Seit einigen Wochen ist es relativ still zum Thema Cybersecurity, aber in den letzten 24 Monaten gab es eine Reihe äußerst wirkungsvoller Angriffe. Mirai und Reaper, zwei Botnetz-Programme, haben es in eine Menge Schlagzeilen geschafft. Ist das also gerade die Ruhe vor dem Sturm?
Erste Frage: Was geht Sie das an?
Ihnen ist vermutlich wichtig, dass niemand Ihre Daten oder die Daten Ihrer Kunden klaut. Im Rahmen der neuen Datenschutzgrundverordnung, die 2018 in Kraft tritt werden die Anforderungen an den Schutz der Ihnen zur Verfügung gestellten Daten wesentlich höher. Noch wichtiger ist Ihnen aber wahrscheinlich, dass niemand Ihre Services, Ihre Website oder gar Ihre Produktion durch einen Angriff unterbricht. Datenklau, Service-Unterbrechung, Produktions-Unterbrechung – all das ist bereits passiert durch den Einsatz von IoT Botnetzen und Hackerangriffe.
Zweite Frage: Was ist ein IoT Botnetz und wie funktioniert es?
Ein Botnetz ist ein Zusammenschluss ferngesteuerter Computer. Hacker nutzen z.B. Software, um über das Internet Sicherheitslücken und Schwachstellen von Computern zu finden, und nutzen diese Lücken aus, um Schadsoftware auf dem Computer zu installieren, also ihn zu infizieren. Dadurch wird der Computer fernsteuerbar und kann vom Hacker für verschiedene Dinge genutzt werden. Wenn Hacker viele solche Computer finden und zusammenschließen, spricht man von einem Botnetz. Hacker können ihrem Botnetz jetzt z.B. den Befehl geben, bestimmte Internetseiten aufzurufen. Wenn eine Million Rechner eine Internetseite aufrufen, die normalerweise von 100 Personen gleichzeitig genutzt wird, reicht die Serverkapazität nicht aus und die Website ist nicht mehr erreichbar – das ist eine DDoS oder Distributed Denial of Service Attacke.
Ans IoT angeschlossene Geräte sind meistens eine Art vernetzter Mini-Computer, der einfache Befehle ausführen kann, also auch Websites aufrufen. Sie sind also mindestens genauso anfällig für Hackerangriffe wie normale Computer. In den Anfängen des IoT wurde noch nicht sehr auf Sicherheit geachtet, genau wie vor einigen Jahren in den Anfängen des Internet. Deshalb sind IoT Geräte oft schlechter oder gar nicht vor Angriffen geschützt, und es gibt eine sehr große Menge von ihnen. Für Hacker macht es das einfacher, Botnetze aus IoT Geräten zusammenzubauen als aus Computern.
Botnetze kann man kaufen. Für ein paar Tausend Dollar. Das ist für eine kriminelle Vereinigung ein sehr kleiner Betrag.
Dritte Frage: Was wurde mit IoT Botnetzen schon angestellt?
Ein paar Beispiele:
- Im Oktober 2016 fielen weltweit Dienste wie Twitter, Netflix, Spotify und Paypal aus. Schuld war Mirai, eine Software zum Bauen und Nutzen von Botnetzen. Den Code kann jeder aus dem Internet laden und ein Do-It-Yourself-Botnetz bauen. Oder eins kaufen.
- Ende November 2016 waren fast 1 Million Router der Deutschen Telekom lahmgelegt, so dass die Kunden keinen Internet-Zugang mehr hatten. Es war wieder Mirai, das einen Zugriff zur Fernwartung ausnutzte.
- Zur Zeit breitet sich Reaper rasant aus, ein weiteres IoT Botnetz. Noch hat es niemanden angegriffen, aber bereits Anfang November waren weltweit deutlich mehr als eine Million Geräte infiziert. Da infizierte Geräte weitere Geräte suchen und infizieren, ist von einer exponentiellen Steigerung auszugehen. Wenn Reaper für einen Angriff genutzt wird, kann es also richtig schlimm werden.
