Der jüngste Hype-Zyklus für neue Technologien zeigt uns, dass das Internet der Dinge bisher die überzogenen Erwartungen noch nicht erfüllt hat und erst in fünf bis zehn Jahren produktiv werden wird. Bereits jetzt produziert es jedoch einige abschreckende Storys. Dass jemand elf Stunden brauchte, um Wasser für seinen Tee zu kochen, ist noch mit Humor zu tragen. Alarmierender sind Berichte über den rekordverdächtigen DDoS-Angriff (Distributed Denial of Service) auf die Website des Branchenexperten und Journalisten Brian Krebs und danach die ebenfalls rekordverdächtige Attacke auf Dyn (einen Anbieter von DNS-Infrastruktur, die für den Internetbetrieb von Bedeutung ist). Durch diesen Angriff brach das Internet an der Ostküste der USA zusammen, und erst kürzlich kam es zu einem Angriff auf DSL-Home-Router in Deutschland, durch den fast eine Million deutscher Internetnutzer offline blieben. Diese Angriffe haben alle eines gemeinsam: ungeschützte, mit dem Internet verbundene Geräte, die vom Mirai Botnet oder dessen Varianten befallen wurden.
Geräte mit Internetverbindung
Aus den Werbeanzeigen für das Weihnachtsfest lässt sich schlussfolgern, dass in den kommenden Wochen wohl viele Geräte mit Internetverbindung ausgepackt werden. Außerdem können wir davon ausgehen, dass die Software dieser neuen Geräte nicht weniger anfällig für Schadsoftware ist. So sieht das Gespenst des zukünftigen Internets der Dinge aus. Deshalb kann ich nachts nicht schlafen.
Kameras mit SQL-Schnittstelle, DVRs mit nicht änderbaren Standardpassworten, hackbare Sicherheitssysteme für das Zuhause, deren Firmware-Konfiguration nicht aktualisiert werden kann, und Router, deren Konfiguration sich nur über eine unverschlüsselte Verbindung authentifizieren lässt, fürchte ich mehr als jedes andere Gespenst. Die Frage lautet, was können wir tun?
Aufgrund der Gefahr immer größerer und schwerwiegenderer Angriffe könnten wir die Ideen der Maschinenstürmer wiederbeleben und auf Technologien verzichten beziehungsweise diese aktiv vernichten. Dadurch wäre die Gefahr etwas gebannt, dennoch ist diese »Lösung« so unpraktisch wie unrealistisch. Natürlich könnten wir auch von dem genauso unrealistischen Konzept ausgehen, dass wir ab jetzt sorgfältiger programmieren und all diese Schwachstellen auf magische Weise verschwinden.
Da zu Weihnachten viel geschenkt wird, biete ich Ihnen ebenfalls einige »Geschenke« an, die Sie sich selbst machen können. Zugegeben, es sind eher kleine, praktische Aufmerksamkeiten, keine übertriebenen Gesten wie ein riesengroßer UHD OLED-Flachbildfernseher. Auch wenn etwas Vorbereitung notwendig ist, sind sie sehr robust und bieten langfristige Vorteile.
Security by Design
Sind Sie Produkt- oder Programmmanager?
Lassen Sie sich von Benjamin Franklin inspirieren: »Eine Zeile Programmcode als Prävention sind besser als 100 Zeilen Programmcode zur Reparatur.« Dies ist zwar eine konservative Einschätzung, aber hier sollten wir anfangen. Sicherheit sowie der Sicherheitslebenszyklus müssen Teil Ihres Produktkonzeptes beziehungsweise des MVP (der minimalen Produktanforderungen) sein. Klingt kompliziert? Trotzdem ist es besser und vor allem billiger, als es sich anhört. Immer noch skeptisch? John Overbaugh hat unter InfoSecure.io einige nützliche und günstige Empfehlungen für SDLC. Was die Kosten angeht, vergessen Sie bitte Folgendes nicht: Eine mangelhafte Sicherheitsprüfung in der Verifizierungsphase eines Produkts, die zu späten Konstruktions- und technischen Änderungen führt, ist immer noch kostengünstiger als die Neukonstruktion und technische Änderung eines Produkts nach der Auslieferung.
Sind Sie Entwickler oder Softwareingenieur?
