BSI-Lagebericht über IT-Sicherheit in Deutschland - Botnet-Angriffe aus der Industrie
Teilweise fremdgesteuert
Die Anzahl außerhalb klassischer IT-Anwendungen genutzter Mikrorechnersysteme nimmt im Moment rasant zu - u.a. in der Industrie. Gleichzeitig steigt die Gefahr der missbräuchlichen Nutzung durch Cyberangreifer. Besonders auffällig: Immer mehr derartige Systeme sind bereits ohne Wissen der Nutzer in Bot-Netze eingebunden und für größere Attacken auf Internetserver benutzt worden. Der aktuelle Lagebericht des BSI geht auch auf dieses Thema ein.
Bild: SSV Software Systems GmbHAuch schon vor dem offiziellen Bekanntwerden von Meltdown und Spectre wurde über den neuesten Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland offiziell bekannt, wie inzwischen auch hierzulande Mikrorechner in industriellen Steuerungen und Embedded-Systeme durch Cyberattacken bedroht werden.
Bild: SSV Software Systems GmbH
Bild: SSV Software Systems GmbH
Bild: SSV Software Systems GmbHGefahren durch Bot-Netze
Spektakuläre Cyberangriffe auf einzelne IoT-Lösungen wurden in den vergangenen Monaten nicht beobachtet. Obwohl die Anzahl der IoT- und Cloud-Lösungen durch Smart-Home- und Smart-Factory-Anwendungen mit bemerkenswertem Tempo zunimmt und sogar neue IoT-Funkstandards zum Einsatz kommen, sind bis zum gegenwärtigen Zeitpunkt keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf die Komponenten und Infrastrukturen identifizierbar. Smart-Home-IoT-Lösungen waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis Cyberkriminelle entsprechende Geschäftsmodelle gefunden haben, um auch im IoT-Segment aktiv zu werden. Völlig anders sieht es hingegen mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme. Im August 2016 war mit Mirai schon ein fast 700 Prozent größeres Bot-Netz aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden. Bei einer für 2020 prognostizierten Anzahl von über 20Mrd. direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollte man das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten dieser IoT-Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten besitzen, um immer professionellere Kriminelle davon abzuhalten, sie für Angriffe auf andere Infrastrukturkomponenten oder Services zu missbrauchen. Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps - z.B. für Wearables - mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheitsupdates zur Verfügung stehen. Es ist daher davon auszugehen, dass bis 2020 der erste Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit Millionen einzelnen, eingebetteten Rechnersystemen und Smartphones erfolgen kann. Die Auswirkungen einer solchen Attacke könnten durch die fortschreitende Digitalisierung sehr dramatisch ausfallen und Folgeschäden verursachen, die sich im Moment nicht einmal ansatzweise abschätzen lassen.
Bild: SSV Software Systems GmbHAngriffe bleiben häufig unbemerkt
Es ist aus technischer Sicht eigentlich unverständlich, warum z.B. die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass über den Internetzugang eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Es ist sogar sehr wahrscheinlich, dass auch unzählige andere installierte Systeme nahezu identische Schwachstellen aufweisen, weil `Security by Design' noch kein Bestandteil der Entwickler-Lastenhefte war. Im Telekom-Angriffsszenario hätte bereits eine simple Software-Change-Meldung an einen zentralen Maintenance-Server oder ein Logging-Server-Eintrag im Internet ausgereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen. Dafür muss die Firmware des Mikrorechners im Router oder ein zentraler Logging-Server lediglich automatisch erkennen, dass eine unbekannte Software installiert oder gestartet wurde. Für ein Embedded Linux wäre eine solch einfache Root-of-Trust-Erkennung mit relativ wenig zusätzlichen Codezeilen realisierbar. Des Weiteren sollten alle Systeme, die eine Netzwerkschnittstelle besitzen, unbedingt auch eine zeitgemäße Möglichkeit für Vorort-Software-Updates aufweisen. Besonders einfach ist ein Update, wenn eine permanente Internetverbindung besteht. In diesem Fall könnten die eingebetteten Mikrorechner von Zeit zu Zeit auf dem Maintenance-Server nach Updates schauen oder sich per Subscribe-Nachricht über ein anstehendes Update benachrichtigen lassen.
Security-by-Design
Hinsichtlich der Security ist nahezu die gesamte IoT-Welt sehr weit von den Schutzmaßnahmen entfernt, die dem Stand der IT-Technik entsprechen. Die Ursachen dafür sind vielfältig. Teilweise fehlt es auf der Anbieterseite an dem erforderlichen Fachwissen und systembezogenen Denken. Vielfach geht man aber wohl auch davon aus, das IT-Security ein Anwenderthema sei, zumal die rechtliche Seite sich hier bisher auch noch nicht eindeutig positioniert hat. Sinnvoll wäre auf der Herstellerseite - analog zur Entwicklung der Funktionen und Gerätesicherheit - aber auf jeden Fall der Einsatz professioneller Methoden und Werkzeuge, um die IT-Security eines IoT-Produktes zu gewährleisten. `Security-by-Design' sollte kein Marketing-Versprechen, sondern ein aktiver Bestandteil der Produkt- und Lösungsentwicklung sein.
