Auch schon vor dem offiziellen Bekanntwerden von Meltdown und Spectre wurde über den neuesten Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland offiziell bekannt, wie inzwischen auch hierzulande Mikrorechner in industriellen Steuerungen und Embedded-Systeme durch Cyberattacken bedroht werden. Schwerpunktmäßig konzentriert sich der BSI-Bericht nahezu vollständig auf die klassischen Themen aus den Vorjahren, wie Gefährdungslagen oder Maßnahmen. Dabei kommen teilweise ältere und hinreichend bekannte Vorfälle zu Sprache. Aber es wird in dem Dokument auch explizit auf die Gefahren und Schwachstellen hingewiesen, die sich durch das IoT, die fortschreitende Digitalisierung und Angriffe auf industrielle Steuerungsanlagen ergeben. Unzählige vernetzte Mikrorechnersysteme besitzen nach wie vor werksseitig eingestellte Standardpasswörter, die man teilweise sogar in den – per Internet zugänglichen – Bedienungsanleitungen findet. Möglichkeiten zur Softwareaktualisierung, um Sicherheitslücken zu beseitigen, werden erst gar nicht angeboten. Hinzu kommt, dass die meisten Nutzer von IoT-Baugruppen es noch nicht einmal merken, wenn z.B. ein smarter Sensor oder die Kommunikationskomponente einer Fernwartungslösung von Cyberkriminellen als ferngesteuerte Angriffswaffe benutzt werden.
Gefahren durch Bot-Netze
Spektakuläre Cyberangriffe auf einzelne IoT-Lösungen wurden in den vergangenen Monaten nicht beobachtet. Obwohl die Anzahl der IoT- und Cloud-Lösungen durch Smart-Home- und Smart-Factory-Anwendungen mit bemerkenswertem Tempo zunimmt und sogar neue IoT-Funkstandards zum Einsatz kommen, sind bis zum gegenwärtigen Zeitpunkt keine gezielten DDoS-Angriffe oder andere Ransomware-Attacken auf die Komponenten und Infrastrukturen identifizierbar. Smart-Home-IoT-Lösungen waren zwar durch den Angriff auf Telekom-Router im Herbst 2016 betroffen, aber wohl nicht das primäre Angriffsziel. Es ist aber vermutlich nur eine Frage der Zeit, bis Cyberkriminelle entsprechende Geschäftsmodelle gefunden haben, um auch im IoT-Segment aktiv zu werden. Völlig anders sieht es hingegen mit der missbräuchlichen Nutzung von IoT-Komponenten innerhalb von Botnet-Angriffen aus. Bemerkenswert ist hier vor allem die Geschwindigkeit, mit der die Anzahl der als Bot genutzter IoT-Baugruppen solcher Angriffsnetzwerke in den vergangenen Jahren angewachsen ist. 2014 hatte das damals größte beobachtete IoT-Botnet gerade einmal 75.000 befallene Verbundsysteme. Im August 2016 war mit Mirai schon ein fast 700 Prozent größeres Bot-Netz aktiv: Mehr als 500.000 infizierte Mikrorechnersysteme in digitalen Videorecordern, Überwachungskameras, Routern und anderen IoT-Devices bildeten erstmals einen fernsteuerbaren Netzwerkverbund, mit dem der Betrieb des Internets nachhaltig gestört wurde. Alle von der Mirai-Schadsoftware betroffenen Bot-Systeme hatten ein eingebettetes Linux-Betriebssystem ohne besondere Sicherheitsvorkehrungen inklusive fest kodierter Passwörter als Schwachstellen, die von den Mirai-Betreibern zur Installation der Fernsteuersoftware ausgenutzt wurden. Bei einer für 2020 prognostizierten Anzahl von über 20Mrd. direkt oder indirekt mit dem Internet verbundenen IoT-Komponenten sollte man das IoT-Botnet-Wachstum sehr ernst nehmen. Die meisten dieser IoT-Baugruppen und die dafür genutzten Mikrorechnersysteme werden so gut wie keine zeitgemäßen Schutzmechanismen oder Update-Möglichkeiten besitzen, um immer professionellere Kriminelle davon abzuhalten, sie für Angriffe auf andere Infrastrukturkomponenten oder Services zu missbrauchen. Hinzu kommen noch unzählige Smartphones und die darauf laufenden Apps – z.B. für Wearables – mit sehr geringem Sicherheitsniveau, für die praktisch keine Sicherheitsupdates zur Verfügung stehen. Es ist daher davon auszugehen, dass bis 2020 der erste Botnet-Angriff durch ein ferngesteuertes Verbundnetz mit Millionen einzelnen, eingebetteten Rechnersystemen und Smartphones erfolgen kann. Die Auswirkungen einer solchen Attacke könnten durch die fortschreitende Digitalisierung sehr dramatisch ausfallen und Folgeschäden verursachen, die sich im Moment nicht einmal ansatzweise abschätzen lassen.
Angriffe bleiben häufig unbemerkt
Es ist aus technischer Sicht eigentlich unverständlich, warum z.B. die Linux-basierte Firmware eines Telekom-Routers es nicht bemerkt, dass über den Internetzugang eine Veränderung vorgenommen wurde, um eine Botnet-Integration zu ermöglichen. Es ist sogar sehr wahrscheinlich, dass auch unzählige andere installierte Systeme nahezu identische Schwachstellen aufweisen, weil `Security by Design‘ noch kein Bestandteil der Entwickler-Lastenhefte war. Im Telekom-Angriffsszenario hätte bereits eine simple Software-Change-Meldung an einen zentralen Maintenance-Server oder ein Logging-Server-Eintrag im Internet ausgereicht, um die Manipulation zu identifizieren und die Router-Betreiber zu benachrichtigen. Dafür muss die Firmware des Mikrorechners im Router oder ein zentraler Logging-Server lediglich automatisch erkennen, dass eine unbekannte Software installiert oder gestartet wurde. Für ein Embedded Linux wäre eine solch einfache Root-of-Trust-Erkennung mit relativ wenig zusätzlichen Codezeilen realisierbar. Des Weiteren sollten alle Systeme, die eine Netzwerkschnittstelle besitzen, unbedingt auch eine zeitgemäße Möglichkeit für Vorort-Software-Updates aufweisen. Besonders einfach ist ein Update, wenn eine permanente Internetverbindung besteht. In diesem Fall könnten die eingebetteten Mikrorechner von Zeit zu Zeit auf dem Maintenance-Server nach Updates schauen oder sich per Subscribe-Nachricht über ein anstehendes Update benachrichtigen lassen.
Security-by-Design
Hinsichtlich der Security ist nahezu die gesamte IoT-Welt sehr weit von den Schutzmaßnahmen entfernt, die dem Stand der IT-Technik entsprechen. Die Ursachen dafür sind vielfältig. Teilweise fehlt es auf der Anbieterseite an dem erforderlichen Fachwissen und systembezogenen Denken. Vielfach geht man aber wohl auch davon aus, das IT-Security ein Anwenderthema sei, zumal die rechtliche Seite sich hier bisher auch noch nicht eindeutig positioniert hat. Sinnvoll wäre auf der Herstellerseite – analog zur Entwicklung der Funktionen und Gerätesicherheit – aber auf jeden Fall der Einsatz professioneller Methoden und Werkzeuge, um die IT-Security eines IoT-Produktes zu gewährleisten. `Security-by-Design‘ sollte kein Marketing-Versprechen, sondern ein aktiver Bestandteil der Produkt- und Lösungsentwicklung sein.