Im September 2016 trat ein, wovor Sicherheitsexperten schon länger gewarnt hatten, was aber noch nicht sonderlich ernst genommen wurde. Der Größte bisher gemessene DDos-Angriff mit Rekordhöhe von über 1 Terabit pro Sekunde ging von Tausenden Embedded- und IoT-Geräten aus. Ein Angriff mit bislang unbekanntem Ausmaß. Das dafür verantwortliche Botnetz trägt den Namen „Mirai“ und kaperte aus Tausenden Haushalten und Unternehmen die vernetzten IoT-Geräte, darunter hauptsächlich IP-Kameras. Aber auch Feuermelder, Kühlschränke, Sensoren etc. befinden sich darunter (Frank & Schmitz, 2017).
Botnetze durch IoT-Geräte
Überwachungskameras, die an das Netzwerk angeschlossen sind, werden auch als IP-Kameras bezeichnet. Diese verfügen oftmals über ein WLAN Modul. Es sind auch LAN-Kameras, die direkt per Kabel mit einem Router verbunden werden, verfügbar
Der vorgefallene Angriff hatte weitreichende Folgen auf das gesamte Internet, auch weil das Opfer des durchgeführten DDoS-Angriffs der Internetdienstleister Dyn war. An Dyn hängen viele weitere Onlinedienste wie Twitter, PayPal, Netflix oder sogar Amazon. Die Folge daraus war, dass die bekannten Webseiten nicht erreichbar waren, obwohl der Angriff nicht direkt auf die Onlinedienste abzielte (Schieb, 2016).
Das Unternehmen Dyn stellt unterschiedliche Dienstleistungen zur Verfügung, etwa die Vernetzung oder das Verwalten sogenannter DNS-Adressen, das bedeutet, dass aus Web-Adressen wie amazon.de Internet-Adressen wie 178.236.6.250 gemacht werden.
Der zunehmende Markt von vernetzten IoT-Geräten birgt auch neue Herausforderungen und Risiken. Die Sicherheit von Überwachungskameras, Kaffeemaschinen oder Kühlschranken muss in Zukunft unbedingt besser gewährleistet werden. Man spricht seither auch von DoT – „DDoS of Things“ (Frank & Schmitz, 2017).
Keyless-Systeme
Keyless-Systeme beschreiben ein System, um Türen, ohne aktive Benutzung eines Schlüssels, zu entriegeln (also „keyless“, zu Deutsch „schlüssellos“). Um die Türen zu entriegeln, reicht das Mitführen eines Transponders. „KEYLESS GO“ der Daimer AG wird verwendet um die Autotüren des Fahrzeuges zu öffnen. Der Fahrer muss nur den Startknopf Betätigen, um das Fahrzeug zu starten. (Peuyn, 2017)
Diese schlüssellosen Systeme kommen nicht nur in der Automobilbranche zum Einsatz. Auch die Wohnungstür in das Eigenheim kann mit diesen komfortablen Schlüsselsystemen entriegelt werden. In Kombination mit Wearables wie einer Smartwatch muss sogar kein Transponder am Schlüsselbund mehr mitgetragen werden. Das Wearable oder das Smartphone ersetzen dank integrierter NFC-Technik diesen Transponder.
Neben vielen Vorteilen, z. B. dass der Schlüssel nicht mehr vergessen wird, birgt diese Technik auch Gefahren. Denn trotz allem Komfort bieten schlüssellose Systeme gerade für Autodiebe oder Einbrecher ein lukratives Ziel. Und die neue Technik macht es den Kriminellen gerade einfacher als zuvor.
Zwei Studierende der Dualen Hochschule Baden-Württemberg Karlsruhe des Studiengangs Elektrotechnik bewiesen für ihre Seminararbeit wie sie in Sekundenschnelle ein solches Keyless-System hacken konnten. Mit recht einfachen Mitteln und einer Investition von nur etwa 40 Euro gelang es ihnen die Fahrzeugtüre zu öffnen, ohne dass sich der Autoschlüssel mit dem Transponder in direkter Nähe befand. Die Studierenden haben dafür das Signal mithilfe eines Repeaters verlängert (DHBW Karlsruhe, 2017). Auf Abbildung 5 ist ein solcher Repeater zu sehen.