- Ein Beispiel, das harmlos klingt, mich aber maßlos ärgert: In den USA gab es Beispiele, wo sich Hacker in vernetztes Spielzeug eingenistet hatten. Das liebe Kuscheltier, oder die Puppe, gaben plötzlich obszöne oder bedrohliche Dinge von sich anstelle der niedlichen Geräusche oder freundlichen Sätze. Den Schreck möchte ich meinen Kindern ersparen.
Vierte Frage: Was sind die häufigsten Lücken, die Hacker ausnutzen?
Hier muss zwischen verschiedenen Arten des Angriffs unterschieden werden. Wenn es darum geht, Botnetze für DDoS Angriffe aufzubauen, ist es Software, die im Internet angreifbare (IoT) Geräte sucht. Wenn es jedoch darum geht, gezielt eine Firma oder eine Person auszuspionieren oder zu schädigen, ist Social Engineering die mit Abstand beliebteste Sicherheitslücke. Hierbei werden ganz menschliche Schwachstellen ausgenutzt, z.B. Neugier oder Überraschung. Bei einer Aktion vor wenigen Tagen wurden Menschen an einem Flughafen mit der Aussage überrumpelt „Wenn Sie mir Ihr Passwort verraten, bekommen Sie Schokolade.“ Und rund 30% der Befragten verrieten entweder ihr Passwort oder Informationen, die es erleichterten, das Passwort zu erraten. Für Schokolade.
Ehemalige Mitarbeiter, die eine Firma nicht im Guten verlassen haben, sind das zweitliebste Einfalltor gezielter Attacken auf eine Firma. Erst danach kommen technische Möglichkeiten.
Fünfte Frage: Und was können Sie dagegen tun?
Bei jedem IoT Projekt muss Sicherheit von Anfang an berücksichtigt werden. Bei der Planung der Prozesse und der Architektur, bei der Auswahl der technischen Lösung, bei den Zugriffsrechten der Mitarbeiter und der Maschinen müssen Sie immer an Sicherheit denken. Alle Technologien, die Sie benötigen, um ein IoT Projekt sicher zu machen, sind vorhanden und zu vernünftigen Preisen erhältlich. Sobald das Geschäftsmodell oder der Prozess definiert und das Lösungskonzept grob erstellt ist, sollten Sie Threat Modeling (Modellierung der Bedrohung) durchführen. Threat Modeling beschreibt folgendes:
- Welche Daten oder Aktivitäten sind wie wichtig für Ihr Unternehmen?
- An welchen Stellen können Hacker auf welche Art und Weise angreifen
- Wo sind mögliche menschliche Schwachstellen
- Wo sind mögliche Software- oder Hardware-Schwachstellen
- Wo sind Schwachstellen in der Gebäudesicherheit
- Aus der Wichtigkeit und dem Bewusstsein für die Schwachstellen lässt sich eine Sicherheitsarchitektur modellieren. Sie können Kompromisse eingehen – an den Stellen, die nicht unternehmenskritisch sind. Sie sollten das aber bewusst tun und nicht dem Zufall, oder der Kompetenz der Hacker, überlassen.
Die meisten Unternehmen, ob groß oder klein, müssen ihre Sicherheitskonzepte regelmäßig überdenken. Oft ist bei den Mitarbeitern das Bewusstsein für wirklich sicheres Verhalten im Umgang mit Unternehmens-Informationen nicht vorhanden. Auch ohne ein IoT Projekt ist es oft ratsam, das Bewusstsein der Mitarbeiter zu schärfen.
Wenn Sie diesen Beitrag nützlich fanden, melden Sie sich doch zu unserem Newsletter an. Er liefert Ihnen wöchentlich Neues aus der Digitalisierung. Schicken Sie uns dazu eine Mail an consulting@ecbm.me, oder füllen Sie das Formular unten auf der Startseite aus.
