IoT-Botnet-Angriffe nehmen weiter zu: praktische Tipps zur Risikominimierung

10. August, 2022

IoT-Botnets nehmen – begünstigt durch externe Faktoren – Fahrt auf. Der aktuelle IT/OT-Security-Bericht von Nozomi Networks nennt den starken Anstieg von IoT-Botnets als eine von drei wesentlichen Entwicklungen im ersten Halbjahr 2022. Gemeinsam mit Wechselwirkungen durch den Ukraine-Krieg und der Zunahme von Wiper-Schadsoftware, die auf die auf Zerstörung von Daten und Systemen ausgelegt ist, dominieren sie die aktuelle Bedrohungslandschaft. [1]

Was IoT-Systeme für Angreifer attraktiv macht

Für Cyberkriminelle wird es immer interessanter, sich rein auf IoT-Systeme zu spezialisieren. Kameras, Sensoren oder Steuerungs- und Überwachungsanlagen werden oft in hoher Anzahl installiert und danach nicht weiter beachtet. Somit sind IoT-Systeme meist nur wenig geschützt, während sie 24 Stunden am Tag online sind und typischerweise eine sehr gute Internet-Anbindung haben.

Die Entwicklung von IoT-Systemen basiert häufig auf einem abgespeckten Linux-Betriebssystem, das wenig Spielraum für Sicherheitsfunktionen bietet. Zusammen mit günstigen Standard-Komponenten von weiteren Zulieferern und einem möglichen Kosten- und Implementationsdruck des Herstellers können sich einfache Sicherheitsprobleme so millionenfach verbreiten.

Warum es immer mehr IoT-Botnets gibt

Fehlendes Security-by-Design und mangelnde Qualitätskontrollen der Implementationen, Standard-Passwörter im Echtbetrieb oder auch im Programmcode festgelegte Schlüssel sind in der Praxis immer wieder anzutreffen. Ein millionenfach verbreiteter GPS-Tracker-Baustein, der über ein Standard-Passwort übernommen werden kann und es Angreifern ermöglicht, lokal bei einem Fahrzeug den Motor auszuschalten, ist nur ein aktuelles Beispiel dafür. [2] „admin“ und „root“ zählen dabei übrigens zu den meist genutzten Benutzerinformationen, um Zugang zu fremden Systemen zu erlangen.

Auch Microsoft hat die Funktionsweise des IoT-Botnets „Trickbot“ genauer untersucht und Erkenntnisse über die Angriffsvektoren und allgemeine Funktionsweise zusammengefasst. [3] Wie Nozomi beobachtete Microsoft eine gezielte Suche nach typischen millionenfach eingesetzten Infrastruktur-Komponenten mit Werkeinstellungen oder einfach schlechten und vielfach verwendeten Passwörtern. Einmal identifiziert, übernehmen Cyber-Kriminelle diese Komponenten, um sie für die eigenen Kommunikationszwecke zu missbrauchen. Es zeigt sich also, dass eine schwache Authentifizierung und Zugangskontrolle der bevorzugte und derzeit auch einfachste Angriffsvektor auf IoT-Systeme sind.

Wie IoT-Botnets verhindert werden können

Die guten Nachrichten: Die häufigsten Angriffspunkte können bereits mit wenigen aufeinander aufbauenden Punkten abgesichert werden. So reduzieren Sie das Sicherheitsrisiko auch in bereits eingesetzten Geräten und IoT-Systemen spürbar:

Passwort-Policy: Ändern Sie sofort alle Standard-Passwörter auf ausnahmslos allen Systemen gegen sichere Kombinationen. Löschen Sie voreingestellte Hersteller-Accounts und überprüfen Sie vorhandene Benutzer, um keine Hintertüren mehr zu ermöglichen.
Account-Policy: Verwenden Sie ausschließlich unique Benutzerdaten und nutzen Sie Accounts nicht auf unterschiedlichen Geräten. Optimal sind individuelle Login-Daten pro User über ausschließlich verschlüsselte Verbindungen.
Authentifizierung: Nutzen Sie eine zentrale Authentifizierungseinrichtung (AAA-Server) und überwachen Sie aller Login-Versuche sowie das neue Anlegen von Benutzern. Diese Analysen können Hinweise auf Schadsoftware-Aktivitäten geben.
Automatisierung: Besonders wenn Sie mehrere IoT-Systeme in Betrieb haben, lohnt es sich, die Inventarisierung und Überwachung Ihrer IT/OT-Systeme zu automatisieren. So erkennen Sie Schwachstellen, Bedrohungen und Anomalien schnellstmöglich.

FAZIT: Während sich die Sicherheitslösungen für herkömmliche Computer weiterentwickeln und verbessern, suchen Cyber-Kriminelle nach alternativen Möglichkeiten, um in Zielnetzwerke einzudringen. Angriffsversuche auf Router, Kameras und andere IoT-Geräte sind daher nicht neu, jedoch aktuell besonders häufig.

Da IoT-Geräte und -Netzwerke oft nicht aktiv verwaltet und überwacht werden, sind sie meist das schwächste Glied im gesamten IT-System. Sowohl Unternehmen als auch Privatanwender sollten daher in Ihren Sicherheitsrichtlinien und -routinen unbedingt auch IoT-Geräte berücksichtigen. Ändern Sie als ersten Schritt sofort alle Standard-Passwörter!

Für Unternehmen mit umfangreicheren IoT-Landschaften stehen aus dem Bereich der industriellen Cyber-Sicherheit professionelle Lösungen für das unkomplizierte Monitoring sowie effektive Absicherung und Risikominimierung bereit.