheit am Karlsruher Institut für Technologie (KIT), dem Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung (IOSB) und dem Forschungszentrum Informatik (FZI), um die zukünftigen Anforderungen an IT-Sicherheit zu meistern. Ziel der Bündelung sind die Abkehr von isolierten Teillösungen und die Entwicklung eines ganzheitlichen Ansatzes, der auf die Gesamtsicherheit von Anwendungen zielt.

Weitere Informationen zum Thema:

Fraunhofer SIT
Trend- und Strategiebericht „Entwicklung sicherer Software durch Security by Design“