zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Cybersecurity

Klaus-Dieter Walter | Lukas Dehling,

Wenn Botnetze angreifen

Den Nachweis, dass sich IoT-Systeme sehr einfach angreifen lassen, haben inzwischen nicht nur unzählige Live-Hacks erbracht, sondern auch reale Botnetz-Angriffe. Servicezugänge erweisen sich dabei als gravierende Schwachstelle.

© vska - 123RF

Der im November letzten Jahres vorgestellte ‚Lagebericht zur IT-Sicherheit in Deutschland‘ hat explizit auf die Gefahren und Schwachstellen im IoT hingewiesen. Die Situation hier ist besorgniserregend. Unzählige vernetzte Mikrorechnersysteme besitzen nach wie vor werksseitig eingestellte Standard-Passwörter, die man sogar in den per Internet zugänglichen Bedienungsanleitungen findet. Möglichkeiten zur Software-Aktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die meisten Nutzer von IoT-Baugruppen es noch nicht einmal merken, wenn zum Beispiel ein Smart-Home-Thermostat oder eine Anlagensteuerung von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt wird.

Obwohl die Anzahl der IoT-Funksensoren, -Funkaktoren und -Cloud-Lösungen durch Smart-Home- und Smart-Factory-Lösungen mit einem bemerkenswertem Tempo zunimmt und zum Teil immer weitere Produkte mit erheblichen Security-Schwachstellen (etwa Funksteckdosen vom Discounter) auf den Markt kommen, sind dem BSI zufolge bis zum gegenwärtigen Zeitpunkt zumindest keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken größeren Umfangs auf die Komponenten und Infrastrukturen identifizierbar. 

IoT-Lösungen waren zwar indirekt durch die Angriffe auf Telekom-Router im Herbst 2016 (Speedport-Router) und 2017 (Huawei-Router) betroffen. Im ersten Fall waren sie aber nicht das primäre Angriffsziel. Zum Vorfall Ende November beziehungsweise Anfang Dezember 2017 sind noch zu wenig Details benannt, um die Motive der Angreifer abschließend zu beurteilen. Es ist aber auf jeden Fall nur noch eine Frage der Zeit, bis Cyberkriminelle entsprechende ‚Geschäftsmodelle‘ gefunden haben, um auch im IoT-Segment aktiv zu werden.

Anzeige

Immer mehr IoT-Bot-Netzwerke

Besonders Sensor-to-Cloud- Anwendungen bieten Cyberangreifern vielfältige Angriffsvektoren. Nicht nur Gateway und Router, sondern auch die Cloud laden Angreifer geradezu ein, die Bausteine einer solchen Lösung missbräuchlich zu nutzen.

© SSV Software Systems

Völlig anders sieht es hingegen mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Dabei werden mit dem Internet verbundene Rechnersysteme durch eine fernsteuerbare Schadsoftware erweitert, um andere Rechner irgendwo auf der Welt durch orchestrierte Aktionen zu attackieren. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme. Im August 2016 war mit Mirai schon ein um fast 700 % größeres Botnet aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerk-Verbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive werksseitig vorgegebener Passwörter als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden.  

Bei einer für 2020 prognostizierten Anzahl von über 20 Mrd. direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollte das IoT-Botnet-Wachstum sehr ernstgenommen werden. Eine Menge dieser circa 20 Mrd. IoT-Baugruppen werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten besitzen, um immer professionellere Kriminelle davon abzuhalten, sie zum Angriff auf andere Infrastruktur-Komponenten oder Services zu missbrauchen. Hinzu kommen noch unzählige Smartphones mit sehr geringem Sicherheitsniveau, für die praktisch keine Updates mehr zur Verfügung stehen. Es ist daher davon auszugehen, dass wir in den nächsten Jahren den ersten Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit zig-Millionen einzelner IoT-Baugruppen und Smartphones erleben werden. Die Auswirkungen einer solchen Attacke (beispielsweise in Form eines Cyber-physischen Angriffs auf öffentliche Infrastruktur) könnten durch die fortschreitende Digitalisierung sehr dramatisch ausfallen und Folgeschäden verursachen, die sich im Moment noch nicht einmal ansatzweise abschätzen lassen.

Servicezugänge als Schwachstelle

Die Schwachstellen für die Telekom-Router-Attacken im Herbst 2016 und 2017 waren TCP-basierte Serviceschnittstellen, über die vom Internet aus Schadcode installiert wurde. Es ist aus technischer Sicht eigentlich unverständlich, warum zum Beispiel die Linux-basierte Firmware eines Routers es nicht bemerkt, dass über den Internetzugang eine Firmware-Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Derartige werksseitig eingebaute ‚Schwachstellen‘ sind aber nicht nur bei Routern, sondern auch in vielen Überwachungskameras, IoT-Gateways und sogar im Industrie-4.0-Umfeld zu finden. 

Bei einer solchen Schadcode-Injektion würde bereits eine simple Software-Change-Meldung an einen zentralen Maintenance-Server im Internet ausreichen, um die Manipulation zu identifizieren und die Router-, Kamera- beziehungsweise Gateway-Betreiber zu benachrichtigen. Dafür muss die Firmware eines vernetzten Mikrorechnersystems lediglich erkennen, dass eine ‚unbekannte‘ Software installiert oder gestartet wurde. Für ein Embedded-Linux wäre eine solche Root-of-Trust-Prüfung der per Servicezugang hinzugefügten Software mit relativ wenigen zusätzlichen Codezeilen realisierbar. 

