Sicherheitsverantwortliche kennen das Prozedere: Kaum haben sie ihr Unternehmen vor einer neuen Gefahr einigermaßen abgesichert, taucht schon die nächste auf. An dieser Sisyphus-Arbeit wird sich auch in den kommenden Jahren nichts ändern. So zeigt der aktuelle Threat Intelligence Report von F5 Labs, dass Europa zu einem Brennpunkt für Thingbots geworden ist. Die entsprechende Malware wird exklusiv zur Kompromittierung mit dem Internet der Dinge (IoT) vernetzter Geräte entwickelt – und zunehmend zur Lieblingswaffe der Cyberkriminellen.

Anzahl der IoT-Geräte explodiert

Das ist kein Wunder. Denn laut aktuellen Studien gibt es derzeit etwa 8,4 Milliarden IoT-Geräte und bis zum Jahr 2020 wird die Zahl auf über 20 Milliarden steigen. Die Nutzung von IoT-Geräten wächst damit exponentiell und den Hackern steht ein riesige Menge an möglichen Angriffszielen zur Verfügung, die sie zum Aufbau gewaltiger Botnetze nutzen können.

Dabei machen es ihnen viele Hersteller unnötig leicht. Denn IoT-Geräte besitzen in der Regel nur unzureichende Sicherheitsmaßnahmen, etwa ein einfaches Standardpasswort. Tatsächlich behindern die meist geringen Speicher- und Prozessorkapzitäten der Geräte die Installation leistungsfähiger Sicherheitsprogramme. Doch selbst ressourcenschonende Maßnahmen können einen deutlichen Schutz bieten.

Angriffe nehmen zu

Die geringen Kapazitäten der IoT-Geräte erschweren prinzipiell zwar auch den Hackern das Leben, da sie keine mächtigen Schadprogramme installieren können und ein einzelner Thingbot nur kleine Datenmengen für einen DDoS-Angriff versenden kann. Doch die schiere Masse an Thingbots gleicht diesen Nachteil mehr als aus. So werden Angriffe über IoT-Geräte immer populärer.  

Laut F5 Labs gab es zwischen dem 1. Januar und 30. Juni 2017 weltweit 30,6 Millionen Thingbot-Attacken. Dies entspricht einer Steigerung von 280 Prozent im Vergleich zum vorhergehenden Halbjahr.

Trotz dieses Anstiegs erreichten die meisten Angriffe nicht die Größe und Intensität der bekanntesten IoT-Botnetze Mirai und Persirai. 93 Prozent der Attacken während des letzten Studienzeitraums traten im Januar und Februar auf, mit einer deutlich geringeren Aktivität von März bis Juni. Dies deutet darauf hin, dass wohl neue Angriffe vorbereitet werden.

Mirai in Europa stark verbreitet

Mirai ist besonders berüchtigt, da das Botnetz im zweiten Halbjahr 2016 mehrere hunderttausend IoT-Geräte – größtenteils digitale Videorecorder, Router und Überwachungskameras – für mehrere Angriffswellen nutzte. Unter anderem waren 900.000 Router der Deutschen Telekom betroffen, die teilweise keine Verbindung mehr zum Internet aufbauen konnten.

Gemäß dem Threat Intelligence Report gibt es in Europa eine starke Konzentration von Mirai-Scannern, die das Internet nach anfälligen Geräten durchsuchen. Sie befinden sich vorwiegend in Großbritannien, Italien, Polen. Tschechien, Rumänien und den Niederlanden. Sind sie fündig geworden, senden sie IP-Adresse, Port-Nummer und Zugangsdaten des IoT-Geräts an die Loader-Systeme von Mirai. Auch diese sind über ganz Europa verteilt, mit einer hohen Konzentration in den Niederlanden, der Tschechischen Republik und Rumänien.

Hotspot für Perisai

Perisai ist eine überarbeitete Version von Mirai, die gleiche Code-Teile sowie gemeinsame Command and Control (C&C)-Server nutzt. Dieses Botnetz greift Modelle von IP-Kameras eines bestimmten chinesischen Herstellers an. Zwei Monate nach seinem Auftauchen im Mai 2017 waren bereits mindestens 600.000 Kameras infiziert. Das entspricht einer durchschnittlichen Erfolgsrate von 10.000 gekaperten Geräten pro Tag – bei nur einer einzigen ausgenutzten Schwachstelle.

Die größte Aktivität in Bezug auf Perisai wurde jedoch in Europa verzeichnet. Dabei befanden sich die meisten infizierten IP-Kameras in Großbritannien, Frankreich, Belgien, Niederlande, Schweiz, Italien, Dänemark und Polen. Die europäischen C&C-Server waren am stärksten in Großbritannien, Italien und Türkei verbreitet. Zudem deckte die Studie auf, welche 50 Kombinationen aus Kennwort und Passwort am häufigsten angegriffen wurden. In 94 Prozent der Fälle waren Kennwort und Passwort identisch. Besonders beunruhigend ist dabei die Tatsache, dass die meisten der von Mirai und Perisai attackierten IoT-Geräte keine Veränderungen der Zugangsdaten erlauben.

Unternehmen müssen handeln

Die Ergebnisse zeigen deutlich, dass IoT-Botnetze heute keine abstrakte, sondern eine ganz konkrete Gefahr für europäische Unternehmen darstellen. Diese müssen jetzt ihre Sicherheitsmaßnahmen anpassen, bevor der nächste, wahrscheinlich noch größere Angriff erfolgt. Dabei sollten sie bedenken, dass sie selbst möglicherweise gar nicht das primäre Angriffsziel sind, sondern wie im Falle der genannten Telekom-Router eher als Kollateralschaden gelten. Doch selbst dann können die Geschäftstätigkeiten deutlich beeinträchtigt werden.

So müssen sie sich auch auf mögliche Folgeschäden, zum Beispiel durch den Ausfall des genutzten Internet-Providers oder Cloud-Dienstleisters, vorbereiten. Dazu dient eine umfassende DDoS-Strategie, welche die Gefahr durch Thingbots berücksichtigt. Diese muss Redundanz für kritische Services gewährleisten, die Nutzung bekannter Kennwort-Passwort-Kombinationen vermeiden und für eine kontinuierliche Weiterbildung der Mitarbeiter zu den möglichen Gefahren durch IoT-Geräte sorgen.