Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Mirko Ross 7

IoT-Sicherheitskonferenz: Unsichere Smart-Meter, Mirai und seine Klone und die Genfer Konvention

ENISA und Europol richten erste Konferenz zur IoT-Sicherheit aus

Viele interessante Vorträge bot die erste Sicherheitskonferenz für das Internet der Dinge der ENISA und von Europol. Industrie, Sicherheitsexperten, aber auch Vertreter der Politik und Behörden boten unterschiedliche Blickwinkel auf das drängende Thema.

Gemeinsam veranstalteten vom 18. bis 19. Oktober die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und Europol ihre erste Sicherheitskonferenz speziell für das Internet der Dinge. Das Spektrum der Referenten und circa 250 Teilnehmer umfasste Mitglieder europäischer Institutionen, Strafverfolgungsbehörden, IoT-Industrie, IT-Sicherheitsunternehmen und Sicherheitsforscher. Entsprechend breit war das Vortragsprogramm aufgebaut: Es gab Fallberichte zur Ermittlung von Cyberattacken, politische Strategien und Empfehlungen der Industrie zu einer verbesserten internationalen Zusammenarbeit im Bereich Sicherheit zu hören.

Anzeige

Die aktuelle Sicherheitslage wurde in den meisten Vorträgen praktisch veranschaulicht. So gaben die beiden BKA-Kriminalkommissare Stefanie Schlarb und Leon Auer einen Einblick in die Ermittlungsarbeit zur Aufklärung des Angriffes auf Router der Deutschen Telekom im letzten Jahr. Er ist beispielhaft für die Herausforderungen der Ermittlungsarbeit: Cyberangriffe sind ein globales Problem. Behörden müssen international zusammenarbeiten, um Tatverdächtige identifizieren und festsetzen zu können.

In diesem Fall mussten fast 1,25 Millionen Kunden zeitweise ohne Telefon- und Internet-Anschlüsse auskommen. Dabei war die Deutsche Telekom nicht das primäre Ziel, sondern ein Kollateralschaden. Die Ermittler konnten die Spuren des Verursachers nach Liberia zurückverfolgen. Mit einem internationalen Haftbefehl wurde der Verdächtige bei der Einreise am Londoner Flughafen verhaftet und wartet nun auf sein Verfahren.

Sicherheitsexperte Simen Sandberg berichtete über die Sicherheits- und Schwachstellenanalysen zur Einführung der Smart Meter in Norwegen. Hier treffen unterschiedliche Faktoren aus Politik, Wirtschaft, Datenschutz und IT-Architektur zusammen, die zu Sicherheitsrisiken führen. Zum Beispiel ist die Möglichkeit einer Stromabschaltung aus der Ferne hier vom Gesetzgeber vorgeschrieben. Damit schafft sich Norwegen nach Ansicht von Sandberg über das Systemdesign ein potentielles Angriffsziel auf den Smart Meter.

Zudem verfügte die Vernetzung der Geräte nur über eine unzureichende Abschottung gegenüber externen Angreifern. Gelingt letzteren ein erfolgreicher Einbruch in den Smart Meter, sind die folgenden Backend-Systeme in der Cloud unzureichend abgeschottet. Praktischerweise bietet der norwegische Smart Meter eine ungeschützte RJ45-Buchse als Schnittstelle zur lokalen Wartung. Security by Design sollte anders aussehen, schlussfolgerte Sandberg.

Weitere Vorträge von Kasperky, Bitdefender und Trend Micro beschäftigten sich mit ausgiebigen Analysen zu IoT-Botnets, insbesondere Mirai und seinen Klone. Es gilt als eine Blaupause für Botnets bestehend aus Zombies im Internet der Dinge. Mirai konnte schnell ein Netz aus über 500.000 Geräten aufbauen und sie meist für DDoS-Angriffe nutzen. Es konzentrierte sich vorwiegend auf Schwachstellen in IP-Kameras, die es mit lediglich 61 bekannten Standardpasswörtern der Hersteller kapern konnte.

So sind für Cyberkriminelle IoT-Geräte ein lohnendes Angriffsziel, da der ökonomische Aufwand zum Übernehmen ausgesprochen gering ist – gerade im Vergleich zu einem klassischen Server. Zudem existiert ein Markt für DDoS-Attacken und somit eine kriminelle Nachfrage nach einfach aufzubauenden Botnetzen.

Sicherheitsstandards waren ein Thema, das sich quer durch alle Beiträge zog. Es zeichnet sich ab, dass hier auf EU-Ebene Regulierungen folgen werden. Hersteller müssen mehr Verantwortung für die Sicherheit ihrer Produkte übernehmen. Das bezieht sich insbesondere auf das Einhalten von minimalen Sicherheitsstandards für IoT-Produkte, angefangen bei sicheren Passwörtern bis zur ausschließlichen Kommunikation über verschlüsselte Verbindungen.

Anzeige

Es gibt aber für grundlegende Fragen der Sicherheit im Internet der Dinge noch keine befriedigenden Antworten: Können Hersteller über die Lebenszeit eines Produktes dazu verpflichtet werden, auch Software-Updates für es zu garantieren? "Wie soll das gehen, wenn selbst für Standard-Linux-Distributionen die Support-Laufzeit von fünf Jahren eine Herausforderung ist?", so die gute Frage eines Teilnehmers, speziell wenn zum Beispiel eine industrielle Steuerung 15 bis 20 Jahre funktionieren soll. Ein Vertreter von Kaspersky Lab hatte dazu eine passende Präsentation parat, denn bei 15 Prozent der industriellen Steuerungen erfolgt kein Patch bekannter Schwachstellen. Wie darauf ein Cybersicherheitslabel für das Internet der Dinge ausgerichtet werden kann, blieb eine offene und spannende Frage.

