Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.856.553 Produkten

Mirko Ross 7

IoT-Sicherheitskonferenz: Unsichere Smart-Meter, Mirai und seine Klone und die Genfer Konvention

ENISA und Europol richten erste Konferenz zur IoT-Sicherheit aus

Viele interessante Vorträge bot die erste Sicherheitskonferenz für das Internet der Dinge der ENISA und von Europol. Industrie, Sicherheitsexperten, aber auch Vertreter der Politik und Behörden boten unterschiedliche Blickwinkel auf das drängende Thema.

Gemeinsam veranstalteten vom 18. bis 19. Oktober die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und Europol ihre erste Sicherheitskonferenz speziell für das Internet der Dinge. Das Spektrum der Referenten und circa 250 Teilnehmer umfasste Mitglieder europäischer Institutionen, Strafverfolgungsbehörden, IoT-Industrie, IT-Sicherheitsunternehmen und Sicherheitsforscher. Entsprechend breit war das Vortragsprogramm aufgebaut: Es gab Fallberichte zur Ermittlung von Cyberattacken, politische Strategien und Empfehlungen der Industrie zu einer verbesserten internationalen Zusammenarbeit im Bereich Sicherheit zu hören.

Die aktuelle Sicherheitslage wurde in den meisten Vorträgen praktisch veranschaulicht. So gaben die beiden BKA-Kriminalkommissare Stefanie Schlarb und Leon Auer einen Einblick in die Ermittlungsarbeit zur Aufklärung des Angriffes auf Router der Deutschen Telekom im letzten Jahr. Er ist beispielhaft für die Herausforderungen der Ermittlungsarbeit: Cyberangriffe sind ein globales Problem. Behörden müssen international zusammenarbeiten, um Tatverdächtige identifizieren und festsetzen zu können.

In diesem Fall mussten fast 1,25 Millionen Kunden zeitweise ohne Telefon- und Internet-Anschlüsse auskommen. Dabei war die Deutsche Telekom nicht das primäre Ziel, sondern ein Kollateralschaden. Die Ermittler konnten die Spuren des Verursachers nach Liberia zurückverfolgen. Mit einem internationalen Haftbefehl wurde der Verdächtige bei der Einreise am Londoner Flughafen verhaftet und wartet nun auf sein Verfahren.

Sicherheitsexperte Simen Sandberg berichtete über die Sicherheits- und Schwachstellenanalysen zur Einführung der Smart Meter in Norwegen. Hier treffen unterschiedliche Faktoren aus Politik, Wirtschaft, Datenschutz und IT-Architektur zusammen, die zu Sicherheitsrisiken führen. Zum Beispiel ist die Möglichkeit einer Stromabschaltung aus der Ferne hier vom Gesetzgeber vorgeschrieben. Damit schafft sich Norwegen nach Ansicht von Sandberg über das Systemdesign ein potentielles Angriffsziel auf den Smart Meter.

Zudem verfügte die Vernetzung der Geräte nur über eine unzureichende Abschottung gegenüber externen Angreifern. Gelingt letzteren ein erfolgreicher Einbruch in den Smart Meter, sind die folgenden Backend-Systeme in der Cloud unzureichend abgeschottet. Praktischerweise bietet der norwegische Smart Meter eine ungeschützte RJ45-Buchse als Schnittstelle zur lokalen Wartung. Security by Design sollte anders aussehen, schlussfolgerte Sandberg.

Anzeige

Weitere Vorträge von Kasperky, Bitdefender und Trend Micro beschäftigten sich mit ausgiebigen Analysen zu IoT-Botnets, insbesondere Mirai und seinen Klone. Es gilt als eine Blaupause für Botnets bestehend aus Zombies im Internet der Dinge. Mirai konnte schnell ein Netz aus über 500.000 Geräten aufbauen und sie meist für DDoS-Angriffe nutzen. Es konzentrierte sich vorwiegend auf Schwachstellen in IP-Kameras, die es mit lediglich 61 bekannten Standardpasswörtern der Hersteller kapern konnte.

So sind für Cyberkriminelle IoT-Geräte ein lohnendes Angriffsziel, da der ökonomische Aufwand zum Übernehmen ausgesprochen gering ist – gerade im Vergleich zu einem klassischen Server. Zudem existiert ein Markt für DDoS-Attacken und somit eine kriminelle Nachfrage nach einfach aufzubauenden Botnetzen.

Sicherheitsstandards waren ein Thema, das sich quer durch alle Beiträge zog. Es zeichnet sich ab, dass hier auf EU-Ebene Regulierungen folgen werden. Hersteller müssen mehr Verantwortung für die Sicherheit ihrer Produkte übernehmen. Das bezieht sich insbesondere auf das Einhalten von minimalen Sicherheitsstandards für IoT-Produkte, angefangen bei sicheren Passwörtern bis zur ausschließlichen Kommunikation über verschlüsselte Verbindungen.

Es gibt aber für grundlegende Fragen der Sicherheit im Internet der Dinge noch keine befriedigenden Antworten: Können Hersteller über die Lebenszeit eines Produktes dazu verpflichtet werden, auch Software-Updates für es zu garantieren? "Wie soll das gehen, wenn selbst für Standard-Linux-Distributionen die Support-Laufzeit von fünf Jahren eine Herausforderung ist?", so die gute Frage eines Teilnehmers, speziell wenn zum Beispiel eine industrielle Steuerung 15 bis 20 Jahre funktionieren soll. Ein Vertreter von Kaspersky Lab hatte dazu eine passende Präsentation parat, denn bei 15 Prozent der industriellen Steuerungen erfolgt kein Patch bekannter Schwachstellen. Wie darauf ein Cybersicherheitslabel für das Internet der Dinge ausgerichtet werden kann, blieb eine offene und spannende Frage.

Benedikt Abendroth bekräftigte in seinem Vortrag eine nüchterne Einschätzung von Microsoft zur aktuellen Lage der Cybersicherheit: "Wir brauchen die internationale Ächtung digitaler Angriffswaffen in der Genfer Konvention." Erst das Verhindern effektiver Sicherheit durch das staatliche Ausnutzen von Schwachstellen schafft einen Nährboden, auf dem Kriminalität wachsen kann. So bot die erste Konferenz von ENISA und Europol zur Sicherheit im Internet der Dinge einen beachtlichen Querschnitt zum Thema. Insbesondere der Dialog zwischen Politik und Industrie scheint nötig. Keine der beiden kann alleine für mehr Sicherheit sorgen. (Mirko Ross) / (fo)

7 Kommentare

Themen:

Anzeige
Anzeige