Analyse: Kollateralschäden im Internet der Dinge 3/3

Andreas Frischholz et al. 47 Kommentare

Was tun, wenn der Karren im Dreck steckt

Denn die Lage ist mies angesichts der Millionen von IoT-Geräten, die allesamt das Problem haben: Es ist ein neuer Markt, die Produkte sollen möglichst günstig sein, Sicherheitsaspekte sind daher Kostenpunkt, der gerne eingespart wird. Ein gefundenes Fressen für Botnetz-Malware. Und die Nutzer tendieren in der Masse auch nicht dazu, Produkte – womöglich sogar für einen höheren Preis – zu kaufen, die auf Sicherheit einen hohen Wert legen. „Der Markt kann es nicht wieder hinbiegen“, erklärte daher IT-Sicherheitsexperte Schneier schon nach dem Angriff auf den DNS-Server von Dyn. „Die Käufer und Verkäufer interessiert es nicht.

Bundesregierung: Sensoren, um Angriffe schneller zu erkennen

Der Karren steckt also im Dreck und kommt so schnell nicht mehr raus. Auf dem Magenta Security Kongress - der just in dieser Woche stattfand – nahm Telekom-Chef Tim Höttges die Industrie in die Pflicht. Infolge des gescheiterten Angriffs auf die Telekom-Router erklärte er: „Das einzige, was wirksam hilft, ist nicht der Austausch von Powerpoints und Charts in der Industrie. Das erste, was hilft, ist aufrüsten. Jeder einzelne muss aufrüsten.“ Genrell müssten die Unternehmen enger zusammenarbeiten, um pragmatische Lösungen zu finden.

Kooperation von Staat und Unternehmen ist auch einer der Punkte, den die Bundesregierung stets predigt, wenn es um IT-Sicherheit geht. Neben dem umstrittenen IT-Sicherheitsgesetz wurde zuletzt noch die Cyber-Sicherheitsstrategie 2016 präsentiert. Einer der Punkte ist dabei die Zusammenarbeit mit Unternehmen und insbesondere den Provider. Eines der Ziele ist etwa der Ausbau einer „datenschutzkonformer Sensorik zur Anomalieerkennung im Netz“, um bereits mit Schadprogrammen infizierte Systeme zu entdecken. Eingesetzt werden sollen dafür Technologien wie etwa Intrusion Detection Systeme und Honeypots.

Hätte so eine Sensorik auch einen Angriff auf die Telekom-Router verhindern können? Tendenziell eher nein. Denn für solche Sensoren ist entscheidend, dass man weiß, worauf man achten soll. „Die Entdeckung eines neuartigen Angriffs ist damit providerseitig regelmäßig nicht möglich“, erklärt ein Sprecher des Innenministeriums auf Anfrage von ComputerBase. Wenn die Sensoren allerdings in der Lage sind, zumindest das Ausmaß eines Angriffs zu bestimmen, können Provider – wie die Telekom im aktuellen Fall – schneller reagieren.

Besserer Überblick durch Gütesiegel für IT-Sicherheit?

Ein weiterer Punkt in der Cyber-Sicherheitsstrategie sind Gütesiegel für die IT-Sicherheit. Käufer sollen bereits auf den ersten Blick erkennen können, ob ein internetfähiges Produkt tatsächlich auch gewisse Mindeststandards einhält. Entsprechende Schritte kündigte BSI-Präsident Schönbohm bereits in der letzten Woche an. Und auch das Innenministerium bestätigte, dass man derzeit die konkrete Ausgestaltung eines solchen Gütesiegels für IT-Sicherheit prüft.

Experten sind allerdings skeptisch, ob diese Maßnahme ausreicht. So erklärt Volker Tripp von der Digitalen Gesellschaft auf Anfrage von ComputerBase: „IT-Sicherheitsgütesiegel dürften, wenn überhaupt, nur eine sehr begrenzte Wirkung haben.“ Denn im Prinzip beschreiben die nur den Sicherheitsstandard, der bei der Zertifizierung festgestellt wird. Ob sich trotzdem noch gravierende Sicherheitslücken in den Systemen verstecken, lässt sich damit nicht ausschließen. „Eine 100-prozentige Sicherheit und Garantien gibt es nicht“, sagte etwa auch Telekom-Chef Höttges.

