Vinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo Slider

Malecki Florian Sonic Wall(24. Januar 2017) Was Sicherheitsexperten schon lange befürchteten, wurde Ende 2016 auf erschreckende Weise Wirklichkeit: Das Internet der Dinge (IoT), einer der Megatrends der digitalen Ära, ist zu einer Plattform für Cyber-Angriffe geworden.

Ein Bot-Netz hatte mit der Schadsoftware Mirai den DNS-Provider DYN durch eine DDoS-Attacke lahmgelegt und damit eine der Schlüsselstellen des Internets. Es handelte sich um einen ziemlich massiven Angriff, denn erstmals wurde dabei ein Volumen von einem Terabit pro Sekunde überschritten. Massiv waren auch die Folgen: Große Content-Anbieter wie Amazon, Spotify oder Netflix waren durch diese Attacke vorübergehend nicht oder nur eingeschränkt erreichbar. Die Besonderheit des Vorfalls aber lag woanders: Für das betreffende Bot-Netz waren nicht wie sonst üblich "normale" Computer gekapert worden, sondern schlecht gesicherte IoT-Systeme, also beispielsweise IP-gesteuerte Thermostate, Kameras, Fernsehgeräte, Aufzüge oder Beleuchtungen; angeblich waren etwa 300.000 infizierte Geräte beteiligt. Es wird nicht der letzte Angriff dieser Art bleiben, denn es ist mittlerweile recht einfach, dergleichen auf die Welt loszulassen; so können im Darknet entsprechende DDoS-Angriffe zu überschaubaren Kosten von der Stange bestellt werden.   

Der Vorfall zeigt dramatisch, dass das Internet der Dinge nicht bloß eine Welt smarter Lösungen ist, sondern zugleich ein erhebliches Risiko für die IT-Sicherheit. Und zwar nicht nur für die schlecht gesicherten IoT-Systeme selbst, sondern – und das war bis zum DYN-Angriff den meisten vermutlich nicht bewusst – für die gesamte IT. Die Risiken beschränken sich nicht auf DDoS-Angriffe, denn eine erfolgreich angegriffene smarte Waschmaschine bestellt ja nicht einfach bloß das falsche Waschpulver nach: Die Angreifer könnten mittels einer integrierten Zahlungsfunktion über den Kühlschrank zum Beispiel fröhlich Schrott-Aktien ordern. Ein IoT-System kann genauso missbraucht werden wie ein beliebiges E-Commerce-Konto – mit dem Unterschied, dass es wesentlich schlechter gesichert ist.

Nun rächt es sich, dass man sich bei der Entwicklung der IoT-Systeme bisher auf die Anwendungsmöglichkeiten konzentriert hat, dass man nur die Realisierung von IoT-Prozessen bis hin zu ganz neuen Geschäftsmodellen gesehen hat – von der intelligenten Mülltonne bis zum automatischen Tracking von Produkten in einer Wertschöpfungskette –, dass man hier ein Szenario nach dem anderen bewundert hat, ohne dass die technische Basis dafür gesichert war.

Tatsächlich gibt es für IoT-Systeme kaum Standards, auch nicht für die Sicherheit. Dabei ist das IoT schon von Natur aus viel weniger sicher als ein ins Web eingebundener PC. Dieser lässt sich beispielsweise durch Patches und Updates vor aktuellen Bedrohungen schützen, während sich das bei einem Sensor in einem Aufzug oder in einem Windrad nicht so einfach durchführen lässt. Auch ein simpler Neustart, der am PC so manches Problem behebt, kommt hier nicht in Frage. Viele IoT-Komponenten sind hinsichtlich Speicherkapazität und Rechenleistung beschränkt, so dass bewährte Techniken wie Firewalls, VPNs oder Verschlüsselung nicht ohne weiteres auf die IoT-Welt übertragbar sind. Andererseits sind IoT-spezifische Techniken und Verfahren, mit denen beispielsweise Objekte Manipulationen erkennen oder sich auch untereinander identifizieren können, nicht oder nur rudimentär verfügbar.

Bislang scheinen viele Anbieter zu spekulieren, nach dem Motto: zuerst bringen wir das IoT zum Laufen und dann machen wir es sicher. Ein gefährlicher Ansatz auf dem Feld der IT-Sicherheit und erst recht im IoT-Umfeld. Denn zum einen haben solche Geräte und Anlagen eine erheblich längere Einsatzzeit als IT-Systeme, und was mal draußen im Feld ist, lässt sich meist nur mit großem Aufwand sichern. Sichergestellt wäre so zum anderen vor allem eines: dass die Gegenseite immer drei Schritte voraus ist.
Daher gibt es zum Konzept des "Security by Design" keine Alternative: Alle Komponenten im IoT müssen von Anbeginn auf höchste Sicherheit hin designt werden. Und die Industrie muss dafür entsprechende Standards schaffen. Sofort, denn das Internet der Dinge gibt es schon, und die Angreifer sind auch längst an der Arbeit.  

Autor: Florian Malecki (BILD), International Product Marketing Director bei SonicWall

Aktuelle Ausgabe

Titel 6 17Unter anderem lesen Sie in der aktuellen Ausgabe:

Ransomware: Bedrohung auf neuem Niveau

BITMi engagiert sich in der BVMW Mittelstandsallianz

ERP für den Mittelstand / Interview mit Peter Höhne, IFS: „Am Anfang muss man durch das Tal der Tränen“

Wie der Marktplatz Messe mit der Digitalisierung wächst

Lust auf mehr? - Einfach unter download als PDF

werbung messen

Partner

Mitgliedschaft

Newsletter

Ich möchte mich für den kostenlosen Newsletter an- oder abmelden