IoT-Sicherheitsrisiken: Mirai ist jetzt.

Mirai

Im Japanischen stehen die Schriftzeichen Mi für „noch nicht“ und Rai für „werden“; zusammen werden sie mit „Die Zukunft“ übersetzt. Der westlichen Welt ist der Begriff Mirai vor allem seit Ende 2016 bekannt. Als Mirai gelangte damals ein Botnet-Angriff in die Schlagzeilen, der durch die Infizierung von IoT-Geräten zu Internetausfällen in den USA, Großbritannien und Deutschland führte. Alleine in Deutschland hatten fast eine Million Kunden Probleme mit ihrem Internetzugang, die sich aus einem koordinierten Cyberangriff auf die von ihrem Internetanbieter zur Verfügung gestellten Heimrouter ergaben.

Der erste große IoT-Sicherheitsangriff zielte auf Systeme, die vom Domain Name System (DNS)-Anbieter Dyn zum Umleiten von Domainnamen auf die zugehörigen IP-Adressen betrieben werden. Dabei wurden innerhalb eines verteilten DDoS-Angriffs (distributed denial-of-service) die Server mit einer riesigen Menge DNS-Abfragen von ungefähr 500 Millionen IP-Adressen überflutet, so dass viele Endkunden in Europa und Nordamerika zahlreiche große Internetplattformen und -dienste nicht mehr nutzen konnten. Betroffen waren über 75 Webdienste von Airbnb bis Zillow. Mit einer geschätzten Last von 1,2 Terabit pro Sekunde war der Angriff laut Experten zu dem Zeitpunkt die bisher größte DDoS-Attacke. Man nimmt an, dass die Abfragen von vom Botnet Mirai ausgingen. Dieses besteht aus unzähligen über das Internet vernetzten Geräten wie Druckern, Webcams und Heimroutern bis hin zu Babyphones, die alle mit der Mirai-Malware infiziert sind und von dieser gesteuert werden.

Business-Modell BOTaaS

Internetfähige IoT-Geräte sind für den Aufbau eines Botnets das Paradies. Sie kommen meist mit Standardpasswörtern fürs Setup, beispielsweise „admin 12345“, die selten geändert werden. Viele haben versteckte Zugänge für den Kundendienst. Ganz wenige haben ein aktives Programm, um Patches und Updates zu installieren. Hat ein Botnet erst einmal Zugang zu einem IoT-Endgerät, kann dieses dazu benutzt werden, über die Call-Home-Funktion weitere Anweisungen vom Cyberkriminellen anfordern, um andere ungeschützte Geräte im Netzwerk aufzuspüren, Daten zu stehlen, Daten zwecks Erpressung von Lösegeld zu sperren oder einen großangelegten Angriff wie die Mirai DDoS-Attacke zu starten. Glücklicherweise ist es bis jetzt bei passiven bzw. DDoS-Angriffen geblieben. Viel gefährlicher wäre es, wenn durch IoT-Sensoren kritische Infrastrukturen wie Transport oder Energieversorgung aktiv beeinflusst würden.

Für Cyberkriminelle lohnt sich diese Vorgehensweise in vielerlei Hinsicht. Sie können Botnets sammeln und an jeden, der sie nutzen will, als so genanntes BOTaaS (Botnet as a Service) vermieten. Pro 1000 Computer beläuft sich die Miete auf gerade einmal 200 bis 300 Dollar, so die Zeitschrift PC World. Das führt immer öfter zu Cybererpressung, bei der Unternehmen mit DDoS-Attacken bedroht werden. Erleichtert werden solche Aktivitäten zusätzlich durch die digitale Währung Bitcoin, bei der Zahlungen nicht nachverfolgt werden können.

Schutz ist theoretisch möglich – die Praxis sieht oft anders aus

Vor solchen Angriffen schützen einerseits eine widerstandsfähige Firewall, die bestimmte Muster erkennt, wie etwa eine Call-Home-Aktivität, die nicht zu einem autorisierten Händler führt. Andererseits helfen Sicherheitssysteme auf den Endgeräten, die die Logins von den Clients überwachen und bei Bedarf die Gerätesoftware aktualisieren. Aber wer zwingt die Hersteller dazu, all dies in ihre Geräte einzubauen? Auch der Endanwender kann helfen, indem er regelmäßig Passwörter ändert und die Firmware auf dem neuesten Stand hält. Aber welcher Endanwender weiß von diesen Möglichkeiten und ist technisch dazu in der Lage?

Die Situation von IP vernetzten Geräten und Umgebungen ist damit anfälliger denn je für Angriffe aus dem Netz. HDS (Hitachi Data Systems) Umgebungen erlauben es daher zum Beispiel, das Risiko zunächst auf verschiedene Mandanten in Rechenzentren zu verteilen und Multiple Snapshots zu erzeugen. Diese erlauben dann, die RPO (Recovery Point Objective) beliebig zu setzen, um mit niedrigsten, kalkulierbaren Ausfällen nach einem Angriff zu operieren. Unabhängig davon: Für die massive Zunahme an IoT Umgebungen wird es immer wichtiger, dass sich Hersteller auf gemeinsame Sicherheitsstandards konzentrieren und diese vorantreiben.

Wikipedia definierte das Internet der Dinge (IoT) einmal als „Integration von Elektronik und Software in einem beliebigen Gerät, das von seiner Art her gewöhnlich nicht als rechnergestützt angesehen wird. Auf diese Weise kann es sich mit anderen Geräten vernetzen und mit ihnen kommunizieren, wodurch sein Wert und seine Leistung steigen. Jedes Gerät ist durch seine eingebaute Recheneinheit eindeutig identifizierbar, kann aber innerhalb der existierenden Internet-Infrastruktur mit anderen Geräten zusammenarbeiten.“ Die Fähigkeit eines IoT-Geräts zum Netzwerken und Kommunizieren eröffnet ungeahnte Möglichkeiten, diese Welt besser zu machen, aber es bietet eben auch viele neue Angriffsflächen. Leider ist genau das Mirai und Mirai ist nicht nur 2016, sondern jetzt, morgen, jederzeit. Fazit: An mehr Sicherheit und neuen Security-Standards für das Internet der Dinge wird kein Weg vorbeiführen.