IoT-Botnet-Angriffe nehmen weiter zu: praktische Tipps zur Risikominimierung

10. August, 2022

IoT-Botnets nehmen – begünstigt durch externe Faktoren – Fahrt auf. Der aktuelle IT/OT-Security-Bericht von Nozomi Networks nennt den starken Anstieg von IoT-Botnets als eine von drei wesentlichen Entwicklungen im ersten Halbjahr 2022. Gemeinsam mit Wechselwirkungen durch den Ukraine-Krieg und der Zunahme von Wiper-Schadsoftware, die auf die auf Zerstörung von Daten und Systemen ausgelegt ist, dominieren sie die aktuelle Bedrohungslandschaft. [1]

Was IoT-Systeme für Angreifer attraktiv macht

Für Cyberkriminelle wird es immer interessanter, sich rein auf IoT-Systeme zu spezialisieren. Kameras, Sensoren oder Steuerungs- und Überwachungsanlagen werden oft in hoher Anzahl installiert und danach nicht weiter beachtet. Somit sind IoT-Systeme meist nur wenig geschützt, während sie 24 Stunden am Tag online sind und typischerweise eine sehr gute Internet-Anbindung haben.

Die Entwicklung von IoT-Systemen basiert häufig auf einem abgespeckten Linux-Betriebssystem, das wenig Spielraum für Sicherheitsfunktionen bietet. Zusammen mit günstigen Standard-Komponenten von weiteren Zulieferern und einem möglichen Kosten- und Implementationsdruck des Herstellers können sich einfache Sicherheitsprobleme so millionenfach verbreiten.

Warum es immer mehr IoT-Botnets gibt

Fehlendes Security-by-Design und mangelnde Qualitätskontrollen der Implementationen, Standard-Passwörter im Echtbetrieb oder auch im Programmcode festgelegte Schlüssel sind in der Praxis immer wieder anzutreffen. Ein millionenfach verbreiteter GPS-Tracker-Baustein, der über ein Standard-Passwort übernommen werden kann und es Angreifern ermöglicht, lokal bei einem Fahrzeug den Motor auszuschalten, ist nur ein aktuelles Beispiel dafür. [2] „admin“ und „root“ zählen dabei übrigens zu den meist genutzten Benutzerinformationen, um Zugang zu fremden Systemen zu erlangen.

Auch Microsoft hat die Funktionsweise des IoT-Botnets „Trickbot“ genauer untersucht und Erkenntnisse über die Angriffsvektoren und allgemeine Funktionsweise zusammengefasst. [3] Wie Nozomi beobachtete Microsoft eine gezielte Suche nach typischen millionenfach eingesetzten Infrastruktur-Komponenten mit Werkeinstellungen oder einfach schlechten und vielfach verwendeten Passwörtern. Einmal identifiziert, übernehmen Cyber-Kriminelle diese Komponenten, um sie für die eigenen Kommunikationszwecke zu missbrauchen. Es zeigt sich also, dass eine schwache Authentifizierung und Zugangskontrolle der bevorzugte und derzeit auch einfachste Angriffsvektor auf IoT-Systeme sind.

Wie IoT-Botnets verhindert werden können

Die guten Nachrichten: Die häufigsten Angriffspunkte können bereits mit wenigen aufeinander aufbauenden Punkten abgesichert werden. So reduzieren Sie das Sicherheitsrisiko auch in bereits eingesetzten Geräten und IoT-Systemen spürbar:

  • Passwort-Policy: Ändern Sie sofort alle Standard-Passwörter auf ausnahmslos allen Systemen gegen sichere Kombinationen. Löschen Sie voreingestellte Hersteller-Accounts und überprüfen Sie vorhandene Benutzer, um keine Hintertüren mehr zu ermöglichen.
  • Account-Policy: Verwenden Sie ausschließlich unique Benutzerdaten und nutzen Sie Accounts nicht auf unterschiedlichen Geräten. Optimal sind individuelle Login-Daten pro User über ausschließlich verschlüsselte Verbindungen.
  • Authentifizierung: Nutzen Sie eine zentrale Authentifizierungseinrichtung (AAA-Server) und überwachen Sie aller Login-Versuche sowie das neue Anlegen von Benutzern. Diese Analysen können Hinweise auf Schadsoftware-Aktivitäten geben.
  • Automatisierung: Besonders wenn Sie mehrere IoT-Systeme in Betrieb haben, lohnt es sich, die Inventarisierung und Überwachung Ihrer IT/OT-Systeme zu automatisieren. So erkennen Sie Schwachstellen, Bedrohungen und Anomalien schnellstmöglich.

FAZIT: Während sich die Sicherheitslösungen für herkömmliche Computer weiterentwickeln und verbessern, suchen Cyber-Kriminelle nach alternativen Möglichkeiten, um in Zielnetzwerke einzudringen. Angriffsversuche auf Router, Kameras und andere IoT-Geräte sind daher nicht neu, jedoch aktuell besonders häufig.

Da IoT-Geräte und -Netzwerke oft nicht aktiv verwaltet und überwacht werden, sind sie meist das schwächste Glied im gesamten IT-System. Sowohl Unternehmen als auch Privatanwender sollten daher in Ihren Sicherheitsrichtlinien und -routinen unbedingt auch IoT-Geräte berücksichtigen. Ändern Sie als ersten Schritt sofort alle Standard-Passwörter!

Für Unternehmen mit umfangreicheren IoT-Landschaften stehen aus dem Bereich der industriellen Cyber-Sicherheit professionelle Lösungen für das unkomplizierte Monitoring sowie effektive Absicherung und Risikominimierung bereit.

Produktempfehlung:

Cyber-Security für OT und IoT: Nozomi Guardian powered by IKARUS

Leseempfehlung:

Honeypots: Forscher analysieren Angriffe auf IoT-Systeme
Tipps, um Smart Home Geräte besser abzusichern

Quellen:

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download