Die Anzahl außerhalb klassischer IT-Anwendungen genutzter Mikrorechnersysteme nimmt im Moment rasant zu - u.a. in der Industrie. Gleichzeitig steigt die Gefahr der missbräuchlichen Nutzung durch Cyberangreifer. Besonders auffällig: Immer mehr derartige Systeme sind bereits ohne Wissen der Nutzer in Bot-Netze eingebunden und für größere Attacken auf Internetserver benutzt worden. Der aktuelle Lagebericht des BSI geht auch auf dieses Thema ein.
Bild: SSV Software Systems GmbHAuch schon vor dem offiziellen Bekanntwerden von Meltdown und Spectre wurde über den neuesten Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland offiziell bekannt, wie inzwischen auch hierzulande Mikrorechner in industriellen Steuerungen und Embedded-Systeme durch Cyberattacken bedroht werden.Bild: SSV Software Systems GmbH
Bild: SSV Software Systems GmbHBild: SSV Software Systems GmbHGefahren durch Bot-Netze
Spektakuläre Cyberangriffe auf einzelne IoT-Lösungen wurden in den vergangenen Monaten nicht beobachtet. Obwohl die Anzahl der IoT- und Cloud-Lösungen durch Smart-Home- und Smart-Factory-Anwendungen mit bemerkenswertem Tempo zunimmt und sogar neue IoT-Funkstandards zum Einsatz kommen, sind bis zum gegenwärtigen Zeitpunkt keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf die Komponenten und Infrastrukturen identifizierbar. Smart-Home-IoT-Lösungen waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis Cyberkriminelle entsprechende Geschäftsmodelle gefunden haben, um auch im IoT-Segment aktiv zu werden. Völlig anders sieht es hingegen mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme. Im August 2016 war mit Mirai schon ein fast 700 Prozent größeres Bot-Netz aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden. Bei einer für 2020 prognostizierten Anzahl von über 20Mrd. direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollte man das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten dieser IoT-Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten besitzen, um immer professionellere Kriminelle davon abzuhalten, sie für Angriffe auf andere Infrastrukturkomponenten oder Services zu missbrauchen. Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps - z.B. für Wearables - mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheitsupdates zur Verfügung stehen. Es ist daher davon auszugehen, dass bis 2020 der erste Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit Millionen einzelnen, eingebetteten Rechnersystemen und Smartphones erfolgen kann. Die Auswirkungen einer solchen Attacke könnten durch die fortschreitende Digitalisierung sehr dramatisch ausfallen und Folgeschäden verursachen, die sich im Moment nicht einmal ansatzweise abschätzen lassen.
Bild: SSV Software Systems GmbHAngriffe bleiben häufig unbemerkt
Es ist aus technischer Sicht eigentlich unverständlich, warum z.B. die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass über den Internetzugang eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Es ist sogar sehr wahrscheinlich, dass auch unzählige andere installierte Systeme nahezu identische Schwachstellen aufweisen, weil `Security by Design' noch kein Bestandteil der Entwickler-Lastenhefte war. Im Telekom-Angriffsszenario hätte bereits eine simple Software-Change-Meldung an einen zentralen Maintenance-Server oder ein Logging-Server-Eintrag im Internet ausgereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen. Dafür muss die Firmware des Mikrorechners im Router oder ein zentraler Logging-Server lediglich automatisch erkennen, dass eine unbekannte Software installiert oder gestartet wurde. Für ein Embedded Linux wäre eine solch einfache Root-of-Trust-Erkennung mit relativ wenig zusätzlichen Codezeilen realisierbar. Des Weiteren sollten alle Systeme, die eine Netzwerkschnittstelle besitzen, unbedingt auch eine zeitgemäße Möglichkeit für Vorort-Software-Updates aufweisen. Besonders einfach ist ein Update, wenn eine permanente Internetverbindung besteht. In diesem Fall könnten die eingebetteten Mikrorechner von Zeit zu Zeit auf dem Maintenance-Server nach Updates schauen oder sich per Subscribe-Nachricht über ein anstehendes Update benachrichtigen lassen.
Security-by-Design
Hinsichtlich der Security ist nahezu die gesamte IoT-Welt sehr weit von den Schutzmaßnahmen entfernt, die dem Stand der IT-Technik entsprechen. Die Ursachen dafür sind vielfältig. Teilweise fehlt es auf der Anbieterseite an dem erforderlichen Fachwissen und systembezogenen Denken. Vielfach geht man aber wohl auch davon aus, das IT-Security ein Anwenderthema sei, zumal die rechtliche Seite sich hier bisher auch noch nicht eindeutig positioniert hat. Sinnvoll wäre auf der Herstellerseite - analog zur Entwicklung der Funktionen und Gerätesicherheit - aber auf jeden Fall der Einsatz professioneller Methoden und Werkzeuge, um die IT-Security eines IoT-Produktes zu gewährleisten. `Security-by-Design' sollte kein Marketing-Versprechen, sondern ein aktiver Bestandteil der Produkt- und Lösungsentwicklung sein.
SSV Software Systems GmbH
Dieser Artikel erschien in SPS-MAGAZIN 5 2018 - 15.05.18.Für weitere Artikel besuchen Sie www.sps-magazin.de
