Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Mirko Ross 7

IoT-Sicherheitskonferenz: Unsichere Smart-Meter, Mirai und seine Klone und die Genfer Konvention

ENISA und Europol richten erste Konferenz zur IoT-Sicherheit aus

Viele interessante Vorträge bot die erste Sicherheitskonferenz für das Internet der Dinge der ENISA und von Europol. Industrie, Sicherheitsexperten, aber auch Vertreter der Politik und Behörden boten unterschiedliche Blickwinkel auf das drängende Thema.

Gemeinsam veranstalteten vom 18. bis 19. Oktober die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und Europol ihre erste Sicherheitskonferenz speziell für das Internet der Dinge. Das Spektrum der Referenten und circa 250 Teilnehmer umfasste Mitglieder europäischer Institutionen, Strafverfolgungsbehörden, IoT-Industrie, IT-Sicherheitsunternehmen und Sicherheitsforscher. Entsprechend breit war das Vortragsprogramm aufgebaut: Es gab Fallberichte zur Ermittlung von Cyberattacken, politische Strategien und Empfehlungen der Industrie zu einer verbesserten internationalen Zusammenarbeit im Bereich Sicherheit zu hören.

Deutsche Telekom und über eine Million Nutzer als Kollateralschaden

Die aktuelle Sicherheitslage wurde in den meisten Vorträgen praktisch veranschaulicht. So gaben die beiden BKA-Kriminalkommissare Stefanie Schlarb und Leon Auer einen Einblick in die Ermittlungsarbeit zur Aufklärung des Angriffes auf Router der Deutschen Telekom im letzten Jahr. Er ist beispielhaft für die Herausforderungen der Ermittlungsarbeit: Cyberangriffe sind ein globales Problem. Behörden müssen international zusammenarbeiten, um Tatverdächtige identifizieren und festsetzen zu können.

In diesem Fall mussten fast 1,25 Millionen Kunden zeitweise ohne Telefon- und Internet-Anschlüsse auskommen. Dabei war die Deutsche Telekom nicht das primäre Ziel, sondern ein Kollateralschaden. Die Ermittler konnten die Spuren des Verursachers nach Liberia zurückverfolgen. Mit einem internationalen Haftbefehl wurde der Verdächtige bei der Einreise am Londoner Flughafen verhaftet und wartet nun auf sein Verfahren.

Unsicher by Design aus Norwegen

Sicherheitsexperte Simen Sandberg berichtete über die Sicherheits- und Schwachstellenanalysen zur Einführung der Smart Meter in Norwegen. Hier treffen unterschiedliche Faktoren aus Politik, Wirtschaft, Datenschutz und IT-Architektur zusammen, die zu Sicherheitsrisiken führen. Zum Beispiel ist die Möglichkeit einer Stromabschaltung aus der Ferne hier vom Gesetzgeber vorgeschrieben. Damit schafft sich Norwegen nach Ansicht von Sandberg über das Systemdesign ein potentielles Angriffsziel auf den Smart Meter.

Zudem verfügte die Vernetzung der Geräte nur über eine unzureichende Abschottung gegenüber externen Angreifern. Gelingt letzteren ein erfolgreicher Einbruch in den Smart Meter, sind die folgenden Backend-Systeme in der Cloud unzureichend abgeschottet. Praktischerweise bietet der norwegische Smart Meter eine ungeschützte RJ45-Buchse als Schnittstelle zur lokalen Wartung. Security by Design sollte anders aussehen, schlussfolgerte Sandberg.

Botnets für DDoS-Angriffe leicht gemacht

Weitere Vorträge von Kasperky, Bitdefender und Trend Micro beschäftigten sich mit ausgiebigen Analysen zu IoT-Botnets, insbesondere Mirai und seinen Klone. Es gilt als eine Blaupause für Botnets bestehend aus Zombies im Internet der Dinge. Mirai konnte schnell ein Netz aus über 500.000 Geräten aufbauen und sie meist für DDoS-Angriffe nutzen. Es konzentrierte sich vorwiegend auf Schwachstellen in IP-Kameras, die es mit lediglich 61 bekannten Standardpasswörtern der Hersteller kapern konnte.

So sind für Cyberkriminelle IoT-Geräte ein lohnendes Angriffsziel, da der ökonomische Aufwand zum Übernehmen ausgesprochen gering ist – gerade im Vergleich zu einem klassischen Server. Zudem existiert ein Markt für DDoS-Attacken und somit eine kriminelle Nachfrage nach einfach aufzubauenden Botnetzen.

IoT in der Industrie setzt Sicherheitsstandards voraus

Sicherheitsstandards waren ein Thema, das sich quer durch alle Beiträge zog. Es zeichnet sich ab, dass hier auf EU-Ebene Regulierungen folgen werden. Hersteller müssen mehr Verantwortung für die Sicherheit ihrer Produkte übernehmen. Das bezieht sich insbesondere auf das Einhalten von minimalen Sicherheitsstandards für IoT-Produkte, angefangen bei sicheren Passwörtern bis zur ausschließlichen Kommunikation über verschlüsselte Verbindungen.

Es gibt aber für grundlegende Fragen der Sicherheit im Internet der Dinge noch keine befriedigenden Antworten: Können Hersteller über die Lebenszeit eines Produktes dazu verpflichtet werden, auch Software-Updates für es zu garantieren? "Wie soll das gehen, wenn selbst für Standard-Linux-Distributionen die Support-Laufzeit von fünf Jahren eine Herausforderung ist?", so die gute Frage eines Teilnehmers, speziell wenn zum Beispiel eine industrielle Steuerung 15 bis 20 Jahre funktionieren soll. Ein Vertreter von Kaspersky Lab hatte dazu eine passende Präsentation parat, denn bei 15 Prozent der industriellen Steuerungen erfolgt kein Patch bekannter Schwachstellen. Wie darauf ein Cybersicherheitslabel für das Internet der Dinge ausgerichtet werden kann, blieb eine offene und spannende Frage.

Ächtung durch die Genfer Abkommen?

Benedikt Abendroth bekräftigte in seinem Vortrag eine nüchterne Einschätzung von Microsoft zur aktuellen Lage der Cybersicherheit: "Wir brauchen die internationale Ächtung digitaler Angriffswaffen in der Genfer Konvention." Erst das Verhindern effektiver Sicherheit durch das staatliche Ausnutzen von Schwachstellen schafft einen Nährboden, auf dem Kriminalität wachsen kann. So bot die erste Konferenz von ENISA und Europol zur Sicherheit im Internet der Dinge einen beachtlichen Querschnitt zum Thema. Insbesondere der Dialog zwischen Politik und Industrie scheint nötig. Keine der beiden kann alleine für mehr Sicherheit sorgen. (fo)

7 Kommentare

Themen:

Anzeige
  1. Source Code von mächtigem DDoS-Tool Mirai veröffentlicht

    Hacker

    In einem Hacker-Forum ist der Code aufgetaucht, mit dem Angreifer ein riesiges IoT-Botnet versklavt haben, um die bisher größte dokumentierte DDoS-Attacke auszuüben.

  2. DDoS-Attacke kappte zeitweilig Internetverbindung eines ganzen Landes

    Unterseekabel

    Das riesige Mirai-Botnetz hat die gesamte Online-Anbindung des afrikanischen Landes Liberia massiv beeinträchtigt. Theoretisch ist der halbe Kontinent gefährdet.

  3. DDoS-Untersuchung: Angriffe werden zum Problem für die Allgemeinheit

    DDoS-Untersuchung: Angriffe werden zum Problem für die Allgemeinheit

    Angriffe, die darauf abzielen, Webseiten lahmzulegen, werden seit Jahren häufiger. Die vergangenen Monate zeigen allerdings, dass diese Attacken viel weitreichendere Folgen haben können. Das geht aus einer Untersuchung der Sicherheitsfirma Link 11 hervor.

  4. Mehr Sicherheit für das Internet der Dinge

    Platine

    Die vernetzten Geräte des Internet of Things (IoT) sammeln und verarbeiten immer mehr Daten, versagen jedoch häufig beim Schutz dieser Daten. Ein ausführlicher Leitfaden will bei der Entwicklung sicherer Geräte helfen.

  1. Die Risiken wachsen mit dem Internet der Dinge

    US-Regierung plant nach DDoS-Angriff "strategische Prinzipien" zur Sicherung des Internet der Dinge

  2. Aus dem Internet der Dinge wird eine Armee der Dinge

    Die Verantwortlichen für den massiven DDoS-Angriff auf DNS-Server am Wochenende sind noch nicht bekannt, neben Scriptkiddies, Kriminellen oder Hackergruppen werden auch die üblichen Verdächtigen Russland oder China genannt

  3. building IoT: Von Mausefallen bis Machine-to-Machine-Kommunikation

    Als treibende Kraft des IoT häufig übersehen, konnten sich Softwareentwickler bei der ersten building IoT über Protokolle, Best Practices aus dem Smart-Home-Bereich, Industrie 4.0, Zukunftsszenarien und Sicherheit austauschen.

  1. Kommentar: Firefox ist wieder cool

    Kommentar: Firefox ist wieder cool

    Mit großem Tamtam hat Mozilla Firefox Quantum veröffentlicht. Ein längst überfälliges Update: Endlich kann es der Browser mit seinem ärgsten Rivalen aufnehmen. (Nicht nur) Chrome-Nutzer sollten einen Blick riskieren und Firefox eine (zweite) Chance geben.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

Anzeige