DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge

Noch mehr IoT-Attacken dieses und noch größeren Ausmaßes befürchtet

[datensicherheit.de, 28.10.2016] In einer aktuellen Stellungnahme kommentiert Günter Untucht, Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa, den vor einer Woche erfolgten massiven Distributed-Denial-of-Service-Angriff (DDoS-Attacke) auf den DNS-Service „DynDNS“, der aus dem Internet der Dinge (engl. „Internet of Things“, IoT) geführt wurde. Es seien insbesondere vier Lektionen, die man aus dem jüngsten und beileibe nicht dem ersten Angriff dieser Art lernen könne:

1. Zeit und Geld zur Abwehr erforderlich!
   Attacken dieser Art werden weitergehen, ist Untucht überzeugt.
   Da bislang im IoT das Thema Sicherheit eher an letzter Stelle gekommen sei, hätten die Cyber-Kriminellen sich einen Vorsprung sichern können, der noch einige Zeit Bestand haben dürfte. Denn viele dieser Geräte würden sich auch nachträglich nicht absichern lassen, müssten also ausgetauscht werden. Das werde aber Zeit und Geld kosten.
   Gleichzeitig habe der jüngste Angriff gezeigt, wie massiv die realen Konsequenzen sein könnten. „Eine Website, die nicht erreichbar ist, ist eine Sache, ein Produktionsausfall, weil die in der Cloud angesiedelten IT-Systeme blockiert sind, eine andere. Solange also das Sicherheitsniveau im Internet der Dinge nicht deutlich steigt, müssen wir mit weiteren Attacken rechnen, die zudem beträchtliche Schäden anrichten können“, betont Untucht.
2. IoT-Anbieter: Wissen für „Security by Design“ fehlt!
   Das „Ökosystem“ funktioniere nicht. Das IoT werde von Anbietern beherrscht, deren Kerngeschäft nicht IT und schon gar nicht IT-Sicherheit heiße.
   Es fehle also in vielen Fällen und wohl bis auf Weiteres das notwendige Wissen, um die intelligenten Geräte sicher zu designen.
   Gleichzeitig führe der Wettbewerbsdruck dazu, dass auch Partner der Hersteller wenig Anreize hätten, in der Support-Phase für die notwendige Sicherheit zu sorgen. Denn im Augenblick stünden noch möglichst kurze Markteinführungszeiten und das Interesse, die Geräte erst einmal zum Laufen zu bringen, im Vordergrund. Das werde sich vielleicht erst dann ändern, wenn ein Anbieter von IoT-Geräten wegen mangelnder Sicherheit Konkurs anmelden muss.
3. Ohne Regulierungsdruck kein Mehr an IoT-Sicherheit!
   Regulierer müssten eingreifen.
   Niemand in der IT-Industrie höre das gern, aber es werde unvermeidbar sein: „Ohne Regulierungsdruck wird sich wohl in absehbarer Zeit nur wenig an der mangelnden Sicherheit der IoT-Geräte ändern.“
   Was bei elektrischen und elektronischen Geräten gang und gäbe sei, müsse auch in der IoT-Welt Standard werden, fordert Untucht: Vorschriften zur Erhöhung der Sicherheit, um zum Beispiel das Schließen offener Ports oder das verschlüsselte Versenden von Daten verpflichtend zu machen.
4. Anbieter, Verbände und Regulierungsbehörden: An einem Strang ziehen!
   Die IoT-Sicherheit werde nur allmählich zunehmen.
   Es werde irgendwann dazu kommen, dass die Hersteller von IoT-Geräten wirtschaftliche Einbußen wegen mangelnder Sicherheit verzeichnen werden. Untucht: „Und irgendwann werden sicherlich einige Geräte von den Aufsichtsbehörden aus dem Verkehr gezogen werden.“
   Doch nur wenn Anbieter, Verbände und Regulierungsbehörden an einem Strang zögen, werde dieses „irgendwann“ früher als am „Sankt-Nimmerleins-Tag“ eintreten.

Leidensdruck u.U. noch nicht groß genug!

„Reicht der Warnschuss von vergangener Woche aus, um ein Umdenken zu bewirken, damit die IoT-Sicherheit schneller als bisher erhöht wird?“
Untucht lässt sich nach eigenen Angaben „gerne umstimmen“, aber seine persönliche Prognose lautet, „dass wir erst noch mehr IoT-Attacken dieses und noch größeren Ausmaßes werden erleben müssen“. Er leitet seit 2006 die „EMEA“-weite Rechtsabteilung beim japanischen IT-Sicherheits-anbieter Trend Micro. Bevor Untucht im Jahr 1990 seine beruflichen Interessen auf die IT-Industrie verlagerte, hatte er als leitender Justiziar in einem US-amerikanischen Pharmakonzern gearbeitet und war Vorstandsmitglied eines Industrieverbandes. Anschließend war er unter anderem bei Compaq Computer sowie bei BearingPoint (früher: KPMG Consulting) tätig.

Foto: Trend Micro

Günter Untucht: Zweifel, dass der jüngste „Warnschuss“ zum Umdenken führt

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2016
TREND MICRO will auch Privatanwendern Schutz gegen Erpressersoftware bieten