Das Angriffsmuster

Die Integration eines per Internet erreichbaren Mikrorechnersystems in ein Botnet und die missbräuchliche Nutzung erfolgen in fünf Schritten: 

  1. Bots suchen: Die Angreifer suchen im Internet gezielt nach Systemen mit bestimmten Merkmalen, um sie in ein Botnet einzubinden. Für die Suche kommen mehrere Verfahren in Frage. Teilweise werden zur Suche selbst auch Botnets eingesetzt.  
  2. Bots programmieren: Gefundene Systeme mit einer bekannten ‚Schwachstelle‘ werden von den Angreifern mit einer Remote Control-Software als Schadcode ausgestattet, um sie später von einem zentralen Command-and-Control-Server (C&C- beziehungsweise C2-Server) aus fernzusteuern.
  3. C2-Server erzeugen: Aufsetzen eines C2-Servers irgendwo im Internet. Von diesem Rechner aus werden die einzelnen Bots bei Bedarf als Orchester ferngesteuert. Die IP-Adresse eines C2-Servers lässt in der Regel keine Rückschlüsse auf die Identität und den Standort der Angreifer zu.
  4. Ziel bestimmen: Das eigentliche Angriffsziel auswählen: Zum Beispiel ein beliebiger Server im Internet, der dann durch Überlastung für andere Benutzer (zum Beispiel die Kunden eines Online-Shops) nicht mehr erreichbar ist.
  5. Angreifen: Den Angriff per C2-Server starten und über­wachen: Die Angreifer werden von einem weiteren Rechner aus über eine Remote Access-Verbindung zum C2-Server den Angriff starten, die Auswirkungen überwachen und die ­Attacke auch wieder beenden.

Wie geht es weiter?

Besonders die unzähligen ‚Sensor-to-Cloud‘-IoT-Anwendungen dürften in Zukunft ein sehr attraktives Ziel für Cyberangreifer bilden. Zum einen bietet die Systemarchitektur vielfältige Möglichkeiten für verschiedene Angriffsvektoren – nicht nur Router und Gateway mit zum Teil altbekannten und immer noch unzureichend geschützten TR-069-Service-Schnittstellen – sind geeignete Angriffsziele. Auch die Cloud selbst ist durch Meltdown & Spectre voller möglicher Angriffspunkte. Zum anderen sind durch fest vereinbarte Schlüssel (Pre-Shared Keys), in die Firmware einprogrammierte Zugriffsberechtigungen zum Gateway beziehungsweise zur Cloud und fehlende Update-Möglichkeiten nahezu keine zeitgemäßen Schutzmaßnahmen gegeben.

In professionellen Lösungen sollten die eingebetteten Mikrorechner unbedingt eine Verbindung zu einem zentralen Maintenance-Server besitzen, der in einer besonders gesicherten Umgebung betrieben wird. Dort schauen die Mikrorechner von Zeit zu Zeit nach, ob Updates vorliegen, die installiert werden müssen. Ferner ist eine automatische Benachrich-tigung über einen Subscriber-Kanal ist möglich. Zudem wird jede Veränderung der Gerätekonfiguration und -software vom Mikrorechner an den Maintenance-Server gemeldet.

Autor:
Klaus-Dieter Walter ist Mitglied der Geschäftsführung bei SSV Software Systems.

  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige

TSN und OPC UA

Das deterministische IIoT

Der Netzwerk- und Echtzeit-Spezialist TTTech arbeitet mit Hochdruck daran, seine TSN-Lösung für den breiten Rollout weiter zu optimieren – und verknüpft sie mit ihrer wachsenden IIoT­Plattform. Ein Gespräch mit Georg Kroiss, Business Development...

mehr...

Panel-PCs

Für vielfältige Anwendungen

Als Bedienstationen sind Panel-PCs im Fertigungsprozess ­mittendrin im Geschehen. Deshalb müssen die Geräte je nach Branche gewisse Mindest-Anforderungen erfüllen – etwa bezüglich der Schutzklasse, der Hygiene sowie der Handschuhbedienung.

mehr...
Anzeige
Anzeige
Anzeige

Computer-on-Modules

Echtzeit für Fog-Server

In Zeiten von Industrie 4.0 ist Echtzeit zwischen Maschinen und Anlagen und ihren zu- und abführenden Systemen gefordert. Virtualisierte Fog-Server in redundanter Auslegung sind dafür prädestiniert. Basis hierfür sind Computer-on-Module mit 10 GbE...

mehr...

Flash-Speicher

Robust in die Fertigung

Flash-Module punkten mit Platzersparnis und Stabilität gegenüber mechanischen Festplatten. Aber sind Daten bei Spannungsausfall, Vibration und Temperaturschwankungen auch wirklich sicher?

mehr...
Anzeige
Anzeige
Anzeige

AllJoyn

Die IIoT-Alternative

AllJoyn ist eine Open-Source-IoT-Initiative, die auf den Consumer-Electronic-Markt abzielt. Das Ziel: Geräte und Systeme erkennen sich selbstständig und interagieren. Erste AllJoyn-Anbindungen für CAN-basierte Produkte machen das Framework auch für...

mehr...

Steuerungen

Controller für das IIOT

National Instruments stellt jetzt eine Familie von Industrie-Controllern vor, die für den Einsatz an 'Smart Machines' und in intelligenten Systemen für das industrielle Internet der Dinge prädestiniert sein soll. Welche Philosophie und Strategie...

mehr...

Rasperry Pi

Die neue Rolle von Single-Board-Computern

Der Raspberry Pi wurde ursprünglich entwickelt, um Kinder für das Programmieren zu begeistern und ihr Interesse an einem Job in der Elektro­branche zu wecken. Doch sein Erfolg hat auch die Kreativität professioneller Ingenieure entfacht, die den...

mehr...
Jetzt Newsletter abonnieren