Die Risiken wachsen mit dem Internet der Dinge

Bild: FBI

US-Regierung plant nach DDoS-Angriff "strategische Prinzipien" zur Sicherung des Internet der Dinge

Die DDoS-Angriffe mittels eines Botnets aus mit dem Internet verbundenen Geräten (Internet der Dinge) haben am Freitag der letzten Woche vorübergehend Websites von großen US-Firmen wie Netflix, Amazon, Twitter, Reddit oder New York Times unerreichbar gemacht. Es war der bislang massivste Angriff mit einem Botnet, das mit dem im September in einem Hackerforum veröffentlichtes Programm Programm Mirai ausgeführt wurde. Mit diesem lassen sich Angriffe mit einem Volumen von mehr als einem Terabyte pro Sekunde durchführen. Sie haben die zu wenig geschützten Server von Dyn, einem DNS-Provider, überwältigt und dafür gesorgt, dass Webadressen- Anfragen nicht mehr in IP-Adressen aufgelöst und weitergeleitet werden konnten. So können mit einem massiven Spam-Angriff auf einen großen DNS-Provider zahlreiche Websites betroffen sein.

Wer die Täter sind, ist noch unbekannt, es kursieren die üblichen Gerüchte und Vermutungen, auch Russland wird ins Spiel gebracht. Die Angreifer haben vermutlich vor allem Überwachungskameras und digitaler Videorekorder des chinesischen Herstellers XiongMai Technologies benutzen können, da diese mit einem Standard-Passwort ausgeliefert werden. Mitarbeiter der Sicherheitsfirma Flashpoint und der Security-Bloggers Brian Krebs fanden heraus, dass viele dieser Geräte, die weltweit ausgeliefert werden, auf "username: root" und "password: xc3511" eingestellt waren - und das Passwort war auch noch unveränderbar in der Firmware eingetragen. Man braucht also nur mit Mirai zu scannen und die Geräte damit zu infizizieren. Die Nutzer kriegen in der Regel gar nicht mit, dass ihr Gerät gekapert wurde, das mit dem Programm Mirai aus IoT-Geräten eine Armee der Dinge macht. Es hätte auch einen anderen Hersteller treffen können.

Mittlerweile hat die Firma angekündigt, Millionen von Geräten, vor allem IP-Kameras, zurückzurufen. Mirai sei "eine Katastrophe für das Internet der Dinge", so schrieb sie in einer Mail an Journalisten. Man habe allerdings im September 2015 einen Fix für die Firmware verbreitet, die seitdem verschickte Hardware fordere die Nutzer dazu auf, das voreingestellte Passwort zu verändern.

Experten gehen davon aus, dass weitere massive DDoS-Angriffe auf der Basis des Internet der Dinge erfolgen werden, da diese eben oft schlechter gesichert sind als Computer, Sicherheitslücken bleiben bestehen, wenn keine Patches gemacht werden oder die Nutzer keine Updates durchführen. Und das Internet der Dinge schwillt praktisch täglich mit weiteren Geräten von Überwachungskameras, Kühlschränken, Thermostaten, Stromzählern oder Feuermeldern und allen anderen Gadgets und Sensoren von smart homes sowie tausenden anderen Dingen an, in die ein Minicomputer mit Verbindung zum Internet integriert wird.

Ausgeschaltet werden könnten durch Angriffe auf das Domain Name System womöglich auch gezielt ganze Top Level Domains (TLDs) wie .com oder ganze Länder wie .de. Deutlich zunehmen werden die Machine to Machine-Verbindungen (M2M), bei eine menschliche Intervention nicht mehr vorgesehen ist. Schätzungen gehen von 2 Milliarden mit dem Internet verbundenen M2M-Geräten alleine in Europa bis 2019 aus.

In den USA ist man nach dem Angriff aufgeschreckt. Das Heimatschutzministerium DHS reagierte schnell und hat schon am Tag des Angriffs mit mehreren großen Kommunikationsanbietern beraten, wie sich in Zukunft solche massiven DDoS-Angriffe verhindern lassen. Am Montag erklärte der Minister Jeh Johnson, man habe die Vorfälle genau beobachtet und wichtige Informationen an die Partner weitergeleitet.

Er bestätigte, dass der Angriff mit dem Schadprogramm Mirai über das Internet der Dinge erfolgte. Das ihm unterstehende National Cybersecurity Communications and Integration Center arbeite mit der Justiz, der Privatwirtschaft und Wissenschaftlern an der Entwicklung von Mitteln, die gegen Mirai und ähnliche Programme Schutz bieten. Und man sei dabei, "strategische Prinzipien zur Sicherung des Internet der Dinge" zu erarbeiten. Was damit gemeint ist, ließ er freilich im geheimnisvollen Dunkel.

Die Industrie fürchtet allerdings eine zu strenge Regulierung und Kontrolle. Verwiesen wird darauf, dass auch das Spam-Problem durch ein Gesetz wie in den USA 2003 nicht gelöst worden ist. Weiterhin sind 90 Prozent der Emails Spam. Aber für das Internet der Dinge gibt es keine Zertifizierungen, jeder kann auf den Markt bringen, was er will, und damit auch die Risiken vergrößern. (Florian Rötzer)

Anzeige