Organisiertes Verbrechen im Internet der Dinge

Article

Kriminelle kapern immer häufiger Millionen internetfähige Geräte, um Unternehmen damit anzugreifen. Das Internet der Dinge wird damit zum Risikofaktor für die Wirtschaft.

Wenn die Website eines US-Amerikanischen IT-Sicherheitsexperten angegriffen wird, ist das zunächst nichts besonderes. Die deutsche Wirtschaft sollte den Angriff Ende September auf Brian Krebs Website jedoch als deutlichen Warnschuss sehen. Was ist passiert? Brian Krebs, IT-Sicherheitsexperte und Journalist, berichtete über eine Gruppe Krimineller, die gezielte Distributed Denial of Service (DDoS) Angriffe für jedermann auf Bestellung anbieten. Bei einer DDoS-Attacke werden so viele gleichzeitige Anfragen an eine Website gesendet, bis der Server unter der Last zusammenbricht und die Website für niemanden mehr erreichbar ist. In den letzten Jahren wurden diese Dienste immer günstiger, professioneller und leistungsfähiger. Für verhältnismäßig kleines Geld kann sich jeder diese Dienste einkaufen und beliebige Websites attackieren. Diese Angriffe sind so häufig und mit deutlichen finanziellen Verlusten für die betroffenen Unternehmen verbunden, dass es mittlerweile viele Anbieter gibt, die sich auf das Abwehren von DDoS-Angriffen spezialisiert haben.

All das hat Brian Krebs wenig geholfen. Obwohl ihm Akamai, einer der weltweit größten Anbieter zur Abwehr von DDoS-Angriffen, seit einigen Jahren erfolgreich DDoS-Schutz pro bono zur Verfügung gestellt hatte, war der Angriff Ende September selbst für Akamai zu aggressiv. Die Kriminellen sendeten rund 650 Gigabit an Daten jede Sekunde an Brian Krebs Website. Zum Vergleich, der Frankfurter Internetknoten De-Cix — einer der größten der Welt — befördert rund 3000 Gigabit je Sekunde. Einen Angriff dieser Größenordnung hatte es bisher noch nicht gegeben und niemand war darauf vorbereitet. So musste Akamai nach rund zwei Tagen den pro bono Schutz für Krebs beenden —  eine kommerzielle Lösung hätte laut Akamai 150.000–200.000 USD pro Jahr gekostet. Wie es zu einem Angriff dieser Größenordnung kommen konnte? Das Internet der Dinge macht es möglich.

In den letzten Jahren haben unabhängige Sicherheitsforscher, Netzbetreiber und Unternehmen, die sich auf die Abwehr von DDoS-Angriffen spezialisieren, immer wieder gewarnt, dass zunehmend intelligente, vernetzte Geräte infiziert und zu Botnets zusammengeführt werden. Diese Botnets können aus mehreren Hunderttausend Geräten bestehen und unterliegen der Kontrolle derer, die den sogenannten Command-and-Control-Server bedienen. Diese Armeen von Geräten werden dann zielgerichtet gegen unliebsame Unternehmen und Individuen eingesetzt. Die Kriminellen rekrutieren vor allem im Internet der Dinge — Internetrouter, Überwachungskameras und Digitale Video Recorder. Aus Sicht der Kriminellen macht es durchaus Sinn, sich auf IoT-Geräte (Internet of Things) zu spezialisieren. Diese haben immer mehr Rechenleistung, sind konstant und meist schnell mit dem Internet verbunden, werden in der Regel nicht gewartet und die Software wird kaum aktualisiert. Bestes Beispiel ist der eigene Heimrouter, der seit Jahren unter dem Sofa oder hinter dem Schrank schlummert: Wann haben Sie sich das letzte Mal in dessen Webinterface angemeldet, um nachzusehen, ob es ein Firmware-Update gibt?

Wir vernetzen immer mehr Geräte mit dem Internet, kümmern uns jedoch wenig um deren Sicherheit — weder in den Fabriketagen, noch im eigenen Zuhause. Denn oft sind Aufwand und Kosten zu hoch, all diese smarten Geräte vernünftig abzusichern. Selbst wenn man wollte, versorgen Hersteller ihre Geräte oder Maschinen oft nicht mit Software-Updates. Der Smart-TV erhält vielleicht das erste Jahr nach Markteinführung Software-Updates — die restlichen 4 Jahre, die er im Wohnzimmer steht, jedoch nicht. Die individuel bedeutungslosen Fehlverhalten der Nutzer und Unternehmen haben jedoch zur Folge, dass wir uns jetzt übermächtigen IoT-Botnets gegenübersehen.

In Deutschland, Österreich und der Schweiz gibt es mittlerweile pro Tag durchschnittlich 100 DDoS-Attacken auf Unternehmen. So wurde zum Beispiel das Berliner Start-Up Orderbird, das ein Cloud-basiertes Point-of-Sale System für die Gastronomie verkauft, mehrmals durch DDoS-Angriffe lahmgelegt. Die Folge: Abrechnung in Tausenden von Restaurants war nur eingeschränkt möglich. Orderbird vermutet hinter den gezielten Angriffen einen Konkurrenten und hat die Staatsanwaltschaft eingeschaltet. Immer häufiger werden IoT-Botnets für solche Angriffe genutzt, wodurch diese leistungsfähiger, länger, schwieriger abzuwenden und letztlich teurer für das betroffene Unternehmen werden. Die Kriminellen profitieren davon, dass in der digitalen Welt erst vernetzt und nachträglich gesichert wird — wenn überhaupt. Daher gibt es auch keine klare, einfache Antwort, wie dem Problem am besten zu begegnen ist. Gerade im Consumer-Bereich haben Unternehmen derzeit wenig Anreize auf Sicherheit wert zu legen. Dadurch sind Webinterfaces zur Wartung und Konfiguration des Gerätes oft unübersichtlich und wenig verständlich, Standard-Einstellungen fokussieren auf Komfort statt Sicherheit. Nutzer haben wiederum wenig Interesse daran, Zeit und Energie in die sichere Konfiguration und Wartung ihrer vernetzten Geräte zu stecken. Ein Teufelskreis.

Wir können es uns jedoch nicht mehr leisten das Problem zu ignorieren. DDoS-Angriffe sind schon jetzt ein reales Problem für unsere digitale Wirtschaft und durch das Internet der Dinge werden diese noch mächtiger. Wer über eine vollständig vernetzte Wirtschaft und eine digitale Gesellschaft spricht, muss im selben Atemzug ebenso über IT-Sicherheit im Internet der Dinge sprechen. Dabei geht es nicht nur darum IoT-Hersteller stärker in die Verantwortung zu nehmen. Es braucht einen Dialog zwischen IoT-Herstellern und -Betreibern, Infrastrukturprovidern und Konsumenten, um effektive und nachhaltige Lösungen zu finden. Dieser Dialog sollte durch die Politik angestoßen werden.

Jan-Peter Kleinhans verantwortet den Bereich IT-Sicherheit im Internet der Dinge bei der Stiftung Neue Verantwortung. Dieser Artikel erschien erstmals in der Frankfurter Allgemeinen Zeitung am 30. September 2016.

Published by: 
Frankfurter Allgemeine Zeitung
September 30, 2016
Authors: 

Jan-Peter Kleinhans (Projektleiter IT-Sicherheit)