Foto: Chaay_Tee - shutterstock.com
In den letzten Jahren der Entwicklungsgeschichte des Internet of Things sind leider auch einige unrühmliche Meilensteine zu verbuchen: So war etwa Ende 2016 das erste Mal ein groß angelegter Cyber-Angriff in Form der Mirai Malware erfolgreich, der hunderttausende IoT-Geräte wie Router, Kameras, Drucker und Smart-TVs für den Aufbau eines Botnets nutzte. Dieses sorgte weltweit für DDoS-Attacken, unter anderem auf Unternehmen wie Twitter, Amazon oder die Deutsche Telekom. Wie groß die Sicherheitslücken im IoT sind, wurde auch auf der Def Con Hacking Conference in Las Vegas gezeigt, indem Sicherheitsforscher vorführten, wie ein IoT-fähiges Thermostat mit einem gezielten Ransomware-Angriff gehackt und gesperrt werden kann.
Zunächst ist es wichtig, zwischen traditioneller Ransomware, die in der Regel auf PCs und Server abzielt, und Attacken auf IoT-Geräte zu unterscheiden. Klassische Ransomware infiziert den Zielcomputer und verschlüsselt die darauf befindlichen Daten, um für deren Entschlüsselung anschließend ein Lösegeld zu erpressen. Zwar ist es hier möglich, mit einer Datensicherung die betroffenen Daten wiederherzustellen, doch aufgrund mangelhafter Backups sehen sich einige Opfer gezwungen, der Lösegeldforderung nachzugeben. So bleibt diese Methode für Angreifer weiterhin ein profitables Geschäft, wie auch die massiven Ransomware-Wellen von WannaCry und Petya eindrucksvoll unter Beweis gestellt haben. Angesichts des geringen Sicherheitsniveaus von IoT-Geräten ist deshalb in den kommenden Jahren auch auf diese, mit darauf zugeschnittenen Ransomware-Angriffen zu rechnen.
IoT-Ransomware: Geiselnahme des Geräts
Foto: NicoElNino - shutterstock.com
Datendiebstahl lohnt sich bei IoT-Geräten meist nicht. Auf ihnen befinden sich in der Regel kaum beziehungsweise keinerlei sensible Daten. Die Strategie der Angreifer konzentriert sich daher darauf, den Nutzerzugriff auf das Gerät zu sperren und das Endgerät sozusagen in Geiselhaft zu nehmen.
Auf den ersten Blick mag dies eher wie eine Unannehmlichkeit erscheinen. Doch bereits ein relativ harmloses Beispiel wie der Hack auf das Computersystem eines Vier-Sterne-Hotels in Kärnten, der 2017 Schlagzeilen machte, zeigt, welche weitreichenden Konsequenzen ein derartiger Angriff nach sich ziehen kann: Kriminelle manipulierten das Schließsystem der Zimmer, infolgedessen sie für die Gäste nicht mehr betretbar waren. Laut einem ORF-Bericht legten die Angreifer das System gleich viermal in Folge lahm und verlangten die Zahlung eines Lösegelds. Gleiches gilt für den Def Con-Hack des gesperrten Thermostats: Überträgt man dieses Beispiel auf Thermostate zur Steuerung von Kühlaggregaten in einem Lebensmittellager oder auf eine Rechenzentrumsklimaanlage, wird die neue Bedrohungslage von IoT-Ransomware deutlich.
Die zweifelhafte Sicherheitshistorie des Internet of Things
Leider ist eine Vielzahl der derzeit in Betrieb befindlichen IoT-Geräte extrem anfällig für IoT-Ransomware-Angriffe, denn im Zuge des IoT-Hype haben viele Hersteller in den letzten Jahren Millionen von IoT-Geräten so schnell wie möglich entwickelt und verkauft. Die Gerätesicherheit blieb dabei leider auf der Strecke. Infolgedessen verfügen die meisten IoT-Geräte heutzutage über Standardberechtigungen, verwenden unsichere Konfigurationen und Protokolle und sind notorisch schwer zu aktualisieren. Das macht die Devices überaus anfällig für Kompromittierungsversuche und damit zu einem lukrativen Ziel für Cyberkriminelle.
Erschwerend kommt hinzu, dass das Auftreten von Low-Level-Protocol-Hacks wie KRACK (Key Reinstallation Attack) Angreifern neue Möglichkeiten bietet, die IoT-Infrastruktur zu umgehen und Geräte durch die Einspeisung eines anderen Codes zu manipulieren. Dies hat besonders schwerwiegende Folgen, wenn die Geräte Steuerbefehle von einer Cloud-Anwendung synchronisieren oder empfangen müssen.
IoT-Sicherheit bewerten
Um sichere Betriebsabläufe gewährleisten zu können, sollte beim Einsatz von IoT-Geräten eine umfassende Bewertung der Gerätesicherheit aus verschiedenen Blickwinkeln erfolgen. Die Evaluierung sollte stets die folgenden drei Bereiche abdecken:
• Hardware: Die physische Sicherheit sollte bei der Bewertung eines neuen Geräts immer eine wichtige Rolle spielen. Mit physischen Schaltern kann das Gerät zumindest für den Remote-Zugriff manipulationssicher gemacht werden, indem dafür gesorgt wird, dass einzelne Gerätekomponenten nicht ohne Erlaubnis angesprochen und dekodiert werden können. Beispielsweise können mit einer Stummschalttaste Mikrofone und Audioempfänger sämtlicher Geräte deaktiviert werden.
• Software: Auch bei IoT-Geräten gilt, dass die Software stets auf dem neuesten Stand sein sollte. Bei der Auswahl eines Geräteherstellers ist deshalb darauf zu achten, dass dieser seine Software regelmäßig aktualisiert und patcht.
• Netzwerk: Der Datenaustausch zwischen IoT-Geräten, Backend-Management- oder Speicherlösungen sollte ausschließlich über sichere Web-Protokolle wie HTTPS erfolgen. Der Zugriff selbst über mehrstufige Authentifizierungsmethoden abgesichert sein. Darüber hinaus ist darauf zu achten, dass alle standardmäßigen Anmeldeinformationen, die mit dem Gerät mitgeliefert wurden, umgehend in starke alphanumerische Zeichenfolgen abgeändert werden.
Die Umsetzung dieser grundlegenden Sicherheitsprinzipien trägt wesentlich dazu bei, sich gegen viele der aufkommenden Bedrohungen wie die neue Art von IoT-Ransomware-Angriffen zu verteidigen. Wenn die IoT-Welt jedoch wirklich sicher werden soll, ist es an der Zeit, sie wie jedes andere IT-System zu behandeln und sicherzustellen, dass ihr Schutz ebenso robust, effektiv und zukunftssicher ist.