Neue IoT-Bedrohungen aus dem cyberkriminellen Untergrund

Olivia Rowley ist Threat Intelligence Analyst bei Blueliv Olivia Rowley ist Threat Intelligence Analyst bei Blueliv Foto: Blueliv

Die heutige Cyber-Bedrohungslandschaft ist von zwei wichtigen Trends geprägt. Einerseits wird von IT-Teams erwartet, dass sie immer höhere Anforderungen ihres Unternehmens zur Unterstützung digitaler Transformationsprojekte erfüllen. Andererseits entwickelt sich der cyberkriminelle Untergrund ständig weiter und bietet Hackern zunehmend vorgefertigte Plattformen für den Handel mit Schadsoftware, gestohlenen Daten, Hacking-Tools und vielem mehr an. Ein Kommentar von Olivia Rowley, Threat Intelligence Analyst bei Blueliv.

Im Jahr 2018 sank die Zugangsschwelle für angehende Cyberkriminelle dadurch weiter, während parallel dazu der digitale Wandel die Angriffsfläche in Unternehmen deutlich vergrößerte. IoT-Endpunkte (Internet of Things, Internet der Dinge) sind heute eine der am schnellsten wachsenden digitalen Schwachstellen in modernen Unternehmen.

Kriminalität setzt auf Anmeldedaten

Staatlich geförderte Cyberangriffe stellen zwar nach wie vor eine durchaus reale Bedrohung für Unternehmen dar, jedoch waren viele der 2018 entdeckten Attacken vornehmlich finanziell motiviert. Im Zentrum cyberkrimineller Aktivitäten stand der Diebstahl unzureichend geschützter Anmeldedaten, der bei 80 Prozent aller Hacking-Vorfälle und Datenschutzverletzungen eine zentrale Rolle spielte. Aus solchen erfolgreichen Angriffen ergeben sich häufig Gelegenheiten zum Entwenden weiterer Anmeldedaten von Mitarbeitern oder Kunden, die dann im Dark Web veräußert werden – um in einem ewigen Kreislauf wiederum neue Angriffe zu ermöglichen. Um den starken Anstieg solcher böswilligen Aktivitäten zu veranschaulichen: Die Überwachungsinfrastruktur des Threat Intelligence-Spezialisten Blueliv stellte 2018 im Vergleich zum Vorjahr eine um 50 Prozent höhere Anzahl von Anmeldedaten-Diebstählen durch Botnets fest.

Den Übeltätern steht heute oft per Mausklick alles zur Verfügung, was sie brauchen, um ausgefeilte Betrugsszenarien und Cyberangriffe umzusetzen. Nachdem Strafverfolgungsbehörden 2017 AlphaBay und Hansa ausgehoben hatten, profitieren die Cyberkriminellen nun von der größeren Verbreitung von Darknet-Marktplätzen in englischer Sprache und der höheren Stabilität der russischsprachigen Foren. Dies fördert den Handel mit gestohlenen Daten und erleichtert ihnen den Zugriff auf Hacking-Tools.

Die IoT-Bedrohung

Die effektive Demokratisierung der Cyberkriminalität infolge solcher Websites im Deep und Dark Web treibt eine Branche an, die Schätzungen zufolge ein jährliches Volumen von mehr als 1 Billion US-Dollar ausmacht. Allerdings ist dies nur ein Teil des Gesamtbildes. Auf der anderen Seite bemüht sich die globale Geschäftswelt, durch neue digitale Initiativen ihre Differenzierung, ihr Wachstum und ihre Agilität zu steigern. Dabei erfreuen sich vor allem IoT-Projekte großer Beliebtheit. Gartner schätzt, dass bis zum Ende dieses Jahres 14,2 Milliarden vernetzte „Dinge“ im Internet der Dinge im Einsatz sein werden und bis 2021 sogar 25 Milliarden. Diese können dazu dienen, die Effizienz interner Unternehmensabläufe zu verbessern – beispielsweise in der Fertigung oder in der Versorgungswirtschaft – oder intelligente Gebäude oder Büros zu schaffen.

Unternehmen sind jetzt gezwungen, sich mit den neuen Bedrohungen auseinanderzusetzen, die von solchen intelligenten Systemen innerhalb der Unternehmens-Firewall ausgehen können. Hacker können beispielsweise Schwachstellen ausnutzen, um in das Netzwerk einzudringen und vertrauliche Daten zu stehlen, oder sie können die Geräte selbst angreifen, um durch die Störung zentraler Abläufe das Unternehmen zu erpressen.

Allerdings stellen auch IoT-Geräte außerhalb des Unternehmens ein Risiko dar. Neue Malware-Stämme wie etwa Mirai Sora und Torii wurden bereits auf unzulänglich abgesicherte IoT-Endpunkte angesetzt und haben dort werkseitige oder einfach zu erratende Kennwörter gehackt. Nach der Übernahme der Geräte wurden diese in Botnets umfunktioniert und für DDoS-Angriffe, Cryptojacking, Klickbetrug und vieles mehr missbraucht.

Das Problem wird durch die Verfügbarkeit von IoT-Schadsoftware noch weiter verschärft, wie kürzlich die Erstellung des IoT-Botnets Kepler veranschaulichte. Es stellte sich heraus, dass dahinter „nur ein paar Freunde, die einfach ein bisschen herumspielten“ steckten. Laut den Statistiken eines Sicherheitsanbieters verdoppelte sich im Jahr 2018 die Anzahl von entdeckten IoT-Bedrohungen, wobei mit 87 Prozent der beobachteten Vorfälle vor allem schwache und Standardkennwörter, nicht gepatchte Schwachstellen oder beides im Fadenkreuz lagen.

Die Situation hat sich im vergangenen Jahr derart zugespitzt, dass das FBI im letzten August eine Warnung vor mehreren potenziell gefährdeten IoT-Geräten herausgab. Die Folgen von Serviceausfällen und böswilligen Angriffen mithilfe von IoT-Botnets auf ein Unternehmen können von Systemwiederherstellungs- und Säuberungskosten über Strafzahlungen und Anwaltskosten bis hin zu Kundenverlust und Imageschaden reichen.

Jetzt proaktiv handeln

Ein Blick auf die OWASP-Liste potenzieller Angriffsflächen macht deutlich, wie viele Schwachstellen sich mit IoT-Kits in einem typischen Unternehmen ausnutzen lassen. Dabei ist aber die zusätzliche Bedrohung durch externe in Bots umfunktionierte Geräte noch nicht berücksichtigt. Ein neuer europäischer Standard dürfte sicherlich dazu beitragen, sowohl das Verbraucherbewusstsein in Bezug auf unsichere Produkte als auch die Grundabsicherung bei den Anbietern zu verbessern. Allerdings braucht dies seine Zeit, zumal die zahlreichen bereits verwendeten IoT-Geräte in vielen Fällen ein Legacy-Problem darstellen.

In der Zwischenzeit ist die Beachtung von Best Practices die beste Strategie, wie etwa das regelmäßige Installieren von Firmware-Patches, die Netzwerksegmentierung sowie die Verwendung von langen und komplexen Kennwörtern. Laut Aussage von über drei Viertel der Unternehmen ist aber auch Threat Intelligence heute ein wichtiger Grundpfeiler einer effektiven Cybersicherheitsstrategie. Sofern ein entsprechendes Konzept sinnvoll umgesetzt wird, schützt es nicht nur vor bekannten Bedrohungen, sondern versetzt Sicherheitsteams zudem in die Lage, unbekannte Gefahren proaktiv zu bekämpfen, bevor diese dem Unternehmen schaden können.

back to top