Aktuelles, Branche - geschrieben von dp am Freitag, Oktober 28, 2016 17:31 - noch keine Kommentare
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge
Noch mehr IoT-Attacken dieses und noch größeren Ausmaßes befürchtet
[datensicherheit.de, 28.10.2016] In einer aktuellen Stellungnahme kommentiert Günter Untucht, Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa, den vor einer Woche erfolgten massiven Distributed-Denial-of-Service-Angriff (DDoS-Attacke) auf den DNS-Service „DynDNS“, der aus dem Internet der Dinge (engl. „Internet of Things“, IoT) geführt wurde. Es seien insbesondere vier Lektionen, die man aus dem jüngsten und beileibe nicht dem ersten Angriff dieser Art lernen könne:
- Zeit und Geld zur Abwehr erforderlich!
Attacken dieser Art werden weitergehen, ist Untucht überzeugt.
Da bislang im IoT das Thema Sicherheit eher an letzter Stelle gekommen sei, hätten die Cyber-Kriminellen sich einen Vorsprung sichern können, der noch einige Zeit Bestand haben dürfte. Denn viele dieser Geräte würden sich auch nachträglich nicht absichern lassen, müssten also ausgetauscht werden. Das werde aber Zeit und Geld kosten.
Gleichzeitig habe der jüngste Angriff gezeigt, wie massiv die realen Konsequenzen sein könnten. „Eine Website, die nicht erreichbar ist, ist eine Sache, ein Produktionsausfall, weil die in der Cloud angesiedelten IT-Systeme blockiert sind, eine andere. Solange also das Sicherheitsniveau im Internet der Dinge nicht deutlich steigt, müssen wir mit weiteren Attacken rechnen, die zudem beträchtliche Schäden anrichten können“, betont Untucht. - IoT-Anbieter: Wissen für „Security by Design“ fehlt!
Das „Ökosystem“ funktioniere nicht. Das IoT werde von Anbietern beherrscht, deren Kerngeschäft nicht IT und schon gar nicht IT-Sicherheit heiße.
Es fehle also in vielen Fällen und wohl bis auf Weiteres das notwendige Wissen, um die intelligenten Geräte sicher zu designen.
Gleichzeitig führe der Wettbewerbsdruck dazu, dass auch Partner der Hersteller wenig Anreize hätten, in der Support-Phase für die notwendige Sicherheit zu sorgen. Denn im Augenblick stünden noch möglichst kurze Markteinführungszeiten und das Interesse, die Geräte erst einmal zum Laufen zu bringen, im Vordergrund. Das werde sich vielleicht erst dann ändern, wenn ein Anbieter von IoT-Geräten wegen mangelnder Sicherheit Konkurs anmelden muss. - Ohne Regulierungsdruck kein Mehr an IoT-Sicherheit!
Regulierer müssten eingreifen.
Niemand in der IT-Industrie höre das gern, aber es werde unvermeidbar sein: „Ohne Regulierungsdruck wird sich wohl in absehbarer Zeit nur wenig an der mangelnden Sicherheit der IoT-Geräte ändern.“
Was bei elektrischen und elektronischen Geräten gang und gäbe sei, müsse auch in der IoT-Welt Standard werden, fordert Untucht: Vorschriften zur Erhöhung der Sicherheit, um zum Beispiel das Schließen offener Ports oder das verschlüsselte Versenden von Daten verpflichtend zu machen. - Anbieter, Verbände und Regulierungsbehörden: An einem Strang ziehen!
Die IoT-Sicherheit werde nur allmählich zunehmen.
Es werde irgendwann dazu kommen, dass die Hersteller von IoT-Geräten wirtschaftliche Einbußen wegen mangelnder Sicherheit verzeichnen werden. Untucht: „Und irgendwann werden sicherlich einige Geräte von den Aufsichtsbehörden aus dem Verkehr gezogen werden.“
Doch nur wenn Anbieter, Verbände und Regulierungsbehörden an einem Strang zögen, werde dieses „irgendwann“ früher als am „Sankt-Nimmerleins-Tag“ eintreten.
Leidensdruck u.U. noch nicht groß genug!
„Reicht der Warnschuss von vergangener Woche aus, um ein Umdenken zu bewirken, damit die IoT-Sicherheit schneller als bisher erhöht wird?“
Untucht lässt sich nach eigenen Angaben „gerne umstimmen“, aber seine persönliche Prognose lautet, „dass wir erst noch mehr IoT-Attacken dieses und noch größeren Ausmaßes werden erleben müssen“. Er leitet seit 2006 die „EMEA“-weite Rechtsabteilung beim japanischen IT-Sicherheits-anbieter Trend Micro. Bevor Untucht im Jahr 1990 seine beruflichen Interessen auf die IT-Industrie verlagerte, hatte er als leitender Justiziar in einem US-amerikanischen Pharmakonzern gearbeitet und war Vorstandsmitglied eines Industrieverbandes. Anschließend war er unter anderem bei Compaq Computer sowie bei BearingPoint (früher: KPMG Consulting) tätig.
Günter Untucht: Zweifel, dass der jüngste „Warnschuss“ zum Umdenken führt
Weitere Informationen zum Thema:
datensicherheit.de, 11.10.2016
TREND MICRO will auch Privatanwendern Schutz gegen Erpressersoftware bieten
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren