Das IoT vergiftet das Internet

Die Security-Landschaft wird gerade um­gepflügt. Kriminelle automatisieren ihre Angriffe und finden über Internet of Things (IoT) und Operational Technology (OT) neue Einfallstore in Unternehmensnetze, berichtet Derek Manky, der als Global Security Strategist beim Sicherheitsspezialisten Fortinet tätig ist.

com! professional: Wie sehen Sie die derzeitige Situation an der Cyberfront? Welche Trends beobachten Sie aufseiten der Cyberkriminellen?

Derek Manky: Der allererste Wurm ist ja schon in den 1970er-Jahren aufgetaucht, und auch Ransomware ist nicht erst seit gestern bekannt. Das Konzept stammt von 1998. Damals forderten die Erpresser noch, dass die Opfer ihnen Bargeld an ein Postfach in Panama schicken. Diese Bedrohungen bestanden nur aus einfachen Algorithmen und einzelnen Codezeilen. Sie brauchten auch nicht sonderlich innovativ zu sein, um großen Schaden anzurichten, weil die Ziele sehr einfach zu knacken waren.

Das hat sich radikal geändert. Zwischen Windows XP mit Service Pack 2 und einem aktuellen Windows 10 liegen Welten, was die Absicherung anbelangt. Das kann ich aus der Warte eines Penetration-Testers bestätigen. In der Regel brauchen wir heute 30 bis 35 Tage, um eine Verwundbarkeit in komplett gepatchten Windows-10-Systemen ausfindig zu machen.

Manky: Ja, aber nicht nur. Viel einfacher ist es für die Cyberkriminellen, nach neuen Zugangswegen in Systeme und Netze zu suchen, und die haben sie auch gefunden - über die vielen IoT-Geräte.

Vor gut zwei Jahren tauchte der Angriffsvektor IoT in den Top 10 unserer Bedrohungsstatistik auf. Davor wurden Firmen hauptsächlich über PCs, später über mobile Android-Geräte angegriffen. Das Problem mit den IoT-Geräten, vom Drucker über das NAS bis zur Webcam, ist, dass sie viele Sicherheitslücken aufweisen, die von den Herstellern nicht einmal gepatcht werden. Zum Teil sind Software-Updates geschweige denn Security-Updates gar nicht vorgesehen. Bei IoT-Geräten finden wir vier bis fünf Sicherheitslücken pro Tag, bei Windows eine pro Monat. Für mich ist IoT gleichbedeutend mit dem Vergiften des Internets.

com! professional: Sehen Sie Anzeichen dafür, dass Hersteller künftig mehr auf Security-Standards achten?

Manky: Nicht wirklich. Zunächst einmal kennen die IoT-Entwickler keine Security-Standards. Dann sind viele IoT-Geräte nicht updatebar. Und wenn sie es sind, reagieren die Hersteller kaum auf unsere Hinweise. Informieren wir sie über Lücken, können sie damit meist gar nichts anfangen, weil ihre Entwickler in Security-Fragen nicht geschult sind. Manchmal reagieren die IoT-Firmen sogar sehr ablehnend und feindlich.

com! professional: Gibt es neben IoT weitere Angriffswege?

Manky: Derzeit beobachten wir viele Attacken, die über die OT-Schiene laufen. Aktuell betroffen sind nicht nur die klassischen industriellen Ziele, sondern auch das Gesundheitswesen wird über OT-Systeme vermehrt angegriffen. Generell kann man sagen, dass sich die Angriffsvektoren vermehren.

com! professional: Das heißt auch, dass kritische Infrastrukturen vermehrt attackiert werden?

Manky: Genau. Wir haben gerade einen Forschungsbericht veröffentlicht, in dem wir beispielsweise aufzeigen, wie eine Lücke in industriellen Switches von Moxa dazu verwendet wird, in die IT von Elektrizitätswerken einzudringen. Interessanterweise waren hauptsächlich Ziele in Japan betroffen, obwohl die Switches natürlich weltweit Verwendung finden.

Daneben beobachten wir vermehrt, dass Firmen über Systeme angegriffen werden, die im Allgemeinen nicht als kritisch angesehen werden, aber dennoch viel Schaden anrichten können. Ein gutes Beispiel ist die Haustechnik von Bürogebäuden wie Heizung und Lüftung, deren Steuerung für Angriffe missbraucht werden kann.