Der ADAC warnt daher ausdrücklich vor den Keyless-Systemen:
Autos und Motorräder mit dem Komfort-Schließsystem „Keyless“ sind deutlich leichter zu stehlen als Fahrzeuge mit normalem Funkschlüssel. Das zeigt eine Untersuchung des ADAC an über 100 Modellen. Mit einer selbst gebauten Funk-Verlängerung konnten alle bisher untersuchten, mit Keyless ausgestatteten Autos sekundenschnell geöffnet und weggefahren werden. Bei den getesteten Motorrädern ließen sich die Lenkerschlösser entriegeln und die Motoren starten. Das hinterließ keine sichtbaren Spuren. (ADAC, 2017)
Kontaktloses Bezahlen
Kontaktloses Bezahlen wird auch in Deutschland immer beliebter. Neu ausgestellte Kreditkarten verfügen inzwischen meist standardgemäß den eingebauten Chip. Mittels „Near-Field-Communication“ (kurz NFC) können Käufe bis 25 Euro ohne PIN-Eingabe abgewickelt werden (Richter, 2017; sparkasse.de, 2017). Das erspart beim Kaufen viel Zeit und erfreut sich daher zunehmender Beliebtheit. Auch immer mehr Geschäfte rüsten ihre Kassenterminals auf, darunter befinden sich beispielsweise Rewe, Real, Rossmann, Galeria Kaufhof, Penny und viele mehr (Richter, 2017).
Nicht nur die Bank- oder Kreditkarten sind mit den NFC-Chips ausgestattet, auch die modernen Smartphones unterstützen meist diese Technologie. Wer beispielsweise eine Smartwatch mit dem Betriebssystem Android Wear besitzt kann sich dort die App „Android Pay“ aus dem Play Store installieren. Damit wird die Armbanduhr, vorausgesetzt sie ist NFC-fähig zur kontaktlosen Geldbörse.
Nicht nur Google bietet diese digitale Geldbörse, auch andere Hersteller wie Apple mit dem Produkt „Apple Pay“ und Samsung mit „Samsung Pay“ sind bereits etabliert auf diesem Markt. Auf Abbildung 6 ist eine Smartwatch mit der installierten App „Android Pay“ zu sehen.
Gefahren gibt es auch beim kontaktlosen bezahlen. So können Angreifer die Kommunikation zwischen Kassenterminal und NFC-Chip stören oder manipulieren. Kreditkartenbetrüger sind in der Lage, durch die Geldbörse hindurch, in der sich die Bank- oder Kreditkarte befindet, Informationen von der Kreditkarte zu lesen oder sie gar zu klonen. Sicherheitsexperten ist dieses Angriffsszenario zwar bewusst, rechtfertigen es aber damit, dass Hacker eher auf Onlineshops abzielen, wo sie statt einer Kreditkarte, die Kreditkarteninformationen von Tausenden Kunden auf einmal abgreifen können (HRfernsehen, 2017; sparkasse.de, 2017).
Dennoch gibt es für Besitzer solcher Bank- und Kreditkarten auch Schutzmechanismen. In vielen Märkten sind Kreditkartenetuis erhältlich, die mit einem Alu ausgelegten Mantel umhüllt sind (sparkasse.de, 2017; sternTV, 2016). Diese bieten einen absoluten Schutz gegen unerlaubtes Auslesen (sternTV, 2016).
Nicht so einfach ist es für die Hacker beim Zahlen mit Android Pay und Co., da nicht dauerhaft ein NFC-Chip mitgetragen wird, sondern der Chip erst vom Käufer durch das Starten der entsprechenden App aktiviert wird. Und auch dann muss eine Zahlungsabwicklung anschließend erst bestätigt werden. Beim Bezahlen mit dem Smartphone gilt es als Käufer darauf zu achten, dass wenn die Zahlungsabwicklung auf dem Smartphone bestätigt wird, auch die richtige Summe und der richtige Empfänger auf dem Display erscheinen. Generell ist es zu empfehlen, sich vor einem Datendiebstahl zu schützen, da Beiträge unter 25 Euro keiner weiteren Verifikation bedürfen und so schutzlos übertragen werden könnten.
Gefahrprävention gegenüber mobilen Endgeräten
Im Bereich der mobilen Kommunikation existiert eine Vielzahl von Schritten, die zu einem sicheren Betrieb von Smartphones und Tablets beitragen. Diese werden im Folgenden aufgezeigt.