Eine schlecht implementierte Verschlüsselung ist genauso schlimm wie gar keine Verschlüsselung. Sie müssen selbst zum Verschlüsselungsspezialisten werden. Mit den folgenden acht Übungen aktualisieren Sie Ihre Kenntnisse zur Softwareverschlüsselung und lernen, wie Sie Verschlüsselungsschwachstellen identifizieren, nutzen und schließlich vermeiden. Testen Sie, ob Ihr System geknackt werden kann, denn mit Sicherheit wird das »rote Team« eines Dritten Ihre Software angreifen, daher können Sie Ihre Software auch gleich selbst testen.
Sind Sie Netzwerksspezialist oder Sicherheitsbeauftragter, Ingenieur oder Betreiber?
Es wird höchste Zeit, dass Sie sich mit MANRS befassen. Sicher, während der Feiertage versucht jeder, sich von seiner besten Seite zu zeigen. Aber die gegenseitig vereinbarten Normen der Internet Society für Routersicherheit sind ein einfaches Mittel, damit Sie das »I« im Internet der Dinge das ganze Jahr über nur von seiner besten Seite kennen lernen. Die MANRS-Empfehlungen definieren für die Teilnehmer vier Aktionen. Jeder Netzwerkverantwortliche muss die zweite Aktion unbedingt berücksichtigen: Die Blockade von Traffic mit gefälschten Source-IP-Adressen. Die DDoS-Attacken im Jahre 2016 hätten leicht vermieden werden können, wenn der Traffic von gefälschten IP-Adressen schon an der Schnittstelle zum Internet abgefangen worden wäre.
Netzwerksegmentierung
Wenn Sie mehr tun wollen, sollten Sie bei Ihren guten Vorsätzen für das neue Jahr die Netzwerksegmentierung nicht vergessen. Schwachstellen für Geräte aus dem Internet der Dinge bieten eine Angriffsfläche und einen Einstiegspunkt für Angriffe auf andere Teile Ihrer Infrastruktur. Netzwerksegmentierung ist keine triviale Aufgabe, aber Ihr bestes Tool, um Ihr Netzwerk vor Geräten aus dem Internet der Dinge zu schützen, die gehackt werden können.
Letztendlich ist nur eines sicher: Wie schon Ebenezer Scrooge in der Weihnachtsgeschichte von Charles Dickens feststellte, »werfen unsere Schritte Schatten der Dinge voraus, die unvermeidlich eintreten werden, wenn wir daran festhalten.« Wenn wir weitermachen wie bisher, wird das Internet der Dinge zu einer gewichtigen Kette, wie die seines Geschäftspartners Josep Marley und der anderen Geister: »Glied für Glied, und Elle auf Elle, aus unserem eigenen freien Willen geschmiedet und getragen«.
Natürlich sind das, wie Ebenezer Scrooge erkannte, »nicht die Schatten der Dinge, die sein werden, sondern nur die Schatten der Dinge, die sein können«. Vielleicht wird das Internet der Dinge in der Realität tatsächlich so gut und nützlich sein wie versprochen.
»Versprich mir, dass wir noch die Chance haben, diese Schatten der Zukunft zu ändern, die Du mir gezeigt hast.«
James Plouffe, Lead Architect bei MobileIron und Technical Consultant für die Hitserie Mr. Robot.
James Plouffe ist Lead Architect bei MobileIron und Technical Consultant für die Hitserie Mr. Robot. Er nimmt hier ganz bewusst Bezug auf die Weihnachtsgeschichte von Charles Dickens sowie die Werke anderer Autoren. Er besitzt einen elektrischen Wasserkocher ohne WLAN. Er ist in der Twittersphere aktiv unter @MOBLAgentP
Sicherheit 2017: IoT-getriebene DDoS-Angriffe und SCADA-Vorfälle werden 2017 für Schlagzeilen sorgen
IoT-Sicherheit: Vier Lehren aus dem massiven DDoS-Angriff auf DynDNS
IoT-Umfrage: Wearables zählen zu den größten Sicherheitsbedrohungen
IT-Sicherheit 2016: PKI wird zu der Sicherheitstechnologie im IoT-Markt
Hemmen Befürchtungen in Bezug auf Geräteeinschränkungen die IoT-Sicherheit?
Drei Sicherheitsmaßnahmen für anwendungskritische Kommunikationsnetze
IT-Sicherheitstrends 2017: Expertenmangel bremst die Initiativen der Unternehmen
Interview mit Markus Auer, ForeScout, zum Thema IoT – Was man nicht sieht, kann man nicht schützen