Letztlich ist auch im OT-Bereich die Mensch-Maschine-Schnittstelle die größte Schwachstelle. In vielen Industrien stehen noch alte Windows-Rechner, die für den Betrieb benötigt werden. Wenn es Hackern gelingt, diese Systeme anzugreifen, dann können sie sich von dort aus auch in kritischere Bereiche vorarbeiten. Das heißt, selbst wenn die operationellen Systeme für sich gesehen gehärtet und damit kaum zu hacken sind, gibt es oft einen Weg, über manchmal seit Jahren bekannte Sicherheitslücken in der Kontroll-Software einzudringen.

Manky: Das größte Problem beim Kampf zwischen White Hats und Black Hats, zwischen den Guten und den Bösen, läuft darauf hinaus, dass sich die kriminellen Hacker an nichts halten müssen, sondern einfach mal wild draufloshacken und testen können, was funktioniert und was nicht.

Ich bezeichne diese Hacker daher gern als „verrückte Wissenschaftler“ (Mad Scientists). Ein weiteres, sehr ernst zu nehmendes Phänomen ist die zunehmende Automatisierung aufseiten der Hacker. Das reduziert die Zeit, die vergeht, bis Hacker eine Sicherheitslücke finden und ausnutzen, auf ein Minimum.

Es gibt heute viele Toolkits und Frameworks, mit denen die Angreifer Attacken automatisieren können. Bestes Beispiel ist Autosploit. Dieses Rahmenwerk verbindet das Hackerwerkzeug Metasploit mit der Gerätesuchmaschine Shodan. Damit lassen sich sehr effizient mit dem Internet verbundene Rechner und Devices mit bekannten Sicherheitslücken finden. Mit diesem Automationsniveau werden die Angreifer sehr beweglich und schnell, sodass die Verteidiger kaum noch Zeit haben, angemessen zu reagieren.

Manky: Nicht wirklich. Die Hacker genießen zwar sehr viele Vorteile und sind im Wettrüsten der Methoden oft vorn. Wenn es aber um reine Technologie geht, dann befinden sie sich nach wie vor im Hintertreffen. Die Erklärung hierfür ist einfach: Hacker können immer noch dem Weg des geringsten Widerstands folgen. Als Konsequenz müssen sie auf ihrer Seite nicht allzu innovativ vorgehen. Schließlich funktionieren sehr viele Attacken noch.

Die Seite der Verteidiger dagegen investiert seit gut fünf Jahren viel Zeit und Geld in die Entwicklung von ML und KI. Bei uns analysieren ganze Rechenzentren Daten über Angriffe, wodurch die ML-basierten Abwehrsysteme laufend besser und genauer werden. Zudem trainieren unsere Mitarbeiter die Systeme. Die Hackerseite hat - zum Glück -diese Ressourcen noch nicht, sie braucht sie aber auch noch nicht.

Manky: Vielversprechend ist eine Verwirrungstaktik. Dabei legen Sie als Firma diverse Köder im Netzwerk aus. Wenn also ein Angreifer, ein automatisiertes Angriffswerkzeug oder in Zukunft ein KI-System sich im Netz umsieht, dann stößt er oder es neben der echten Infrastruktur auf zahlreiche fingierte Ressourcen wie falsche IoT-Geräte, Fake-Server, gefälschte Applikationen oder korrupte Datensätze. Der Angreifer kommt sich dann vor wie in einem Spiegelkabinett und kann sich nicht entscheiden, wo er angreifen soll. 

Das wird jedoch nur für eine gewisse Zeit funktionieren, denn es zwingt die Hacker dazu, eigene Intelligenz zu entwickeln. Aber solange es genügend einfache Ziele gibt, also Unternehmensnetze ohne Spiegelkabinett, kann diese Methode vor Cyberangreifern schützen.

com! professional: Sie haben eine erste Automatisierung in Form von Swarm-Bots beobachtet. Was ist das denn?

Manky: Vieles, was wir im Netz gegenwärtig sehen, basiert auf Automation. Es gibt aber auch schon erste Vorformen von KI-basierten Angriffen. Eine solche sind die von uns kürzlich näher analysierten Bot-Schwärme, die sich selbst organisieren können.

Bisher bekannte Bot-Netze wie Mirai und Reaper werden immer noch von Menschen betrieben. Ganz anders sieht es bei Swarm-Bots wie „Hide and Seek“ aus. Hier können sich infizierte Bots austauschen und aufgrund der geteilten Informationen aktiv handeln. Bisherige Bot-Netze warten dagegen, bis ein Mensch ihnen einen Befehl schickt. Bei Hide and Seek wird der Mensch aus der Gleichung herausgenommen, was an sich schon beängstigend ist.

Immerhin: Bislang werden die Bot-Schwärme lediglich für das Erkunden der Netzwerkumgebung verwendet, also nur für die erste Angriffsphase.