Zunächst sollten hier Softwareaktualisierungen nach Auftreten einer Schwach-stelle zeitnah vom Anwender eingespielt werden, um so Sicherheitslücken zu schließen. Des Weiteren sollten lediglich Endgeräte von solchen Herstellern verwendet werden, die eine nachvollziehbare und schnelle Updatepolitik pflegen und ihre Geräte langfristig mit softwareseitigen Sicherheitsaktualisierungen versorgen (BSI, 2015, S. 3).
Applikationen, welche kurz vor einer Aktualisierung stehen, sollten zuvor auf neue oder veränderte Funktionalitäten überprüft werden. So kann verhindert werden, dass unerwünschte Funktionalitäten und damit eventuell einhergehende Erweiterungen der Berechtigungen auf dem mobilen Endgerät Einzug halten und so neue Sicherheitslücken entstehen. Dazu sollten automatische App-Updates deaktiviert werden (BSI, 2015, S. 3).
Nicht permanent benötigte Schnittstellen, wie Bluetooth und NFC sollten grundsätzlich deaktiviert sein (BSI, 2015, S. 3).
Die WLAN-Funktion sollte in nicht bekannten Gebieten ausgeschaltet werden. Hier besteht sonst die Möglichkeit, dass sich Smartphones und Tablets automatisch mit öffentlichen, unverschlüsselten Hotspots verbinden und der Netzwerkverkehr somit leicht mitgelesen werden kann. (BSI, 2015 S. 3).
Nach Möglichkeit sollte das Standardprotokoll GSM zur Telefonie deaktiviert werden, da dieses als unsicher gilt. Stattdessen sollte das Long-Term-Evolution-Protokoll (LTE) verwendet werden. Dieses Protokoll basiert vollständig auf einem IP-Übertragungssystem und bietet bessere Authentifizierungsmöglichkeiten (BSI, 2015, S. 4).
Das Beziehen von Applikationen sollte ausschließlich von seriösen und bekannten Quellen erfolgen. Beispiel hierfür sind der Google Play Store, der Apple Store und der Amazon-App-Store. (BSI, 2015, S. 4)
Um die Datenintegrität und die Vertraulichkeit zu wahren, sollte auf die Verschlüsselung von gesendeten und empfangenen Nachrichten bei E-Mail-Programmen geachtet werden (BSI, 2015, S. 7).
Schutz der IoT-Geräte vor Übernahme durch Botnetze
Wer sich eine netzwerkfähige Überwachungskamera installiert, sollte diese auch ausreichend schützen, damit sich Vorfälle wie das Mirai-Botnetz nicht so schnell wiederholen.
Ein erster Schritt ist es, nur geprüfte IoT-Geräte zu verwenden. Viele WLAN-Kameras weisen gravierende Schwächen auf. Einige Hersteller verzichten sogar darauf, ihre Kameras mit der wichtigen SSL-Verschlüsselung auszustatten. Sicherheitsforscher fordern schon lange, dass Embedded- und IoT-Geräte mit Zertifikaten für Sicherheit ausgezeichnet und zertifiziert werden sollen (Kleinz, 2016). Es gibt hierfür noch kein einheitliches System, jedoch werben einige Hersteller mit eigenen Zertifizierungen und durchgeführten Audits.
Auf die Netzwerkkamera kann zugegriffen, wenn die IP-Adresse des Geräts im Heimnetzwerk bekannt ist. Die Geräte beinhalten oftmals einen Webserver, auf den der Benutzer über ein Webinterface das Gerät bedienen und Einstellungen vornehmen kann. Profis gelangen binnen weniger Sekunden an die richtige IP-Adresse und den zutreffenden Port, um auf das Webinterface zu gelangen.
Router, Repeater, WLAN-Kameras und andere netzwerkfähige Geräte beinhalten oft ein solches Webinterface. Dieses Webinterface ist meistens mit einem Zugang geschützt. Sehr häufig ist die Authentifizierungsmaske mit dem Namen „admin“ und dem Passwort „password“ vom Hersteller ab Werk vorgegeben (Gierow, 2017). Dies muss bei der Erstinstallation unbedingt geändert werden. Auch die von Werk aus etwas anspruchsvolleren Passwörter, die den Anschein geben, sie seien bereits unknackbar genug, müssen unbedingt geändert werden. In der Vergangenheit hat sich bereits gezeigt, dass diese in Zusammenhang mit der MAC-Adresse oder anderen bekannten Parametern berechnet und generiert wurden. Daher konnten sich Angreifer zu diesen Geräten Zugang verschaffen.