Mit Blick auf die Gütesiegel ist das aber heikel, weil Malware der Botnetze für gewöhnlich Zero-Day-Exploits ausnutzen, also Lücken, die bis dato noch nicht bekannt sind. Wenn solche Schwachstellen gefunden werden, kommt es dann direkt zum nächsten Problem: Wie sollen die Hersteller reagieren? Entweder müssten die Geräte aus dem Handel genommen werden oder die Kunden erhalten ein Produkt, das nicht dem Gütesiegel entspricht. Beides ist nicht praktikabel, so Tripp. Denn grundsätzlich untergräbt es das Vertrauen.

Hersteller müssen für Schäden haften

Anhand eines Gütesiegels lässt sich also schlicht nicht bewerten, ob ein Produkt gravierende Sicherheitslücken enthält. Entscheidender ist vielmehr, wie schnell die Hersteller reagieren, wenn eine Schwachstelle publik wird. Sinnvoller wäre es daher laut Tripp, wenn eine gesetzliche Pflicht besteht, Sicherheitsupdates innerhalb eines bestimmten Zeitraums bereitzustellen.

Zunächst müsste es Bußgelder geben, wenn die Hersteller die Vorgaben nicht einhalten. Und zudem sollten die Hersteller der Produkte für Schäden haften, die den Kunden aufgrund der nicht zeitnah geschlossenen Sicherheitslücken entstehen. Tripp: „Der wirtschaftliche Druck, der durch die Kombination von Bußgeldern und Schadensersatzansprüchen erzeugt wird, sollte die Hersteller hinreichend motivieren, um Sicherheitslücken so schnell wie möglich zu schließen.“ Das so etwas denkbar ist, verkündete in der letzten Woche auch BSI-Präsident Schönbohm.

Darüber hinaus ist es laut Tripp begrüßenswert, wenn Open-Source-Lösungen gefördert werden. Die haben im Vergleich zu den proprietären Produkten den altbekannten Vorteil, dass jeder den Quellcode einsehen kann. So besteht eher die Chance, dass Schwachstellen zügig entdeckt werden.

Vorschlag aus den USA: Behörden sollen Botnetz hacken

Wer es derweil rabiater mag, darf einen Blick in die USA werfen. Dort wurde infolge des DDOS-Angriffs auf den DNS-Anbieter DYN diskutiert, ob das FBI nicht selbst die bereits infizierten Geräte hacken soll, um die Malware zu entfernen und Sicherheitslücken zu schließen. Wenn es Unternehmen und Nutzer nicht schaffen, könnten Behörden auf diese Weise die Botnetze schwächen. Im Fall des DDoS-Angriffs auf die DYN-Server wäre es machbar und auch „vernünftig“, erklärte Nicholas Weaver, Forscher am International Computer Science Institute der Universität Berkeley, gegenüber Motherboard.

Nichtsdestotrotz ist der Vorschlag äußerst umstritten. Denn es gibt viel Spielraum für Missbrauch, wenn eine Behörde wie das FBI die Kontrolle von Millionen von Geräten übernimmt. Und zumal diese sich nicht nur in den USA befinden, sondern weltweit verbreitet sind.

Dennoch werden derzeit die rechtlichen Grundlage für so einen Schritt geschaffen. Seit dem 1. Dezember ist die Rule 41 in Kraft getreten, die es amerikanischen Behörden erlaubt, weltweit beliebig viele Computer zu hacken. Nötig ist dafür lediglich ein einziger Gerichtsbeschluss. Eigentlich zielt die neue Regelung auf die Nutzer des Anonymisierungsnetzwerk Tor, theoretisch kann sie aber eben auch bei den Botnetzen verwendet werden.

Dieser Artikel war interessant, hilfreich oder beides? Die Redaktion freut sich über jede Unterstützung in Form deaktivierter Werbeblocker oder eines Abonnements von ComputerBase Pro. Mehr zum Thema Anzeigen auf ComputerBase.