Problem Bot-Netze IT-Security noch nicht Embedded

Die Integration eines Embedded-Systems in ein Botnet erfolgt in drei Schritten: 1. Einzelne Systeme werden mit einem Schadcode ausgestattet. 2. Von einem Command-and-Control-Server aus werden die Bots ferngesteuert. 3. Ein Server im Internet ist durch Überlastung für andere Benutzer nicht mehr erreichbar.

Der Nachweis, dass sich mit dem Internet verbundene Embedded-Systeme sehr einfach angreifen lassen, wurde inzwischen nicht nur in unzähligen Live-Hacks erbracht. Auf die dafür verantwortlichen Schwachstellen geht auch der aktuelle BSI-Lagebericht zur IT-Sicherheit in Deutschland ein.

Besonders auffällig: Immer mehr eingebettete Systeme werden ohne Wissen der Nutzer in Bot-Netzwerke eingebunden und für größere Cyberattacken auf Internetserver genutzt.

Anfang November haben der Noch-Bundesinnenminister Thomas de Maizière und der Leiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm in Berlin den BSI-Lagebericht zur IT-Sicherheit in Deutschland vorgestellt. Neben den klassischen Themen aus den Vorjahren (Gefährdungslagen, Maßnahmen des BSI usw.) wurde diesmal explizit auf die Gefahren und Schwachstellen im Internet der Dinge hingewiesen. Die Situation hier ist besorgniserregend. Unzählige eingebettete Systeme besitzen nach wie vor werksseitig eingestellte Standardpasswörter. Möglichkeiten zur Software-Aktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die Nutzer von IoT-Baugruppen es noch nicht einmal merken würden, wenn beispielsweise eine Smart-Home-Komponente oder ein Edge-Gateway von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt wird.

Größere Cyberangriffe auf einzelne IoT-Lösungen wurden in den vergangenen Monaten zwar nicht beobachtet. Obwohl die Anzahl der IoT-Funksensoren, -Funkaktoren und -Cloud-Lösungen durch Smart-Home- und Smart-Factory-Lösungen mit bemerkenswertem Tempo zunimmt und sogar neue IoT-Funkstandards zum Einsatz kommen, sind bis zum gegenwärtigen Zeitpunkt keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf die Komponenten und Infrastrukturen identifizierbar. Smart-Home-IoT-Lösungen waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 betroffen, allerdings nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis Cyberkriminelle entsprechende „Geschäftsmodelle“ gefunden haben, um auch im IoT-Segment aktiv zu werden.

Völlig anders sieht es hingegen mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren gewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade mal 75.000 befallene Verbundsysteme. Im August 2016 war mit Mirai schon ein fast 700% größeres Botnet aktiv: Mehr als 500.000 infizierte Embedded Systeme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive „hardcodierter“ Passwörter als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden.

Bei einer für 2020 prognostizierten Anzahl von über 20 Milliarden direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollte man das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten dieser rund 20 Mrd. IoT-Baugruppen und die dafür genutzten Embedded-Systeme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten haben, um immer professionellere Kriminelle davon abzuhalten, sie zum Angriff auf andere Infrastrukturkomponenten oder Services zu missbrauchen.