Das IoT im Visier von Cyberkriminellen: Angriff auf die smarte Welt

Zahlreiche Beispiele aus den vergangenen Monaten zeigen, wie sehr Cyberkriminelle sich mittlerweile auf die vernetzte Infrastruktur der modernen Welt eingeschossen haben und wie sehr sie damit den Alltag bedrohen. Als Einfallstor reicht ein einziges nicht gesichertes Smart Device, und sei es nur ein kleines Thermometer.

Thermometer als Türöffner

Auch viele Gebäude werden mittlerweile digital gesteuert, etwa deren Brandschutzanlagen oder Beleuchtung. Bis zu acht Systeme können laut Eset bei modernen Building Automation Systems (BAS) aus der Ferne erreicht werden. Der Hersteller hat bereits Fälle beobachtet, in denen diese gehackt wurden und die Besitzer mit einer Art »Shutdown« bedroht wurden, sollten sie kein Lösegeld zahlen. Über die bekannte IoT-Suchmaschine »Shodan« waren Eset zufolge Mitte Februar 35.000 BAS über das Internet erreichbar – deutlich mehr als die 21.000, die es noch im August des vergangenen Jahres waren, was verdeutlicht, wie schnell die Digitalisierung voranschreitet und wie schnell die Zahl potenzieller Angriffsziele wächst.

Dabei müssen Angreifer nicht mal direkt die Ziele attackieren, auf die sie es abgesehen haben. Oft reicht es, sich auf ein anderes, schlechter gesichertes Ziel zu fokussieren und sich von dort weiter vorzuarbeiten. Smart Devices, die mit veralteter Firmware bestückt sind und auf denen keine Sicherheitssoftware läuft, gibt es schließlich zu Hauf. Fast schon filmreif kann man sich den Fall eines nordamerikanischen Kasinos vorstellen, von dem One Identity gerade berichtete. Dort bemerkte die Sicherheitsabteilung einen laufenden Angriff – direkt aus dem Inneren des Gebäudes. Als sich mehrere Sicherheitsteams an den Ort des Geschehens begaben, fanden sie dort aber nur ein Aquarium vor, dessen smartes Thermometer ein Hacker als Einstiegspunkt ins Netzwerk genutzt hatte.

Geduld bei der Hacker-Jagd

Oft werden die smarten Geräte – Netzwerkkameras, Fernseher, Thermostate – in riesigen Botnets vereint und für DDoS-Attacken missbraucht; Botnets wie »Mirai« und »Persirai« haben das in der Vergangenheit eindrucksvoll gezeigt. Unternehmen brauchen daher neue Werkzeuge, um auch solche »schutzlosen« Devices zu sichern und Eindringlinge zu entdecken, bevor sie am Zielsystem angekommen sind. Weil klassische Endpoints mittlerweile meist recht gut geschützt sind, würden Cyberkriminelle nach anderen, schwächeren Zielen suchen und sich dafür meist länger auf »Schleichfahrt durch die gekaperten Netzwerke« befinden, heißt es bei Sophos. Erst wenn man möglichst viele Steuerungselemente unter Kontrolle beziehungsweise eigene Schadprogramme installiert hat, werde »mit voller Wucht« zugeschlagen.

Viele Sicherheitslösungen setzen daher auf Machine Learning und Verhaltensanalysen, um Auffälligkeiten und damit mögliche Eindringlinge zu entdecken. Hierfür braucht es jedoch immer häufiger Geduld: G Data zufolge versucht sich selbst klassische Malware nicht mehr sofort in einem System einzunisten, sondern wartet ab – die verhaltensbasierte Abwehr müsse zunehmend längere Zeiträume beobachten.

Übersicht