Ist das Internet nicht fit für das IoT?

Es war unausweichlich: Wenn Toaster und Überwachungskameras irgendwann das Internet zerstören können, dann wird das geschehen. Nach den ersten Fällen unsicherer Haushaltsgeräte vor ein paar Jahren, war vielen von uns gleich klar, wie groß das Problem in der Zukunft sein kann.

Verfasser: F-Secure Business Security Insider
Datum: 20. November 2016
Lesedauer: 4 Minuten

Im Jahr 2010 waren sich alle in der Informationssicherheit darüber im Klaren, dass das chronisch ungepatchte Windows XP und Computer mit diesem Betriebssystem eine existenzielle Gefahr für das Internet darstellten.

„XP ist nicht fit für das Internet“, sagten wir zu dieser Zeit immer wieder.

Und während wir damit beschäftigt waren, mit den Augen zu rollen, fingen die Hersteller von Consumer Electronics damit an, über „Smart TVs“ zu sprechen. Autohersteller begannen heimlich und leise mit dem Einbau von SIM-Karten in ihren Autos und es wurde nach und nach klar, dass das Internet bald von mehr bevölkert sein würde, als nur von Computern und Mobilgeräten.

Es würde die Heimat von vielen „Dingen“ werden.

Das IoT ist nicht fit für das Internet…

Ein Projekt namens Internet Census 2012 amüsierte uns Infosec-Profis. Im Endeffekt war es so, dass dieses Projekt es Hackern erlaubte, Millionen Fernseher, die mit dem Internet verbunden waren, für sich nutzbar zu machen. Etwas weniger amüsant war es dann, dass ein finnischer ISP lange mit der Bereinigung eines Botnets aus tausenden digitalen Set-Top-Boxen zu tun hatte, die die Netzwerke des Providers scannten.

Allerdings zuckten alle nur mit den Schultern: Es gab keine ernsthaften Folgen und das Internet schien stark genug zu sein, um solche Späße zu überstehen.

Dennoch bestätigte das unseren Ersteindruck, dass „Dinge“ eigentlich nicht für ein Leben im Internet geschaffen waren. „Das Internet wird ihnen eine Lektion erteilen„, dachten wir.

Seither haben wir unglaublich ungelenke Versuche der alteingesessenen Hersteller gesehen, die versuchen, ihre Geräte in „von außen erreichbare“ Technik zu verwandeln. Wir haben über die Management Interfaces von Hockeybahnen, einer Schwedischen Kaviarfabrik und Weizensilos gelacht, die über das Internet verfügbar waren, weil sie über keinerlei Zugangsbeschränkungen der Fernwartungskonsolen verfügten. Entscheidungen wie diese wären vor zehn Jahren noch undenkbar gewesen. Und diese Geschäftsentscheidungen waren bestimmt nicht durchdacht, sondern zeigen eindeutig, dass das Thema schlicht vernachlässigt wird.

Inzwischen haben Stromversorger damit begonnen, von der Ferne ablesbare Zähler in Kellern und Heizräumen einzubauen. Doch scheinbar versteht nur eine Handvoll Leute, dass diese Zähler aus der Ferne gewartet werden können.

„Was ist der Unterschied?“, höre ich Sie fragen. Aus der Ferne ablesbar bedeutet „angreifbar“. Aus der Ferne wartbar bedeutet „sogar noch angreifbarer“!

Um die Jahrtausendwende hatte ein Windows-Computer ohne Firewall eine „Lebenserwartung“, die in Minuten bemessen wurde. Internet-Würmer wie Sasser, Code Red und Bugbear verursachten weltweite Epidemien, die so groß waren, dass ISPs große Probleme hatten, ihre Services überhaupt am Laufen zu halten. Einige unter Ihnen erinnern sich vielleicht an den berüchtigten Morris Worm (der vor 28 Jahren veröffentlicht wurde), der die frühe Version des Internets 1988 komplett zum Stillstand brachte.

Wenn ich mir anschaue, was wir heutzutage als das „Internet der Dinge“ bezeichnen, denke ich, dass wir nichts aus früheren Erfahrungen gelernt haben, aus einer Geschichte, in der wir angreifbare und unsichere Geräte und Software entwickelt haben.

Für uns, die wir in der Cyber Security-Community verwurzelt sind, ist die Idee eines Internet der Dinge mit industriellen Geräten etwas, das unfähig ist, sich gegen jedwede Art von Internetgefahr zu verteidigen. Wir hatten sogar Problem, ein Akronym zu finden, das den furchtbaren Status richtig beschreiben kann.

…oder ist vielleicht das Internet nicht fit für das IoT

Der amerikanische Journalist Brian Krebs wurde letztens Ziel von etwas, das die Bezeichnung der weltgrößten DDoS-Attacke aller Zeiten bekam. Sein Provider musste zeitweilig die Website von Krebs offline nehmen, um überhaupt andere Kunden bedienen zu können.

Was so unglaublich ist, ist dass der Provider in diesem Fall Amazon Web Services war, Betreiber der wahrscheinlich größten und mächtigsten Cloud-Plattform. DDoSing ist einfach, aber das in die Knie zwingen von Giganten wie AWS ist es nicht. Wenn AWS komplett abgeschaltet worden wäre, hätte das ganze Internet die Auswirkungen zu spüren bekommen. Aber da es knapp an allen vorbeigegangen ist und nur Krebs betroffen war, interessierte die ganze Sache eigentlich niemanden.

Ein weiterer interessanter Fakt, der genannt werden muss, ist dass hundertausende, vielleicht sogar Millionen, IoT-Geräte unfreiwillig an der Attacke teilgenommen haben, als Helfer des Angriffs. Wer hätte gedacht, dass das IoT am Ende hinter der ganzen Sache stehen würde?

Der letztlich nur kurzfristige Kollaps der Services von Dyn durch den massiven Datenverkehr einer riesigen DDoS-Attacke schaltete sehr populäre und für Endkonsumenten wichtige Dienste wie Twitter und Netflix ab. Der Schaden betraf Millionen Nutzer weltweit.

Wieder einmal war eine große Anzahl ungesicherter IoT-Geräte Teil des Angriffs.

Vielleicht wollen diese Zeichen der Welt etwas klar machen. Vielleicht sind diejenigen, die denken, dass das IoT unter zu wenig geschützten Geräten leidet, im Unrecht. Basierend auf dem, was wir sehen, wird der Rest des Internets (die Firmen, die Menschen und die Services) den Preis für das „Internet der unsicheren Dinge“ bezahlen.

Wenn wir unfähig sind, das IoT zu fixen, ist es vielleicht besser, den Rest des Internets zu fixen.

[Bild von DAVID BURILLO | Flickr]


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s