IoT-Geräte als Teil riesiger Bot-Netze
Best Practices der IT-Sicherheit bei der Entwicklung und Vermarktung von IoT-fähigen Geräten
Mindestens sollte schon im R&D-Prozess berücksichtigt werden, einen Benutzernamen zu vergeben und regelmäßige Passwort-Resets ab Installation oder Aktivierung des jeweiligen Gerätes durchzuführen
Nach den ersten tiefergehenden Analysen der Dyn-Attacke stellen sich die ohnehin bestehenden Fragen in Bezug auf IoT-Sicherheit in verschärfter Form. Was können Anbieter und Hersteller von IoT-Geräten tun, um sie grundsätzlich sicherer zu machen? Was sind die potenziellen Folgen, wenn genau das nicht passiert? Was schließlich bedeutet das für den Endverbraucher? Und: welche Optionen haben Unternehmen sich vor derartigen DDoS-Angriffen zu schützen und welche die Hersteller von IoT-Geräten?
Dave Larson, COO/CTO Corero Network Security, kommentiert:
"Es gibt Berichte, dass einige der IoT-Geräte, die Opfer des Mirai Codes wurden, inzwischen von den Herstellern zurückgerufen worden sind. Das ist zwar ein wichtiger und richtiger Schritt, für die Attacke kommt er aber leider ein bisschen zu spät. Hersteller sollten angesichts der gravierenden Veränderungen innerhalb der DDoS-Landschaft zwingend dazu übergehen Best Practices der IT-Sicherheit bei der Entwicklung und Vermarktung von IoT-fähigen Geräten zu berücksichtigen. Genauso wie Anbieter davon ausgehen sollten, dass sie es beim Endverbraucher nicht mit einem IT-Sicherheitsexperten zu tun haben. Mindestens sollte schon im R&D-Prozess berücksichtigt werden, einen Benutzernamen zu vergeben und regelmäßige Passwort-Resets ab Installation oder Aktivierung des jeweiligen Gerätes durchzuführen.
Im Übrigen sind bei Angriffen wie dem auf den DNS-Provider Dyn und ähnliche, bei denen sich eine unglaublich hohe Zahl von Geräten als unsicher erweist, dem Ruf einer Marke und eines Unternehmens wenig zuträglich. Dazu kommt das Risiko potenzieller Umsatzeinbrüche und nicht zuletzt sind juristische Konsequenzen nicht auszuschließen. Das bleibt Entwicklern und Anbietern von Geräten für das Internet of Things natürlich nicht verborgen. Ich gehe davon aus, dass Unternehmen die notwendigen Schritte unternehmen werden, sichere Geräte auszuliefern sowie Konsumenten deutlicher aufzuklären, welche Sicherheitsmaßnahmen sie bei der Installation der Geräte keinesfalls außer Acht lassen dürfen.
Aber ein umfassender Schutz darf nicht bei den Geräten enden, denn es wird immer wieder eine neue Schwachstelle geben oder ein neuer, bisher unbekannter Angriffsvektor auftauchen. Hier wirksame Vorkehrungen zu treffen, fällt in den Verantwortungsbereich der gesamten Internet Community. Internetfähige Geräte verbreiten sich mit rasanter Geschwindigkeit, ein Trend, den wir nicht umkehren werden. Standard-Passwörter und kostengünstig entwickelte Geräte werden neuerlich Sicherheitsschwachstellen aufweisen. Allein schon deshalb, weil es viel zu teuer ist einen hohen Sicherheitslevel durchgängig aufrechtzuerhalten oder Schwachstellen langfristig zu patchen. Die Geräte sollen schließlich einfach und bequem nutzbar sein. Leider werden die damit verbundenen Standard-Passwörter nur allzu selten tatsächlich geändert.
Wer allerdings entscheidend dazu beitragen kann, das Problem an anderer Stelle in den Griff zu bekommen, sind Internet Service Provider. Sie sind es, die den Datenstrom weiterleiten und sie sind es auch, die die Verantwortung dafür übernehmen, genau diesen Traffic rechtzeitig zu blocken.
Es ist immens schwierig zu verhindern, dass IoT-Geräte als Teil riesiger Bot-Netze ausgenutzt werden.
Was Unternehmen tun können, um sich zu schützen, ist, automatisierte In-Line-Lösungen bei der DDoS-Abwehr einzusetzen. Solche Lösungen sitzen an der Netzwerkgrenze, erkennen sehr frühzeitig die verschiedenen Angriffstypen und verhindern, dass der Schad-Traffic überhaupt ins Netzwerk gelangt. In den meisten Fällen lassen sich Botnet-basierte DDoS-Angriffe nicht bis zu ihrem Ursprung nachvollziehen.
Deshalb ist es wichtig einen defensiven Ansatz zu fahren, der sich den unterschiedlichen Angriffsvektoren und Erscheinungsformen anpasst und der entsprechend skalierbar ist. Es ist riskant, wenn Firmen und ISPs sich ausschließlich auf traditionelle Scrubbing-Methoden verlassen. Es dauert schlicht zu lange, bis diese greifen. Dazu kommt, dass sich der Angriff nicht ohne menschliche Intervention abwehren lässt. Scrubbing-Lösungen und eine traditionelle Sicherheitsinfrastruktur haben gegen die derzeitigen DDoS-Angriffe definitiv keinerlei Chance. Anders funktionieren spezielle, automatisierte Lösungen, die für diese Aufgabenstellungen besser geeignet sind."
(Corero Network Security: ra)
eingetragen: 20.12.16
Home & Newsletterlauf: 18.01.17
Corero Network Security: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.