Benedikt Abendroth bekräftigte in seinem Vortrag eine nüchterne Einschätzung von Microsoft zur aktuellen Lage der Cybersicherheit: "Wir brauchen die internationale Ächtung digitaler Angriffswaffen in der Genfer Konvention." Erst das Verhindern effektiver Sicherheit durch das staatliche Ausnutzen von Schwachstellen schafft einen Nährboden, auf dem Kriminalität wachsen kann. So bot die erste Konferenz von ENISA und Europol zur Sicherheit im Internet der Dinge einen beachtlichen Querschnitt zum Thema. Insbesondere der Dialog zwischen Politik und Industrie scheint nötig. Keine der beiden kann alleine für mehr Sicherheit sorgen. (Mirko Ross) / (fo)

7 Kommentare

Themen:

Anzeige
  1. IoT-Bot-Netz: US-Gericht verurteilt Drahtzieher hinter Mirai

    IoT-Botnetz: US-Gericht verurteilt Drahtzieher hinter Mirai

    Zu mehrjähriger Haft- und hohen Geldstrafen wurden drei Männer verurteilt, die für eine der bisher größten DDoS-Attacken aller Zeiten verantwortlich sind. Der geleakte Code des Mirai-Bot-Netzes sichert weiterhin das Einkommen vieler Trittbrettfahrer.

  2. OMG-Botnet macht aus IoT-Geräten Proxys

    OMG-Botnet macht aus IoT-Geräten Proxys

    Kriminelle kapern derzeit gehäuft IoT-Geräte und missbrauchen diese als Proxy, um ihre eigentlichen Geschäfte zu verschleiern.

  3. 1. IT-Sicherheitstag in Darmstadt: IoT – Internet of Things or Threats?

    1. IT-Sicherheitstag in Darmstadt: IoT – Internet of Things or Threats?

    Bis 2020 soll die Anzahl der im Internet of Things vernetzten Geräte auf über 30 Milliarden steigen. Für Unternehmen birgt die zunehmende Anbindung von Maschinen und Steuergeräten ans Internet wachsende Gefahren – sie werden hack- und manipulierbar.

  4. 1. IT-Sicherheitstag am 21. März in Darmstadt: IoT-Security im Unternehmen

    1. IT-Sicherheitstag am 21. März in Darmstadt: IoT Security im Unternehmen

    Auf dem 1. IT-Sicherheitstag Rhein-Main am 21. März 2018 diskutieren Sicherheitsexperten die zunehmenden Gefahren und skalierbare Sicherheitsstrategien im Internet der Dinge.

  1. Die Risiken wachsen mit dem Internet der Dinge

    US-Regierung plant nach DDoS-Angriff "strategische Prinzipien" zur Sicherung des Internet der Dinge

  2. Aus dem Internet der Dinge wird eine Armee der Dinge

    Die Verantwortlichen für den massiven DDoS-Angriff auf DNS-Server am Wochenende sind noch nicht bekannt, neben Scriptkiddies, Kriminellen oder Hackergruppen werden auch die üblichen Verdächtigen Russland oder China genannt

  3. building IoT: Von Mausefallen bis Machine-to-Machine-Kommunikation

    Als treibende Kraft des IoT häufig übersehen, konnten sich Softwareentwickler bei der ersten building IoT über Protokolle, Best Practices aus dem Smart-Home-Bereich, Industrie 4.0, Zukunftsszenarien und Sicherheit austauschen.

  1. Wiener Motorensymposium: Volkswagen hybridisiert den Golf VIII

    alternative Antriebe, Elektroautos

    Volkswagen elektrifiziert die Massen: Auf dem Wiener Motorensymposium konkretisieren die Wolfsburger Ingenieure, wie sie sich die flächendeckende Hybridisierung des Golfs vorstellen. Erstmals erwähnt Volkswagen offiziell den Golf VIII, der 2019 eingeführt werden soll

  2. 180-Euro-Smartphone Honor 7C nun auch in Deutschland

    Einsteiger-Smartphone Honor 7C kommt für 180 Euro nach Deutschland

    Das Honor 7C kann jetzt auch in Deutschland gekauft werden. Zum Marktstart kostet das Smartphone der Huawei-Tochter 180 Euro. Dafür bekommt man kompetente Hardware, die allen gängigen Anwendungen gewachsen sein sollte.

  3. Astronomen verblüfft über Megafusion großer Galaxien

    Astronomen verblüfft über Megafusion großer Galaxien

    Gleich zwei Mal haben Forscher gewaltige Galaxienhaufen aufgespürt – weit zurück im jungen Universum. Dass sie zu jener Zeit schon zu Haufen verschmolzen, lässt die Astronomen rätseln. Beeindruckend ist noch eine andere Eigenheit der Massemonster.

  4. Außenminister Maas und der politische Prozess zur Ablösung Baschar al-Assads

    Syrien: Wiederaufbauhilfen aus dem Westen, um das "Regime mit dem Monster" auszuhebeln? Das politische Interesse ist klar, der moralische Grund trüb

Anzeige