27.10.2016
DDoS-Attacke
1. Teil: „Security-Vorkehrungen im IoT größtenteils mangelhaft“
Security-Vorkehrungen im IoT größtenteils mangelhaft
Autor: Alexandra Lindner
Achmad Fahmi Rosyad / Shutterstock.com
Die Cyberattacke, die vergangenes Wochenende Twitter, Spotify, Paypal und andere Dienste lahmgelegt hat, zeigt gravierende Sicherheitsmängel bei IoT-Geräten.
Smart-Home-Systeme versprechen die komfortable Automatisierung des Alltags. Fast alles lässt sich bequem von unterwegs steuern. Was auf den ersten Blick nach Komfort und Luxus klingt, kann aber auch zum Boomerang werden. Die Vorstellung, via vernetzter Geräte (beispielsweise Webcams) von überall aus zu Hause nach dem Rechten zu sehen, scheint im ersten Moment beruhigend. Bedenkt man aber, dass es für Hacker ein Leichtes ist, ebenfalls auf IoT-Geräte zuzugreifen und so etwa Einblicke in die eigene Privatsphäre zu bekommen, sinkt die Begeisterung doch beträchtlich.
Trotzdem sind Smart-Home-Systeme oft schlecht bis gar nicht gegen Hackerangriffe geschützt. Bei vielen Geräten hat der User gar keine Möglichkeit, Passwörter und andere Sicherheitsvorkehrungen manuell und individuell festzulegen. So ist es nicht verwunderlich, dass viele dieser vernetzten Geräte bereits mit Schad-Software infiziert sind.
Diese Malware kann etwa dazu verwendet werden, all diese Geräte zu einem Botnet zusammenzuschließen.. Hacker können mit solchen Netzwerken etwa sogenannte DDoS-Attacke (Distributed-Denial-of-Svervice-Attacke) ausüben.
IoT-Botnet legt Twitter, Spotify und Co. lahm
So geschehen am vergangenen Wochenende, als ein Botnet aus Millionen von vernetzten IoT-Geräten dazu verwendet wurde, eine DDoS-Attacke gegen den Web-Dienstleister Dyn zu begehen. Seiten wie etwa Twitter und Spotify wurden von diesem Botnet mit derart vielen Anfragen überhäuft, dass die Server schlicht überlastet waren. Die Websites waren für mehrere Stunden nur sehr langsam oder gar nicht erreichbar. Die Besitzer der IoT-Geräte haben den externen Zugriff (etwa auf den Drucker oder den Thermostat an der Heizung) gar nicht erst bemerkt.
Während Nutzer ihre internetfähigen Geräte, wie Rechner, Tablet-PC oder Smartphone in der Regel selbst mit entsprechenden Security-Programmen ausstatten, um sich vor Datenklau zu schützen, gestaltet sich das Ganze bei anderen vernetzten Geräten etwas schwieriger. Der User hat kaum Möglichkeiten, auf die Technik im Gerät zuzugreifen. Hier sind viel mehr die Hersteller im Zugzwang. Sie müssen von vornherein dafür sorgen, dass Schad-Software wie „Mirai“, die mutmaßlich für die Attacke vergangene Woche verwendet wurde, die Geräte gar nicht erst infizieren kann.
2. Teil: „BSI sieht Hersteller im Zugzwang“
BSI sieht Hersteller im Zugzwang
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht den Handlungsbedarf ebenfalls vor allem auf Seiten der Hersteller:
„Der Fall zeigt anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird. Angreifer durchsuchen das Internet auf der Suche nach verwundbaren Netzwerkgeräten, werden hunderttausendfach fündig und schließen die Geräte zu einem schlagkräftigen Angriffswerkzeug zusammen. Die Anwender merken oft nichts davon, dass ihre Geräte übernommen wurden. Wir fordern daher die Hersteller von Netzwerkgeräten auf, die Sicherheit ihrer Produkte zu verbessern und schon bei der Entwicklung neuer Produkte das Augenmerk nicht nur auf funktionale und preisliche Aspekte zu richten, sondern auch notwendige Sicherheitsaspekte einzubeziehen. Das BSI wird den Dialog mit den Herstellern und Verbänden verstärken, um gemeinsam Lösungsansätze zu entwickeln."
Passwörter regelmäßig ändern
Grundsätzlich sollte jeder, der sich im IoT bewegt, darauf achten, sichere Passwörter zu verwenden. Am besten eines für den Login im Smart-Home-Netzwerk und für jeden weiteren Zugriff auf einzelne Geräte ein weiteres. Außerdem sollten diese Passwörter, wie auch die des Rechners regelmäßig geändert werden.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Datenverfügbarkeit
Where EDGE Computing meets 5G
Logistik- und Produktionsprozesse sollen flüssig und fehlerfrei laufen. Maschinen und Personal müssen im Takt funktionieren. Zulieferer haben just-in-time anzuliefern. Dies stellt hohe Anforderungen an die lokale Datenübertragung. Welche Technik bietet sich dazu an?
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>