© Charles Taylor, 123RF
Gekaperte Überwachungskameras, Botnetze aus DVR-Geräten, Routern und Druckern: Das mit einer Unzahl von Geräten bestückte Internet der Dinge ist ein sicherheitstechnisches Minenfeld. Verbände, Behörden und Organisationen versuchen mit Ratgebern und Testumgebungen gegenzusteuern.
“Bei der Entwicklung von IoT-Geräten ist der Aspekt der Informationssicherheit typischerweise ein nicht oder nur nachrangig beachtetes Entwurfsziel”, so formuliert das Bundesamt für Sicherheit in der Informationstechnik (BSI, [1]) in trockenen Worten das Hauptproblem des Internet of Things (IoT). Die Hersteller werfen teilweise massenhaft Geräte mit Internetkonnektivität auf den Markt, denen es selbst an einfachen Schutzmaßnahmen fehlt, etwa der Möglichkeit, Passwörter zu vergeben.
Ungeahntes Potenzial
Der Ende 2016 über das Mirai-Botnetz, benannt nach der Linux-Schadsoftware Mirai, gegen den DNS-Spezialisten Dyn ausgeführte Angriff gilt als eine der größten DDoS-Attacken aller Zeiten. Da Dyn die Kontrolle über seine DNS-Infrastruktur verloren hatte, lagen unter anderem Twitter, Netflix und Reddit lahm. DDoS-Angriffe sind zwar keine Seltenheit, wenn sie aber über IP-Adressen im zweistelligen Millionenbereich kommen, helfen die üblichen Vorkehrungen gegen die explodierende Serverlast nichts mehr.
Dass der überbordende Angriff unter anderem von Webcams, Routern und Druckern ausging, machte die Sache besonders heikel. Nach Erkenntnissen des BSI scannten diese Geräte zudem selbstständig das Internet nach weiteren Kandidaten, die sich mit der Schadsoftware infizieren ließen und damit der Erweiterung des Botnetzes dienten.
Mirai hat auch nach der Angriffswelle nicht ausgedient. In ihren diversen Varianten findet die Schadsoftware immer noch Anwendung, eine davon versucht die infizierten Geräte zum Bitcoin-Mining zu missbrauchen.
Nicht grundlos warnt Arne Schönbohm, Präsident des BSI, davor, dass die möglichen Auswirkungen der Cyberattacken vielfältig seien. Neben direkten Angriffen auf die Privatsphäre, persönliche Daten, Zugangsinformationen und Vermögenswerte des Endnutzers führe der Missbrauch von IoT-Geräten durch DDoS-Angriffe auf größere und kritische Infrastrukturkomponenten und Services zu großen wirtschaftlichen Schäden.
Auch die Deutsche Telekom geriet unter die Mirai-Angriffswelle, die ein Anfang des Jahres 2017 verhafteter Brite verursacht haben soll. Über eine Million Telekom-Router soll er attackiert haben. Ein Botnetz zu schaffen gelang dem Angreifer zwar nicht, die Router abstürzen zu lassen aber schon.
Einmaleins der Sicherheit
Das BSI (Abbildung 1) deckt mit seinen IT-Grundschutz-Katalogen auch das Internet der Dinge ab [2]. Ziel des IoT-Kompendiums ist es laut der Behörde, Geräte so abzusichern, dass sie weder die Sicherheit der Informationen und IT der eigenen Institution noch die von Außenstehenden beeinträchtigen. Es gelte deshalb, den unautorisierten Datenabfluss und auch die Manipulation der Geräte zu verhindern – und dies speziell mit Blick auf Angriffe auf Dritte.
Abbildung 1: Sicherheitaufgaben: Das nationale IT-Lagezentrum im BSI.
Wenn Unternehmen oder Institutionen IoT-Geräte einsetzen, müssen die Geräte ein Minimum an Sicherheitskriterien erfüllen, fordert das BSI. Das beginne mit der zwingend vorhandenen Update-Funktion und einem entsprechenden Angebot des Hersteller zu einem Update-Prozess. Die Geräte, so ist es im IT-Grundschutz formuliert, müssen eine Authentisierung ermöglichen und dürfen keine fest kodierten Zugangsdaten haben. Es genüge auch nicht, dass eine Authentisierung vorhanden sei, diese müsse auch aktiviert sein. Die Verwendung sicherer Passwörter sei dann ebenso selbstverständlich wie die Formulierung einer Passwort-Richtlinie zur Komplexität, der Geheimhaltung und der Wechselintervalle.