Die Geräte bieten oftmals auch keinen Bruteforce-Schutz. Daher ist ein besonders anspruchsvolles Passwort zu wählen, optimaler Weise bestehend aus Zahlen und Sonderzeichen, damit sich das Erraten von Passwörtern beispielsweise mithilfe eines Wörterbuches schwieriger gestaltet und den Angriff hinauszögert. Bei einer Bruteforce-Attacke werden mithilfe von Wörterbüchern oder Listen von beliebten Passwörtern unterschiedliche Passwörter vom Angreifer ausprobiert. Wer also zum Schutz seines Systems ein Passwort wie „Apfel“ oder „passwort123“ wählt, kann binnen weniger Sekunden geknackt werden.
Wenn das gekaufte Embedded- oder IoT-Gerät einen Schutz dafür aufweist, ist das ein gutes Zeichen. Dies kann vom Anwender einfach durch die Falscheingabe eines Passwortes getestet werden. Muss der Anwender nun bis zum nächsten Versuch eine Zeitspanne warten, bis er erneut ein Passwort eingeben kann, kann man sich sicher sein, dass das System gegen einen solchen Angriff geschützt ist. Vorzugsweise wird die Wartezeit bis zum nächsten Versuch mit der Anzahl verdoppelt oder steigt exponentiell.
Wird das Heimnetzwerk über eine WLAN-Verbindung betrieben ist es auch hier wichtig, eine starke Verschlüsselung und ein starkes WLAN-Passwort zu wählen. Bei dem WLAN-Passwort gelten auch die zuvor aufgezeigten Sicherheitsvorkehrungen. Insbesondere, weil die WLAN-Verbindung keinen Schutz vor Bruteforce-Attacken beinhaltet.
Bei der WLAN-Verschlüsselung gibt es die Auswahl, zwischen
- Unverschlüsselt,
- WEP und
- WPA2.
Die Nutzung des älteren WEP-Verfahrens wird nicht empfohlen, da diese Verschlüsselung als unsicher gilt und von Datendieben einfach geknackt werden kann.
Vor einer unverschlüsselten Verbindung ist auch abzuraten, da der Netzwerkverkehr, der nicht über SSL oder TLS Zertifikate abgewickelt wird von allen Teilnehmern mitgelesen werden kann.
Aber auch als sicher geltende Verschlüsselungen wie das WPA2-Protokoll können unerwartet Schwachstellen aufzeigen. So wie jüngst im Oktober 2017 die KRACK-Attacke zeigte. Rund 41 Prozent aller Android-Geräte seien für diesen Angriff anfällig und damit auch zahlreiche Embedded- und IoT-Geräte die aufgrund ihrer befristeten Updates kein Update gegen diese Schwachstelle erhalten werden (Schirrmacher, 2017).
Daher ist es empfehlenswert bei einem Router auch automatische Updates der Firmware zuzulassen oder regelmäßig nach Updates zu suchen. Bei einem Kauf sollte auf eine möglichst langanhaltende Updatepolitik geachtet werden.
Wie unbedarft mit solchen Netzwerkkameras umgegangen wird zeigen zahlreiche Videos auf der Videoplattform YouTube. Unter dem Titel „IP Cam Trolling“ finden sich hunderte Videos und Zusammenschnitte aus gekaperten Überwachungskameras. Dadurch wurden die Besitzer dieser Kameras hereingelegt, indem die Angreifer lustige Musik aus ihren IP-Kameras abspielten. Die Opfer wundern sich und wissen nicht wie ihnen geschieht (T-online, 2016).
Die ungeschützten Netzwerkkameras sind auch noch leicht zu finden. Mit der Suchmaschine Shodan kann der IPv4-Adressraum nach IoT-Geräten durchsucht werden. Darunter finden sich dann Router, Netzwerkfestplatten (NAS) oder eben die beschriebenen IP-Kameras (T-online, 2016).
Als Anwender sollte man sich daher entscheiden, ob das IoT-Gerät unbedingt aus dem Internet ansteuerbar sein soll und diese Funktion eventuell deaktivieren. Ansonsten sollte man im Router jegliche unbenutzten Ports oder Fernwartungszugänge deaktivieren, damit ein Eindringen von außerhalb erschwert wird.
