Laut einer aktuellen Studie von Accenture sind derzeit rund 8,4 Milliarden IoT-Geräte in Betrieb. Bis 2020 soll diese Zahl auf über 20 Milliarden steigen. Schon heute umfasst das IoT eine enorme technologische Bandbreite mit Implementierungen unterschiedlichster Ausprägung. Am wichtigsten sind dabei die verwalteten Anwendungsbereiche des Industrial Internet of Things (IIoT) sowie die nicht gemanagten Anwendungsbereiche des Consumer-IoT (CIoT).

Das Industrial Internet of Things

Auch wenn das IIoT als sehr komplex erscheint, lässt sich das Security-Management recht einfach umsetzen. Dazu dient eine Lösung, welche die Datenübertragung zwischen Geräten und Anwendung(en) überwacht und dadurch Protokoll-Konformität gewährleistet. Dabei sind eine sichere Kommunikation durch Verschlüsselung (TLS) sowie zustandsbezogene Sicherheitsdienste (also Stateful Services wie Überwachung und Schwachstellenschutz) ebenfalls unverzichtbar.

Eine entscheidende Herausforderung bei der IIoT-Implementierung stellen die sich verändernden Charakteristika der Traffic-Metriken dar. Zum Beispiel ist die Zahl der IIoT-Geräte gewaltig, die Sitzungen dauern lange (oft Monate oder gar Jahre) und das Traffic-Volumen bleibt typischerweise sehr niedrig. Doch Sitzungen im Leerlauf lassen sich nicht immer beenden. Umgekehrt können ständig aktive Anwendungen eine wahre Datenflut im Netzwerk auslösen.

Das Consumer-IoT

Auch der zweite Bereich kann erhebliche Probleme erzeugen. Zu den CIoT-Geräten, die typischerweise nicht verwaltet werden, zählen etwa Überwachungskameras (CCTV), intelligente Lautsprechersysteme und Wearables. Wenn sich solche Geräte in einem mobilen Telefonnetz oder hinter einem kundenseitigen Splitter einer Festnetzverbindung befinden, lassen sie sich oft schwierig im Netzwerk identifizieren, da die Kommunikationsbeziehungen nicht klar definiert sind.

Das Problem wird dadurch verschärft, dass viele IoT-Geräte günstige Chipsätze enthalten, die auf der Netzwerkprotokollschicht arbeiten und in manchen Fällen auch auf der Anwendungsschicht (Layer 7). Viele Hersteller stellen keine Patches bereit, manche übernehmen überhaupt keine Verantwortung mehr, sobald das Gerät ausgeliefert ist. Das kann zu erheblichen Gefahren führen. Gemäß dem aktuellen Threat Intelligence Report von F5 Labs ist Europa bereits heute ein Brennpunkt für Thingbots, die ausschließlich aus gekaperten IoT-Geräten bestehen und sich zunehmend zur beliebten Cyberwaffe entwickeln.

Bedrohung durch Thingbots

Die Analysten verzeichneten weltweit 30,6 Millionen Thingbot-Angriffe zwischen dem 1. Januar und dem 30. Juni 2017. Das entspricht einer Steigerung um 280 Prozent gegenüber dem vorhergehenden Berichtszeitraum (1. Juli bis 31. Dezember 2016). Hosting-Provider stellten 44 Prozent der 50 Top-IP-Adressen der Angreifer, wobei 56 Prozent aus ISP- und Telekommunikationsquellen stammten. Die Geräte wurden meist via Telnet gesteuert – einem Netzwerkprotokoll, das zur Kommunikation eine Befehlszeilen-Schnittstelle bietet.

Trotz des Anstiegs lassen sich die Angriffsintensitäten nicht mit denen der beiden Thingbot-Schadprogramme Mirai und Persirai vergleichen. 93 Prozent der Angriffe in der ersten Jahreshälfte ereigneten sich im Januar und Februar, von März bis Juni nahmen die Aktivitäten ab. Das könnte darauf hindeuten, dass neue Attacken bevorstehen und die Angreifer nun von der „Experimetier“- zur „Umsetzungs“-Phase übergehen.

Mögliche Schutzmaßnahmen

In Zukunft sind weitere große Thingbots zu erwarten – zumindest bis die Hersteller ihre IoT-Geräte absichern oder Produkte zurückrufen müssen. Auch die Nutzer könnten Druck ausüben, wenn sie nicht mehr Geräte mit Schwachstellen kaufen würden. So lange sich aber nichts ändert, stehen Service-Provider vor der Herausforderung, sowohl Vorfälle zu identifizieren als auch ausgehende DoS-Angriffe zu entschärfen.

Herkömmliche Firewall-Regeln, die sich auf Layer 3 und 4 beschränken, sind heute aber nicht mehr zeitgemäß. Mittlerweile ist die Verhaltensanalyse des Datenverkehrs unverzichtbar. Auf diese Weise lernen Sicherheitslösungen mit der Zeit, wie der „Normalzustand“ des Netzwerks aussieht. Sobald sie eine Abweichung erkennen, wird eine Reihe von Aktivitäten ausgelöst. Das könnte eine Alarmmeldung sein, die nach der Bestätigung durch einen verantwortlichen Experten einen manuellen Schutzprozess in Gang setzt. Es ließe sich aber auch eine dynamische Signatur für vorhandene Abwehrtechnologien erzeugen, welche die erkannten Anomalien abblocken.

Sich selbst verteidigende Netzwerke werden ein wesentlicher Bestandteil der Sicherheitsarchitektur von morgen sein. Bis dahin können sich verantwortungsbewusste Unternehmen dadurch schützen, dass sie eine DDoS-Strategie implementieren und kritische Services redundant auslegen. Zudem ist es wichtig, die eigenen Mitarbeiter über potenzielle Gefahren von IoT-Geräten aufzuklären und in deren sicherer Handhabung zu schulen.