Wie massiv sind Sicherheitslücken bei Internet of Things einzuschätzen?
QA Lounge

Wie massiv sind Sicherheitslücken bei Internet of Things einzuschätzen?

David Bolton • 27. Januar 2017

„Die DDoS-Katze ist aus dem Sack und wird voraussichtlich nicht so schnell wieder verschwinden.“

Der Anstieg der Anzahl vernetzter Geräte könnte 2017 zu einem Jahr der Cyberangriffe machen.

Laut einem Bericht des Unternehmens für betriebliche Dienstleistungen Deloitte wird die Größe und die Anzahl von Distributed Denial of Service (DDoS)-Angriffen im Jahr 2017 ansteigen. Dies ist teilweise auf die wachsenden Bereiche vernetzter Dinge zurückzuführen. Mit einer Gesamtanzahl von zehn Millionen werden, laut dem jährlichen Technology, Media and Telecommunications Predictions Report von Deloitte, DDoS-Angriffe in den nächsten zwölf Monaten häufiger werden.

DDoS-Angriffe sind keine neue Erscheinung. Die potenziellen Auswirkungen auf ein Unternehmen, die sich aus dieser Kategorie von Cyberbedrohung ergeben, sollten, laut Deloitte, niemals unterschätzt werden.

Laut dem Bericht ist die Größe der DDoS-Angriffe gegenüber dem Vorjahr angestiegen. Zwischen 2013 und 2015 überstiegen die größten Attacken jedoch nicht 500 Gigabit pro Sekunde. 2016 wurden zwei Angriffe verzeichnet, die ein Terabit pro Sekunde überstiegen. In den kommenden zwölf Monaten wird die Größe des durchschnittlichen Angriffs voraussichtlich zwischen 1,25 und 1,5 GB/Sekunde liegen, wobei mindestens einmal im Monat 1 TB überstiegen wird.

Ganz einfach gesagt, zielt ein DDoS-Angriff darauf ab, eine Webseite oder eine Netzwerkressource - wie beispielsweise einen Server - unbrauchbar zu machen. Dies wird erreicht, indem eine Flut von Netzwerkverkehr von einer Reihe von Quellen gleichzeitig erzeugt wird. Eine Webseite oder eine Ressource wird davon überfordert und damit wird der Zugang oder der Dienst, wie vom Angreifer erwünscht, deaktiviert.

Wenn beispielsweise eine E-Commerce-Webseite Opfer eines DDoS-Angriffs wird, kann diese ihre Produkte nicht mehr verkaufen, bis der Angriff abgewehrt wurde. Darüber hinaus könnten ungeschützte Schwachstellen einen Dominoeffekt zur Folge haben und andere Organisationen oder Webseiten lahmlegen.

„In der physischen Welt würde eine DDoS-Attacke der Ankunft von hunderttausenden unechten Kunden in einem herkömmlichen Geschäft zur gleichen Zeit entsprechen“, so der Bericht. „Das Geschäft ist überfordert. Die echten Kunden kommen nicht hinein und das Geschäft kann nicht mehr handeln, da niemand mehr bedient werden kann.“

Vernetzte Geräte sind ein einfaches Ziel

Es gibt verschiedene Methoden, wie diese Art von Chaos hervorgerufen werden kann. Die meistgenutzten Methoden sind Botnets und Verstärkungsattacken.

Ein DDoS-Angriff wird generiert, indem ein Botnet auf hunderttausend vernetzte Geräte zugreift, die über Schadsoftware dazu gebracht werden, zerstörerisch zu handeln. Ein Verstärkungsangriff nutzt auch Schadsoftware, mit der ein Server dazu gebracht wird, eine Reihe unechter IP-Adressen zu generieren, die dann an eine Webseite geschickt werden und diese überfordern. Dieser Vorgang ist als „Spoofing“ bekannt. Beide Ansätze sind bekannt, obwohl das Botnet inzwischen beliebter geworden ist.

