Internet of Things – Die Geister, die ich rief…

Das Bewusstsein für IT-Sicherheit kann sich von einem Moment auf den anderen verändern. Die Aufmerksamkeitsprünge sind dabei nicht vorherzusehen, hängen sie doch extrem von der „Nachrichtenlage“ ab. Sobald wieder einmal ein besonders bösartiger Code sein Unwesen treibt und sich von einer „Betrifft mich ja eh nicht-Gefahr“- in eine mehr oder weniger direkt präsente Bedrängnis verwandelt, gehen weltweit die Alarmglocken an. Diesen Oktober war es wieder einmal so weit, der nächste IT-Sicherheit-Super-GAU war da: bildlich gesprochen zog es einige Milliarden willenloser Kühe zur Schlachtbank in Form des Botnets Mirai, das unter anderem für die DDoS-Attacken (Distributed Denial of Service) auf den Journalist Brian Krebs und den DNS-Provider Dyn verantwortlich ist. Letzterer Angriff sorgte dafür, das extrem populäre Seiten wie Twitter, Reddit oder Spotify nicht mehr erreichbar waren.

Ein Botnet ist ein riesiges Netzwerk miteinander verknüpfter Computer jeglicher Art, die gehackt und als bösartige Cloud-Computing-Plattformen genutzt werden. Das Spezielle an Mirai ist allerdings, dass nicht nur „normale“ Computer kompromittiert wurden, sondern vor allem auch Geräte, die wir normalerweise nicht „Computer“ nennen: Router, Drucker, Webcams etc. Zusammengefasst laufen diese Geräte, sie werden es schon erraten haben, neuerdings unter dem Begriff “Internet of Things”, oder kurz “IoT”. Das Problem hierbei ist, dass die Hersteller dieser Quasi-Computer  bei der Produktion so sorglos agieren, als ob es die Best-Practice-Erfahrungen der letzten 15 Jahre in Sachen IT-Sicherheit nie gegeben hätte. Vielleicht liegt der Hund auch einfach darin begraben, dass wir Computer plötzlich „Dinge“ nennen anstatt Computer. Bestes Beispiel für die Kurzsichtigkeit historischer Ausmaße ist die Rückrufaktion eines chinesischen Herstellers von Internetkameras, der als unfreiwilliger Mirai-Handlanger in die Schlagzeilen geraten war. Auch wenn dieses Vorgehen zu begrüßen ist, steht immer noch die Leichtfertigkeit im Raum, Produkte mit Default-Passwörtern ausgeliefert zu haben – im Jahr 2016! Und dieser Fall ist mit Sicherheit keine Ausnahme.

Es ist kaum zu glauben, dass wir mittlerweile ein riesiges IoT haben, mit dem wir Uhren, Kameras, Heizungsanlagen oder Katzenklappen per Smartphone vom anderen Ende der Welt steuern können, die Updates dieser Geräte aber immer noch via Sneakernet erfolgen. Das bedeutet die Übertragung elektronischer Informationen, also z.B. Update-Dateien, durch externe physikalische Geräte wie USB-Sticks oder CDs. Irgendetwas ist da schief gelaufen….Jetzt heißt es handeln! Was wir brauchen sind effektive Industriestandards und Best-Practice-Anweisungen – inklusive Tests der IoT-Geräte auf potentielle Sicherheitslücken bevor sie an den Kunden ausgeliefert werden. Zudem muss klar festgelegt werden, wie das Patchen im Fall der Fälle erfolgt und wie der Nutzer über potentielle Lücken informiert wird.

All diese Schritte sind nicht neu. Schauen wir ein Jahr in die Vergangenheit, könnten wir von Google sprechen, als das Unternehmen realisierte, dass es 400 Millionen User nicht mit Updates versorgen kann. Oder vier Jahre, als Java seinen Schöpfer Oracle in die Diskussion brachte. Die weltweit beliebteste Programmiersprache wurde von Sicherheitslücken heimgesucht und von Cyberkriminellen belagert. Oder drehen wir das Rad der Zeit doch direkt 15 Jahre zurück; damals kämpfte Microsoft an allen Fronten gegen Hacker, um populäre Programme wie den Internet Explorer oder Windows mit besseren Sicherheitsmechanismen auszustatten. Ein Brief von Bill Gates aus dieser Zeit bringt das Dilemma auf den Punkt und könnten zudem auch an heutige IoT-Hersteller gerichtet sein: „In der Vergangenheit haben wir unsere Software und Services immer attraktiver für unsere Nutzer gemacht, indem wie ständig neue Features und Funktionalitäten integriert haben…allerdings spielen all diese Verbesserungen  keine Rolle, wenn wir nicht das Vertrauen der Nutzer haben. Wenn wir also die Wahl zwischen neuen Features und dem Schließen einer Lücke haben, müssen wir die Sicherheit wählen.“

Ja Bill, genauso ist es. Analysten schätzen die Anzahl der IoT-Geräte momentan auf rund 6 Milliarden (dreimal mehr als Smartphones) und wir können davon ausgehen, dass diese Zahl bis zum Ende des Jahrzehnts sprunghaft auf 20 oder sogar 30 Milliarden Geräte anwächst. Natürlich sind diese Produkte nicht alle ein Sicherheitsrisiko und bei weitem nicht alle werden als Zombie einem Botnet gehorchen. Aber wenn schon Mirai mit rund 50.000 übernommenen Geräten die Stabilität des Internets in Frage stellt, sollten wir uns ernsthaft Gedanken über eine schnelle Lösung machen. Und dazu gehört auch, das „Internet of Things“ wieder als das zu bezeichnen, was es ist: das Internet. Und dann entsprechend handeln!

Jeder einzelne Nutzer kann zum Erfolg beitragen. Wer seinen Router regelmäßig mit Updates versorgt, die automatische Verbindung zum Internet von internetfähigen Produkten wie Kameras oder Druckern ausschaltet und Standardpasswörter nach Einrichtung eines neuen Geräts ändert, kann schon viel dazu beitragen, den Botnetzen das Leben schwerer zu machen. Last but not least kann auch eine Firewall fürs Heimnetzwerk, wie z.B. unsere kostenlose Lösung Sophos Home, viele Probleme außen vor halten. Gehen wir es an!