Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Montag, Januar 28, 2019 17:27 - noch keine Kommentare
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung
Ohne angemessene Sicherheitsmechanismen können IoT-Geräte leicht gehackt werden
Von unserem Gastautor Stu Sjouwerman, CEO bei KnowBe4
[datensicherheit.de, 28.01.2019] IoT-Geräte machen unser alltägliches Leben einfacher und komfortabler, zum Beispiel in der Medizintechnik, aber auch auf der Arbeit und zu Hause. Ohne angemessene Sicherheitsmechanismen kann ein IoT-Gerät jedoch leicht gehackt werden und Hacker erhalten möglicherweise Zugang zu mehr als nur dem Gerät selbst. Um sich das Ausmaß der Schäden bei Sicherheitsvorfällen mit IoT-Geräten vor Augen zu führen, eignet sich ein Blick auf den Fall von Daniel Kaye.
Befehl zum DDoS-Angriff von einem Mobiltelefon
Kaye verdient seinen Lebensunterhalt als Cyberkrimineller und wurde dadurch bekannt, dass er im Oktober 2015 einen massiven und verheerenden Angriff auf den größten Mobilfunk- und Internet-Anbieter in Liberia, Lonestar, durchgeführt hat. Der Angreifer hat von Zypern aus mit Hilfe seines Mobiltelefons den Befehl für einen DDOS-Angriff gegeben, der als Grundlage für den Angriff mehrere IoT-Geräte aus dem Botnetz Mirai nutzte. Mirai bestand aus einer großen Anzahl von Internet-Routern und Webcams, die von Firmen in China hergestellt werden. Diese gehackten Geräte werden typischerweise für Sicherheits- und Internetdienste in Privathaushalten und Unternehmen verwendet, so dass die Fremdnutzung der CPU-Leistung zumeist nicht weiter auffällt. Das Botnetz konnte das Netzwerk des liberianischen Telekommunikationsanbieters sofort lahmlegen, in der Folge konnten die Nutzer keine Mobilfunk-Services mehr nutzen. Zeitweise gab es sogar in ganz Liberia kein stabiles Mobilfunknetz.
Stu Sjouweman, CEO von KnowBe4
Angriff auf die Deutsche Telekom
Im November 2016 führte Kaye dann einen ähnlichen Angriff auf die Deutsche Telekom durch. Obwohl der Angriff nicht ganz so erfolgreich war, waren bundesweit fast eine Million Telekom-Nutzer zeitweise ohne Internet. Nachdem er verhaftet worden war, sagte Kaye, dass er die Sicherheitslücke an den billigen Kameras und Routern ausgenutzt hatte, um seinen Angriff auf die Router ohne das Wissen der Eigentümer und der betroffenen Dienstleister durchzuführen.
In einem anderen Fall wurde die Überwachungskamera einer Familie, die zur Überwachung ihres Babys verwendet wurde, gehackt. Der Hacker erschreckte die Familie, indem er Ihnen sagte, dass er bereits im Kinderzimmer gewesen wäre und ihr Baby entführen wollte. In einem anderen Fall kompromittierte ein White Hat Hacker eine Überwachungskamera und sprach dabei mit dem Besitzer der Kamera. Natürlich warnte er ihn davor, wie unsicher das Gerät war.
In den Nachrichten wurde im letzten Jahr ein Sicherheitsvorfall publik, bei dem Casino-Daten durch ein smartes Gerät zur Regelung der Temperatur in einem Aquarium über eine Schwachstelle angriffen und kompromittiert wurde. Da viele kleinere IT-Abteilungen auf einfach zu implementierende und zu verwaltende Sicherheitskameras angewiesen sind, sind diese internetfähigen Geräte der perfekte Einstiegspunkt für externe Angreifer.
Verbraucher und Unternehmen sollten deshalb beim Anschluss dieser Geräte – sowohl zu Hause als auch im Büro – die folgenden Hinweise sorgfältig lesen und beachten:
- Einschränkung des externen Zugangs – In allen oben genannten Fällen waren die smarten Geräte frei über das Internet angreifbar, denn sie waren nicht abgesichert. Die intelligenten Geräte sollten mit dem Netzwerk verbunden werden und der Zugriff auf das Netzwerk über eine VPN-Verbindung abgesichert werden.
- Zwei-Faktor-Authentifizierung verwenden – Viele IoT-Geräte unterstützen eine Zwei-Faktor-Authentifizierung. Durch die Verwendung einer Mehrfaktor-Authentifizierung wird die Möglichkeit für erfolgreiche Hackerangriffe auf die Geräte limitiert. In allen beschriebenen Fällen hätte eine aktivierte Mehrfaktor-Authentifizierung die Angreifer daran gehindert, die Kontrolle über die Geräte zu erlangen.
- Unterschiedliche Passwörter verwenden – In einem der oben genannten Szenarien wurden die Informationen des Benutzers im Web kompromittiert, einschließlich des Passworts, das er auf mehreren Websites und seiner Kamera verwendet hat. Verbraucher sollten für jeden Standort, jedes Gerät, jede Anwendung usw. unterschiedliche Passwörter verwenden. Es gibt eine Vielzahl von webbasierten oder hardware-basierten Passwort-Speichern, die beim Schutz der Passwörter helfen.
- Die Wiederverwendung von Passwörtern ist keine Seltenheit – nach den Angaben des Herstellers Last Pass in der Studie „State of the Password 2018“ verwendet die Hälfte aller befragten Mitarbeiter Passwörter sowohl für Privat- als auch für Geschäftskonten. Diese Doppelverwendung stellt eine Gefahr für die Unternehmen dar. Benutzer müssen durch ein Security Awareness-Training auf folgende Maßnahmen geschult werden: die richtige Passwort-Etikette, die einfache Verwendung von Passwörtern, die Erstellung sicherer Passwörter und anderer damit zusammenhängender Maßnahmen.
Fazit
In der nahen Zukunft werden wir alle noch weitaus mehr IoT-Geräte am Arbeitsplatz und zu Hause nutzen und viele dieser Geräte werden Daten über uns erheben, von denen wir nicht einmal wussten, dass wir diese erzeugen. Deshalb ist bereits heute ein guter Zeitpunkt, um über die richtige Absicherung dieser Geräte nachzudenken, unabhängig davon, wo und wofür sie verwendet werden. Darüber hinaus sollten die Mitarbeiter ein Security Awareness-Training absolvieren, um über die Risiken von Phishing-E-Mails und schwachen Passwörtern aufgeklärt zu werden. Nur dann können in Zukunft Vorfälle ähnlich denen bei der Telekom oder Lonestar gänzlich verhindert werden. Oder zumindest abgemildert und den Hackern das Leben schwerer gemacht werden.
Weitere Informationen zum Thema:
datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal
datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen
datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten
Aktuelles, Experten - Nov 28, 2024 19:24 - noch keine Kommentare
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
weitere Beiträge in Experten
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
- Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
Aktuelles, Branche - Nov 28, 2024 19:24 - noch keine Kommentare
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
weitere Beiträge in Branche
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
- Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit
- Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren