Viele der mit dem Internet verbundenen Geräten sind wenig abgesichert und können durch Cyberkriminelle für kriminelle Machenschaften missbraucht werden.
Die Schatten-IT ist bereits weitgehend bekannt, doch über Schatten-IoT hat man bisher wenig gehört. Es handelt sich dabei um vernetzte Geräte, die mit dem Netzwerk zuhause oder im Unternehmen verbunden sind, die aber niemand im Blick bzw. auf dem Radar hat. Jeder von uns weiß mit Sicherheit, wie viele Handys, Laptops und Tablets er besitzt. Aber wer weiß schon genau, welche Küchengeräte, Staubsauger, Rasensprenger, Lichtsysteme oder Kühlschränke sich im Netzwerk tummeln.
Eine aktuelle Studie von Infoblox bringt etwas Licht ins Dunkle bzw. in den Schatten. In den letzten Jahren konnte ein massiver Anstieg in Anzahl und Arten von Geräten beobachtet werden, die sich in Unternehmensnetzwerke einloggen. Über ein Drittel der befragten Unternehmen in den USA, Deutschland und UK gaben an, dass sich tagtäglich über 5.000 private Geräte mit ihrem Unternehmensnetz verbinden. Und auch was die unternehmenseigenen Geräte betrifft, sind in 75 Prozent der Unternehmen über 1.000 Business-Geräte pro Tag im Netzwerk, bei 10 Prozent sogar über 10.000 Geräte. Und bei den mittelständischen Betrieben sieht es nicht viel besser aus: über die Hälfte berichtet von über 1.000 Unternehmensgeräten im Netzwerk an einem durchschnittlichen Tag. Arbeitnehmer nutzen ihre Privatgeräte innerhalb des Unternehmensnetzwerks in erster Linie um auf soziale Netzwerke zuzugreifen sowie um Apps, Spiele und Filme herunterzuladen.
Sicherheitsverantwortliche schlagen bei solchen Zahlen die Hände über dem Kopf zusammen. Denn die Menge an Geräten und die private Nutzung öffnen Tür und Tor für Malware. Speziell Social Media wird schwerpunktmäßig als Einfallstor genutzt über sogenanntes Social Engineering, denn die Nutzer haben dort eine geringe Hemmschwelle auf unbekannte Links zu klicken. Beim Hack des beliebten Video Streaming Services Vevo wurden 3,12 Terabyte interne Daten offengelegt – Grund dafür war, dass ein Angestellter den Link einer Phishing-Mail auf dem Business-Netzwerk LinkedIn aufgerufen hatte.
Auch in oft genutzten und legalen App Stores gibt es Anwendungen und Apps, die Malware enthalten können. Laut Zahlen von McAfee konnten im Google Play Store im Jahr 2017 144 Apps identifiziert werden, die einen neuen Malwaretypus namens Grabos enthielten, der sich meisten in Audio-Playern oder Apps zum Download von MP3-Musikdaten verbarg. Diese bösartigen Apps waren bereits zwischen 4,2 und 17,4 Millionen Mal heruntergeladen worden – da die Nutzer den Angeboten im App Store vertrauen und keine weiteren Recherchen zur Sicherheit anstellen.
In jedem dritten Unternehmen in den USA, in Großbritannien und Deutschland werden darüber hinaus an einem durchschnittlichen Tag mehr als 1.000 weitgehend unbeachtete IoT-Geräte mit dem Netzwerk verbunden. Unter diesen Schatten-IoT-Geräten finden sich beispielsweise Fitness-Tracker wie FitBit or Gear Fit, digitale Assistenten wie etwa Amazon Alexa oder Google Home, Smart-TV-Geräte, smarte Küchenutensilien, etwa Mikrowellen und Wasserkocher sowie Spielkonsolen, zum Beispiel Xbox oder PlayStation. Diese Endgeräte stellen für Unternehmen ein erhebliches Sicherheitsrisiko dar, da sie für Cyberkriminelle leicht zu finden sind – zum Beispiel mit entsprechenden Suchmaschinen wie Shodan, die Geräte mit Internetverbindung aufspüren können. Shodan kann diverse Details zu den identifizierbaren Geräten aufrufen, einschließlich Bannerinformationen, HTTP-, SSH-, FTP- und SNMP-Dienste. Und von diesen identifizierbaren Geräten gibt es einige: so konnten beispielsweise in Deutschland im März 2018 ganze 2.346 identifizierbare Smart TVs gefunden werden.
Sogar wenig versierte Hacker sind mit Hilfe solcher Tools in der Lage, verschiedenste Endgeräte in Unternehmensnetzwerken zu identifizieren und als Ziel von Attacken ins Visier zu nehmen. Der großangelegte Angriff auf den DNS-Provider Dyn 2016, der Netflix, Twitter, Spotify und andere Online-Dienste für Stunden lahmlegte, ging von einer Armee ungesicherter vernetzter Haushaltsgeräte aus. Sicherheitskameras, Kühlschränke, Thermostate und digitale Videorekorder wurden zu einem Botnet zusammengeschlossen. Diese Sammlung von Hunderttausenden Geräten wurde ohne Wissen ihrer Besitzer von Dritten kontrolliert und sendete gleichzeitig Anfrage nach Anfrage an den Server von DYN, bis dieser schließlich überlastet zusammenbrach – Distributed-Denial-of-Service-Angriff (DDoS) nennt sich dies.
Schatten-IoT-Geräte können in verschiedenster Hinsicht missbraucht werden. WikiLeaks veröffentlichte 2017 Informationen über ein CIA-Tool mit dem man Personen über einen Samsung Smart TV ohne ihr Wissen abhören kann. Des weiteren können Smart TVs von Hackern genutzt werden, um Daten zu entwenden und die Geräte zu manipulieren. Vernetzte IoT-Geräte können als Einfallstor für böswillige Akteure dienen, um ein Netzwerk zu infiltrieren von dem aus ein Command and Control (C&C)-Server kontaktiert werden kann, um Daten über das DNS (Domain Name System) zu entwenden. Diese Methode ermöglicht es Cyberkriminellen, Malware einzufügen oder begehrte Daten über DNS-Abfragen abzugreifen. Diese für viele noch immer sehr versteckte Kommunikation umgeht die meisten Firewalls, bleibt häufig über einen längeren Zeitraum unbemerkt und ist daher für Hacker eine einträgliche Angriffsmethode.
Für Unternehmen sind Sicherheitsrichtlinien unerlässlich, sowohl für private als auch unternehmenseigene Geräte. Doch da diese oftmals nicht umfassend umgesetzt und eingehalten werden, sollte Sicherheit bereits auf der Ebene der Infrastruktur ansetzen. Denn alleine die Endgeräte zu schützen, reicht nicht aus. Das Domain Name System bietet sich als erste Verteidigungslinie an, da jegliche Kommunikation über das Internet darauf beruht. DNS-Security macht Sicherheit konsequent zum Netzwerk-Thema – im besten Fall werden nämlich sämtliche Geräte im Netzwerk erfasst, beurteilt und im Zweifel in Quarantäne genommen, so dass Angriffe oder Infiltrationen frühzeitig entdeckt und behoben werden können.
Autor: Rainer Singer, Systems Engineering Manager Zentraleuropa Infoblox