Router: Gravierende Sicherheitsmängel als Standard

Rainer M. Richter kommentiert aktuelle Erkenntnisss des Fraunhofer-Instituts FKIE

[datensicherheit.de, 02.07.2020] „Obwohl Security-Experten seit Jahren regelmäßig gefährliche Sicherheitslücken in Routern aufdecken und nachdrücklich vor den damit verbundenen Risiken warnen, bleiben die Hersteller davon scheinbar unbeeindruckt“, kritisiert Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH, in seiner aktuellen Stellungnahme. Anders lässt es sich demnach nicht erklären, dass Sicherheitsforscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in einer Überprüfung von 127 verschiedenen Home-Routern jüngst „erneut inakzeptable Schwachstellen“ wie voreingestellte Hersteller-Passwörter, fehlende Exploit-Schutzmaßnahmen oder private Krypto-Schlüssel gefunden haben. Für die Nutzer der Geräte bedeute dies letztlich, dass sie selbst aktiv werden und nach Schwachstellen suchen müssten, „wenn sie ihre Cyber-Angriffsfläche reduzieren wollen“, so Richter.

Foto: SEC Technologies GmbH

Rainer M. Richter: Nutzer von IoT-Geräten müssen selbst aktiv werden und Sicherheitslücken identifizieren!

Erinnerung an „Mirai“-Attacken auf Router im Jahr 2016

Welche Gefahren Router-Schwachstellen nach sich ziehen, sollte spätestens seit den großangelegten „Mirai“-Attacken im Jahr 2016 jedermann verstanden haben (diese „Linux“-Schadsoftware hatte damals IoT-Geräte gezielt nach Sicherheitslücken gescannt, infiziert und anschließend über Bot-Netze flächendeckend lahmgelegt).
Richter erinnert an den Vorfall: „Betroffen waren unter anderem auch Hunderttausende Router der Deutschen Telekom. Und auch im vergangenen Jahr waren Telekom-Router negativ in den Schlagzeilen, als eine einfache Fehlkonfiguration eines Ports einen schweren Datenschutzvorfall verursacht hatte, der rund 30.000 sensible Patientendaten über einen ,Windows‘-Server für jedermann im Internet frei zugänglich gemacht hat.“

Hersteller von Routern und anderen IoT-Geräten wissen nun seit Jahren von Schwachstellen

Für zu viele Hersteller von IoT-Geräten habe Sicherheit nach wie vor keine Priorität – wenn die Hersteller von IoT-Geräten (denn das Problem beschränke sich leider nicht nur auf Router) nun seit Jahren von den anhaltenden Schwachstellen wüssten, „stellt sich die Frage, warum sie überhaupt nicht oder nur spärlich handeln“.
Eine Erklärung ist laut Richter, dass für viele von ihnen eine günstige Entwicklung und schnelle Time-to-Market oberste Priorität hat, was dazu führt, dass eine wirksame Überprüfung auf mögliche Sicherheitslücken vernachlässigt wird bzw. das Entfernen von bekannten Schwachstellen unter den Tisch fällt.
Richter: „Nicht ganz so einfach zu erklären ist, warum die Hersteller auf Hinweise von Nutzern oder externen Sicherheitsanalysten, die Schwachstellen in ihren IoT-Geräten identifiziert haben, in vielen Fällen ablehnend, ja sogar drohend reagieren, anstatt das Gespräch zu suchen und gemeinsam an zufriedenstellenden Lösungen zu arbeiten.“

IoT-Schwachstellenbehebung: Reaktion schädlicher als Prävention

Dabei gingen sie ein hohes Risiko ein: Abgesehen von drohenden Reputationsschäden im Fall von Cyber-Vorfällen oder Datenschutzverletzungen, müssten sie sich bewusst machen, dass eine nachträgliche Behebung von Sicherheitslücken – zum Beispiel in Hunderttausenden, weltweit eingesetzten IoT-Komponenten – sie mehr kosten werde als eine frühzeitige Analyse und eventuelle Schwachstellenbehebung vor dem Rollout.
Solange die Hersteller selbst nicht aktiv werden und für ausreichend Sicherheit ihrer Kunden und derer Systeme und Daten sorgen, liege es letztlich an den Nutzern und auch Serviceprovidern selbst, für Transparenz zu sorgen und potenzielle Verwundbarkeiten in den eingesetzten Geräten aufzudecken.
Dabei müssten sie sich zunächst bewusst machen, welche Risiken von IoT-Devices – dazu zählen neben Routern klassischerweise auch Drucker, IP-Kameras, VoIP Telefone oder Thermostate – tatsächlich ausgehen. „Die Router-Analyse des FKIE bietet hier Augen öffnende Einblicke: So basiert ein Drittel der getesteten Geräte auf ,Linux‘-Kernelversionen, die seit über neun Jahren keine Sicherheitsupdates mehr bekommen. Zudem fanden die Forscher durchschnittlich knapp fünf private Krypto-Schlüssel pro untersuchtem Firmware-Image sowie werksseitig voreingestellte Passwörter, die teilweise nirgends aufgeführt sind.“

IoT-Firmware-Schwachstellen: Anwender müssen selbst aktiv werden!

Wer sich und sein Unternehmen diesen Risiken nicht blindlings aussetzen möchte, „dem ist angeraten, selbst aktiv zu werden und nach Schwachstellen in den eingesetzten IoT-Devices zu suchen. Schon heute stehen Unternehmen, Infrastrukturanbietern, Herstellern und IT-Beratern automatisierte Analyse-Tools und -Plattformen zur Verfügung, die Transparenz darüber bieten, was sich in einem Firmware-Image befindet und klassische IoT-Firmware-Schwachstellen wie Lücken in der Systemkonfiguration, festeingestellte Passwörter oder SSH Host-Keys sichtbar machen.“
Fortschrittliche Werkzeuge seien dabei auch mit den gängigen internationalen Sicherheitsstandards für IoT-Geräte – man denke an die „ENISA Baseline Security Recommendations for IoT“ oder die „IoT-Richtlinien“ des Deutschen Instituts für Normung – vertraut und somit in der Lage, anzuzeigen, ob die Geräte gegen Compliance-Vorschriften der jeweiligen Branche verstoßen.
Da ein Umdenken und eine größere Sicherheitsverantwortung von Seiten der Hersteller auch in der nächsten Zeit eher nicht zu erwarten sei, sollte eine selbstständige Analyse der IoT-Firmware für viele Unternehmen und Provider zur Selbstverständlichkeit werden. „Nur so können Sicherheitsmaßnahmen an den Gefahren angepasst und die Cyber-Angriffsfläche minimiert werden“, unterstreicht Richter.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2020
The IoT is broken – gebrechlich aber heilbar / Neuer TÜV SÜD-Podcast „Safety First“ mit Mirko Ross

datensicherheit.de, 27.06.2020
Fast alle getesteten Router mit Sicherheitsmängeln / „Home Router Security Report 2020“ vom Fraunhofer FKIE veröffentlicht

datensicherheit.de, 29.11.2016
Angriff auf Router von Telekom-Kunden zeigt Verletzbarkeit der IKT-Infrastruktur / G DATA warnt: Angriffe auf Router lohnen sich!