DDoS-Attacken via IoT: Beacon-Anbieter in der Verantwortung

Mit der technischen Weiterentwicklung von iBeacons geht auch ihre Netzwerkfähigkeit einher. Alle führenden Hersteller arbeiten daran bzw. haben netzwerkfähige Sender im Programm. In dieser Weiterentwicklung liegt eine Gefahr, die erst jüngst durch Ausfälle von Diensten wie Twitter oder Netflix ins Bewusstsein der Öffentlichkeit rückte: DDoS-Attacken. Der aktuellen Diskussion um die aktuelle Anfälligkeit von IoT-Geräten müssen sich auch LBS-Unternehmen stellen.

DDoS-Attacken sind nichts Neues und für Unternehmen wie beispielsweise den zuletzt attackierten DNS-Anbieter Dyn.Com Routine. Neu ist allerdings die unglaubliche Wucht, mit der Botnetze wie beispielsweise Mirai oder Bashlight inzwischen angreifen können. Jüngste Angriffe sprengten laut Branchendienst security-insider.de die Terabit-Grenze und sorgen so für Öffentlichkeitswirksamkeit. Denn an die breite Öffentlichkeit gelangen Distributed Denial of Service-Attacken erst, wenn wie unlängst die Auswirkungen so groß werden, dass es zu weitreichenden Störungen populärer Dienste wie Netflix oder Twitter kommt.

Mirai schafft dieses enorme Volumen an Datenverkehr indem das Botnetz vor allem schlecht gesicherte IoT-Geräte nutzt, bisher hauptsächlich Billigware im Bereich Netzwerkkameras oder -Videorekorder. Das eigentlich peinliche daran ist: Die Malware sucht nach öffentlich erreichbaren Netzwerkgeräten und probiert gerade mal 60 verschiedene Nutzernamen und Passwörter aus, um auf die Admin-Oberfläche zuzugreifen. Aber diese simple Methode reichte bisher aus, um hunderttausende von Endgeräten zu infizieren und diese für sich zu nutzen. Inzwischen verfügt über Mirai über Millionen infizierte Clients und baut sich stetig aus. Mirai sucht anfällige Produkte, infiziert diese, fügt sie dem eigenen Netzwerk hinzu und nutzt sie anschließend, um Befehle auszuführen: Die infizierten Geräte senden legitim wirkende HTTP-Anfragen, die in ihrer Masse Attacken auf einzelne Websites oder Accounts darstellen.

Vor dem Hintergrund der wachsenden Zahl von netzwerkfähigen IoT-Geräten – und dazu gehören eben auch netzwerkfähige Beacons oder netzwerkfähige Hardware zur Kontrolle und Steuerung großer Infrastrukturen – ist auch eine wachsende Gefahr weiterer und noch gewaltigerer Attacken zu erwarten. Smart-City-Installationen, wie sie inzwischen nicht nur denkbar, sondern die mit mehreren zehntausend Beacons Realität sind, können zu einer echten Gefahrenquelle werden.

Der IT-Journalist Moritz Jäger verweist in dem Zusammenhang auf den Blog des Sicherheitsexperten Bruce Schneier: „Sicherheitslücken werden oftmals weder vom Hersteller noch vom Besitzer geschlossen, warum auch? „Die Geräte waren billig in der Anschaffung, sie funktionieren immer”, so Schneier in seinem Blog. Zwar spricht er nicht explizit von Beacons aber wir wissen, dass die Hardware vieler Anbieter genau der Qualität entspricht, die Schneier meint. „IoT wird seiner Meinung nach unsicher bleiben, bis Regierungen entsprechende Vorschriften erlassen und Hersteller zu mehr Sicherheit zwingen“, so Jäger. Noch weiter gehen die jüngsten Ideen, dass beispielsweise das FBI das Internet der Dinge selbst hacken könnte, um Botnetze unschädlich zu machen. Linus Neumann, einer der Sprecher des Chaos Computer Clubs wird auf zeit.de zitiert: „Sofern das FBI den Prozess ordentlich dokumentiert und keinen Anlass für Misstrauen bietet, ist es vermutlich im Interesse des Großteils der Nutzer”. Die müssten sich dann nämlich nicht selbst darum kümmern, die Firmware ihres smarten Thermostats zu aktualisieren oder andere vergleichsweise komplexe Sicherheitsupdates vorzunehmen.“ Soweit sollten „wir“ es nicht kommen lassen. Denn was die Branche nicht gebrauchen kann, ist eine weitere Verunsicherung der Verbraucher durch DDoS-Attacken im Zusammenhang mit Beacon-Technologie.

Diese Möglichkeit ist zukünftig durchaus real: Durch die immer länger werdende Laufzeit netzwerkfähiger Beacons potenziert sich auch die Gefahr, dass die immer größer werdenden Beacon-Infrastrukturen infiziert werden – wenn wir Hersteller nicht anfangen, auch in diesem Bereich die Verantwortung für ihre Produkte zu übernehmen. Denn die eigentliche Gefahrenquelle ist die Firmware. Wenn sie, offen oder nicht administriert ist. Nur durch regelmäßige Updates werden die womöglich vorhandenen und ausgenutzten Sicherheitslücken geschlossen. Die Möglichkeit, Firmware schnell und unkompliziert updaten zu können ist letztlich ja auch eines der bestimmenden Argumente bei der Entwicklung meshfähiger Beacons gewesen. An dieser Stelle ist auch ein Umdenken auf Kundenseite nötig: Schutz kann nur funktionieren, wenn dem Kunden neben dem Preis auch der Sicherheitsaspekt wichtig ist. Für online im Paket erworbene Billigware sind keine Updates zu erwarten. Für renommierten Produzenten oder einem LBS-Lösungsanbieter muss dieser Service allerdings zwingend sein.

Auf der anderen Seite stellt die Bedrohung durch Malware-Infektionen gerade für Hersteller von Qualitätshardware und erst Recht für die Anbieter von Gesamtlösungen wie Favendo, der grundsätzlich auch verschlüsselt sendende Beacons im Programm hat, ein weiteres Verkaufsargument dar. Kein Kunde möchte seinen Namen im Zusammenhang mit einer DDoS-Attacke lesen. Es ist unsere gemeinsame Verantwortung, dass dies nicht passiert.

Fabian Biberger