Manky: Nehmen wir an, die Angreifer haben ein NAS und einen Drucker in einen Bot verwandelt. Beide infizierten Geräte sehen nun einen bestimmten Teil des Unternehmensnetzes. In der Folge tauschen sie sich gegenseitig über ihre Beobachtungen aus, lernen voneinander und arbeiten danach als Kollegen zusammen.

com! professional: Und wie kann man sich gegen Bot-Schwärme wehren?

Manky: Derzeit ist einzige Möglichkeit, den Schwärmen Herr zu werden, dass man Verwirrung stiftet und die Bots auf diese Weise außer Gefecht setzt. Eine weitere Möglichkeit wäre, ein umfassendes KI-System auf der Verteidigungsseite einzusetzen. Allerdings gibt es so etwas noch nicht, aber wir sind dran.

Manky: Bei Fortinet haben wir in den letzten fünf Jahren ein KI-System entwickelt, das sich der Virenabwehr widmet. Es kann selbstständig Code analysieren und bei entsprechendem Befund die Malware blockieren.

Solche Antivirensysteme sind zwar ein wichtiger Schritt in die richtige Richtung, aber nur eine erste Stufe, weil sie einfacher zu trainieren sind und nach einer gewissen Zeit recht zuverlässig arbeiten, also nicht zu viele „False Positives“ produzieren. Ganz anders bei KI-Systemen, die Einbrüche in Netze und Angriffe abwehren sollen. Hier ist die Industrie noch ganz am Anfang. Zwar gibt es bereits Anbieter, die behaupten, mit KI Eindringlinge abhalten zu können. Aber sie verwenden unbeaufsichtigte Lernroutinen und generieren zu viele False Positives.

Es gibt also noch einige Probleme mit dieser Technik. Das soll aber nicht heißen, dass sie in Zukunft nicht verbessert werden kann.

com! professional: Nochmals zurück zu den Swarm-Bots. Wäre es nicht möglich, dass Sie als „die Guten“ selbst Bot-Schwärme ausschicken, um die Schwärme der „Bösen“ zu bekämpfen?

Manky: Technisch wäre das durchaus möglich. Auch die Idee, über Bots Sicherheitslücken in Unternehmensnetzen zu schließen, ist fraglos machbar. Die große Krux dabei: Auch ein gut gemeinter Angriff ist ein Angriff und somit illegal.

com! professional: Besteht die Gefahr, dass bald KI-Systeme der Angreifer auf KI-Systeme der Verteidiger treffen?

Manky: Das liegt durchaus im Rahmen des Möglichen. Solche „Flash War“ genannten Begegnungen werden kommen.

Manky: Auf jeden Fall. Solche Kriege zwischen KI-Systemen könnten in Sekundenbruchteilen entstehen, sodass Sie keine Chance haben, darauf zu reagieren. Tatsächlich könnte ein solcher Kampf schon vorüber sein - ohne dass Sie davon etwas mitbekommen. Davor habe ich mehr Angst als vor Szenarien, wie sie Elon Musk aufs Tapet gebracht hat, bei der Skynet-artige allmächtige KI-Systeme ihr Eigen­leben führen.

Die Beschleunigung ist für mich derzeit das realistischere und damit gefährlichere Szenario. Wir müssen uns nur die Verkürzung der Zeitfenster für Angriffe an­sehen, die allein durch Automatisierung schon heute möglich ist. Stuxnet brauchte noch zwei Jahre, um seine gewünschte Wirkung zu entfalten. Dieses Zeitfenster ist auf Monate, Stunden und heute auf Minuten verkürzt worden. In un­serer Proof-of-Concept-Attacke mit Autosploit dauerte der Angriff lediglich zwei Minuten. Wie gesagt, hier ist reine Automatisierung am Werk. Mit KI und Machine Learning wird sich das nochmals beschleunigen, da bin ich ziemlich sicher. Angriffe in Millisekunden, wenn nicht Nano­sekunden, werden dann wohl möglich werden.

com! professional: Können Sie sich einen Zeitpunkt vorstellen, an dem die Guten die Bösen geschlagen haben werden?

Manky: Nein, das kann ich nicht. Wir werden bestimmt Fortschritte machen, aber Cyberkriminalität sicherlich nicht ausrotten. Die physische Kriminalität gibt es ja auch seit Menschengedenken. Trotz immer effizienterer Methoden der Strafverfolgungsbehörden konnte diese ja auch nicht eliminiert werden. Die IT-Security kann für die Eindämmung sorgen, aber es gibt auch in diesem Bereich kein Wundermittel.