Unabhängig davon, wie weit verbreitet die Auswirkungen auf eine Organisation oder ein Netzwerk sind, sagt Deloitte, dass drei parallel laufende Trends das Potenzial für DDoS-Angriffe 2017 verstärken werden: das Internet of Things (IoT), leicht verfügbare Schadsoftware und hohe Verbindungsgeschwindigkeiten.

Der Hauptschuldige wird das Internet of Things sein.

Vernetzte Geräte sind bekannt für ihre Unsicherheit und können leicht von Dritten in Anspruch genommen werden. Die herkömmliche Art und Weise, wie Zugang zu einem Gerät verschafft wird, erfolgt über eine Nutzer-ID oder ein Passwort. Manche Menschen sind sich vielleicht nicht bewusst, dass auch die Firmware eines Gerätes Hackern Zugang bieten kann, so Deloitte.

Deloitte sagt: „Die Mehrheit der Benutzer sind mit der Notwendigkeit vertraut, Benutzer-ID und Passwörter zu ändern, bevor ein Gerät zum ersten Mal benutzt wird - und danach in regelmäßigen Abständen. Aber ungefähr eine halbe Million der Milliarden von Geräten im Internet of Things - ein kleiner Teil des Ganzen, aber eine recht große absolute Zahl - hat angeblich fix installierte und nicht veränderbare Benutzer-IDs und Passwörter. In anderen Worten können diese nicht geändert werden, selbst wenn der Nutzer dies möchte.“

Diese fixen Benutzer-IDs und Passwörter sind kein Problem, solange keine dritte Partei diese kennt. Das Problem ist, dass sie leicht zu finden sind.

Das Internet of Things lässt sich immer ausnutzen

Jeder Mensch mit gewissen Kenntnissen im Bereich Programmieren kann die Firmware eines Geräts durchsuchen und diese IDs und Passwörter herausfinden, so der Bericht.

Darüber hinaus kann ein kompromittiertes Internet of Things möglicherweise für seinen Besitzer unauffällig blieben, insbesondere wenn es zu keinem Leistungsabfall kommt. Theoretisch könnten Millionen von Geräten betroffen sein, ohne dass deren Besitzer wissen, dass ihr Gerät Teil eines Botnets ist. Das Vertrauen der Verbraucher in das Internet of Things entspricht der Sicherheit des vernetzten Geräts. Dieses Vertrauen kann zerstört werden, wenn ein Gerät mit wenig Aufwand ausgenutzt werden kann.

ces robot

Der Cyberangriff am 21. Oktober 2016, die das Dyn Netzwerk betroffen hat, wurde einem Botnet zugeschrieben, das vernetzte Geräte nutzte, um einige bekannte Anbieter wie Twitter, Amazon.com, Spotify, Comcast, Fox News und PayPal lahmzulegen. Tausende vernetzte Geräte wurden für diesen Angriff eingesetzt, der heute als eine der größten seiner Art gilt.

Jedes Unternehmen oder jede Organisation, die eine Internetpräsenz unterhält, sollte sich bewusst sein, dass DDoS-Attacken in nächster Zukunft nicht enden werden. Der Bericht zählte einige Sektoren auf, die sich der Auswirkungen eines erfolgreichen DDoS-Angriffs bewusst sein sollten. Dazu zählen unter anderem Einzelhändler mit einem hohen Anteil an online generiertem Umsatz, Video-Streaming-Anbieter, Finanz- oder Dienstleistungsunternehmen und Videospielanbieter.

„Einige sind gegenüber DDoS-Angriffen etwas gleichgültig geworden. Diese Angriffe werden ab 2017 jedoch stärker werden und die Angreifer werden innovativer“, so Deloitte. „Leider kann es sein, dass DDoS-Angriffe immer ein Problem bleiben werden. Die DDoS-Katze ist aus dem Sack und wird voraussichtlich nicht so schnell wieder verschwinden.“

Crowdtesting for Agile

View this video to understand how Applause crowdtesting works for agile development

Watch Now