Zu den Aufgaben der Firmen-IT zähle es auch, sicherzustellen, dass IoT-Geräte ein auf Verschlüsselung basierendes Protokoll wie SSL/TLS sowie SSH unterstützen. Fehle dem Gerät diese Verchlüsselungsoption, sollte ein Virtual Private Network (VPN) zum Einsatz kommen. Werden die Geräte schließlich nicht mehr benötigt, sollte bei der Außerbetriebnahme sichergestellt werden, dass keine wichtigen Daten auf dort eventuell verbauten Datenträgern verbleiben, mahnt das BSI.
Weil IP-basierte Überwachungskameras wiederholt zum Ziel von Angriffen wurden – sei es durch Mirai, aber auch durch den Schädling Conficker –, hat das BSI dafür einen eigenen Leitfaden entwickelt und auf den Webseiten der vom BSI initiierten Allianz für Cybersicherheit gestellt [3]. Grundsätzlich sei von Überwachungskameras mit Cloud-Konzepten abzuraten, heißt es dort, und ebenso von solchen, die ausschließlich aufs WLAN als Übertragungsschnittstelle setzen. Die verschlüsselte Übertragung der Daten sollte ebenso selbstverständlich sein.
Testumgebungen
Um das Problem an der Wurzel zu packen, also bereits bei der Entwicklung der Software und wahlweise Firmware für das IoT, gibt es verschiedene Bemühungen. Die Eclipse Foundation etwa bietet seit Anfang 2017 das IoT-Open-Testbed [4] an. Die zugehörige Workgroup hofft, dass sich damit offene Standards und freie Software in der Industrie etablieren. Bei Eclipse sind rund 30 Open-Source-Projekte beteiligt, die sich mit dem Thema IoT befassen. Anwendungsbeispiele und Referenzarchitekturen sollen nun die Entwicklungsweichen für ein sicheres Internet der Dinge mit Eclipse-Beteiligung stellen.
Die beiden bislang veröffentlichten Testumgebung befassen sich mit dem Asset Tracking und dem Production Performance Management. Es kommen dort unter anderem die Eclipse-Verwandten Kura, Kapua, Paho und Che zum Einsatz. Bei der Eclipse-Workgroup beteiligen sich die Firmen Bosch, Red Hat und Eurotech im Führungskomitee. Im erweiterten Zirkel sind Ubuntu, CA (ehemals Computer Associates), Cloudera und die von der Deutschen Telekom initiierte Smart-Home-Initiative Quivicon [5].
Das Open Web Application Security Project (OWASP, [6]), eine in den USA gegründete Non-Profit-Organisation, die international tätig ist, verfolgt ein ähnliches Ziel. Die vom OWASP definierten Entwicklungsprinzipien für das Internet der Dinge würden, wären alle Hersteller und Entwickler dazu bereit, ihnen zu folgen, allein ausreichend, um für mehr Sicherheit und Qualität zu sorgen. Es sollten Funktionen vorhanden sein, um Anmelde-Informationen neu zu vergeben, Teilnehmer auszuschließen und Sicherheits-Patches und -Updates zu verteilen, formuliert das OWASP.
Mit seinen Testrichtlinien [7] gibt das OWASP zudem eine grundsätzliche Anleitung für IoT-Entwickler, welche Tests nötig sind. Der Security-Leitfaden beginnt bei der Absicherung des Webinterface von Geräten und behandelt die Firmware ebenso wie die physische Absicherung, die etwa darin besteht, nur die nötigen Schnittstellen (zum Beispiel USB-Ports) zu integrieren.
Finger weg!
Das Internet der Dinge ist eine verlockende Welt. Das Gefährdungspotenzial der mit dem Internet verbundenen Devices dürfte also zunehmen. Unternehmen und Privatanwender sind gut beraten, das kleine Einmaleins des BSI-Grundschutzes zu verinnerlichen, auch wenn das eine oder andere Spielzeug dann mangels Tauglichkeit im Regal liegen bleibt. Nur durch diesen Verzicht lernen Hersteller, dass auch sie ihre Hausaufgaben machen müssen.
Infos
- BSI: https://www.bsi.bund.de
- IT-Grundschutz IoT: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/SYS/SYS_4_4_Allgemeines_IoT-Ger%C3%A4t.html
- Empfehlungen für IP-Kameras: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_128.pdf
- Eclipse Testbeds: https://iot.eclipse.org/testbeds/
- Quivicon: https://www.qivicon.com/de/
- OWASP-Prinzipien: https://www.owasp.org/index.php/Principles_of_IoT_Security
- OWASP-Guidelines: https://www.owasp.org/index.php/IoT_Testing_Guides