Literaturverzeichnis
Frank, H. & Schmitz, P. (2017). DDoS der Dinge (DoT). Gigantische Botnetze aus dem Internet of Things. Zugriff am 05.01.2018. Verfügbar unter https://www.security-insider.de/gigantische-botnetze-aus-dem-internet-of-things-a-607988/
Schieb, J. (2016). Botnet Mirai sorgt für Störungen im Netz. Zugriff am 05.01.2018. Verfügbar unter https://www.schieb.de/750591/botnet-mirai-sorgt-fuer-stoerungen-im-netz
Peuyn, D. (2017). Autos mit Keyless-System leicht zu knacken. Zugriff am 05.01.2018. Verfügbar unter https://www.ndr.de/ratgeber/verbraucher/Autos-mit-Keyless-System-leicht-zu-knacken,autoschluessel106.html
DHBW Karlsruhe. (2017). Studierende knacken Auto des Rektors. Zugriff am 05.01.2018. Verfügbar unter https://www.karlsruhe.dhbw.de/dhbw-karlsruhe/aktuelles/detail.html?tx_news_pi1%5Bnews%5D=60&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Baction%5D=detail&cHash=14c4d32e659bef762bb8c52472d1c20f
ADAC. (2017). Fahrzeuge mit Keyless leichter zu klauen. Zugriff am 05.01.2018. Verfügbar unter https://www.adac.de/infotestrat/technik-und-zubehoer/fahrerassistenzsysteme/keyless/default.aspx?ComponentId=257251&SourcePageId=8749&quer=keyless
Richter, C. (2017). Android Pay in Deutschland: Ist kontaktlos Bezahlen mit Google möglich? Zugriff am 05.01.2018. Verfügbar unter http://www.giga.de/extra/android-pay/specials/android-pay-in-deutschland-ist-kontaktlos-bezahlen-mit-google-moeglich-update-20.10.2016/
Sparkasse.de. (2017). Kontaktlos bezahlen: von Mythen, Sicherheit und Alufolie. Zugriff am 05.01.2018. Verfügbar unter https://www.sparkasse.de/unsere-loesungen/privatkunden/bezahlverfahren/so-sicher-ist-kontaktloses-bezahlen.html
Langley, H. (2017). How to set up and use Android Pay on your Android Wear smartwatch. Zugriff am 05.01.2018. Verfügbar unter https://www.wareable.com/android-wear/how-to-set-up-use-android-pay-wear-smartwatch
SternTV. (2016). So unsicher sind unsere neuen Kreditkarten. Zugriff am 05.01.2018. Verfügbar unter https://www.stern.de/tv/diebstahl-per-funk–so-unsicher-sind-die-neuen-kreditkarten-7075756.html
HRfernsehen. (2017). Wie sicher ist kontaktloses Bezahlen? Zugriff am 04.01.2018. Verfügbar unter http://www.ardmediathek.de/tv/mex/Wie-sicher-ist-kontaktloses-Bezahlen/hr-fernsehen/Video?bcastId=3475172&documentId=43554818
Bundesamt für Sicherheit in der Informationstechnik (BSI). (2015). Android – Konfigurationsempfehlung auf Basis betriebssystemeigener Mittel für eine Nutzung mit erhöhter Sicherheit.
Kleinz, T. (2016). Internet Of Things: Sorgenkind Sicherheit. Zugriff am 05.01.2018. Verfügbar unter https://www.heise.de/newsticker/meldung/Internet-Of-Things-Sorgenkind-Sicherheit-3463589.html
Gierow, H. (2017). Wie man ein Botnetz durch die Firewall baut. Zugriff am 05.01.2018. Verfügbar unter https://www.golem.de/news/ip-kameras-wie-man-ein-botnetz-durch-die-firewall-baut-1711-131192.html
Schirrmacher, D. (2017). Details zur KRACK-Attacke. WPA2 ist angeschlagen, aber nicht gänzlich geknackt. Zugriff am 05.01.2018. Verfügbar unter https://www.heise.de/security/meldung/Details-zur-KRACK-Attacke-WPA2-ist-angeschlagen-aber-nicht-gaenzlich-geknackt-3862571.html
T-online. (2016). IP-Kameras machen das Zuhause oft unsicherer. Zugriff am 05.01.2018. Verfügbar unter http://www.t-online.de/digital/id_76747538/ip-kameras-machen-das-zuhause-oft-unsicherer.html