IoT-Zombies erpressen die Produktion
Von Torsten Jensen, Nexinto
Die aktuelle industrielle Revolution steht im Zeichen der Vernetzung und der digitalen Transformation. In diesem Rahmen werden Webseiten und digitale, webbasierte Plattformen zu neuralgischen Punkten der Wertschöpfung und des (Daten-)Austausches mit Kunden, Partnern und Lieferanten. Das macht sie für Kriminelle interessant und zu lohnenswerten Zielen in der IT-Infrastruktur ihrer Opfer. Bei einem DDoS-Angriff (Distributed Denial of Service) überfluten sie Netzwerke oder Systeme mit Anfragen, bis die für den Betrieb notwendigen Ressourcen ausgeschöpft oder überlastet sind. Sie stehen dann nicht mehr oder nur sehr eingeschränkt zur Verfügung.
In Sachen Business Continuity ist das ein GAU. Der durch derartige Angriffe angerichtete Schaden ist bereits heute immens und reicht von Umsatzeinbußen durch die Nichtverfügbarkeit von Services bis hin zu Reputationsverlusten. Der Quartalsreport 4/2017 von Kaspersky Lab hat errechnet, dass bei jedem DDoS-Angriff auf kleine und mittlere Unternehmen Kosten von 123.000 US-Dollar entstehen, bei Großunternehmen beträgt der finanzielle Schaden durchschnittlich sogar 2,3 Millionen US-Dollar. In seinem „Lagebericht IT-Sicherheit 2017“ benennt das Bundesamt für Sicherheit in der Informationstechnik (BSI) DDoS-Attacken als ernst zu nehmendes Risiko: Neben direkten Angriffen auf die Privatsphäre, persönliche Daten, Zugangsinformationen sowie Vermögenswerte der Endnutzer führe der Missbrauch von IoT-Geräten durch DDoS-Angriffe auf größere (kritische) Infrastrukturkomponenten und Services zu massiven wirtschaftlichen Schäden.
Bekanntes Risiko in neuen Wellen
Dabei ist die Bedrohung durch DDoS nicht neu. Seit Jahren hat diese Angriffsform einen festen Platz in der Liste der IT-Sicherheitsrisiken für Unternehmen. Einer der ersten, großen DDoS-Angriffe, über den Medien berichteten, fand im Jahr 2000 statt und zielte auf die Webseiten von Amazon und Yahoo ab. In den letzten 18 Jahren hat sich die Art und Weise der DDoS-Angriffe ständig weiterentwickelt und verändert. Sie werden komplexer und erzielen heute eine enorme Schlagkraft. Das hat im März 2018 die größte Entwickler-Plattform GitHub zu spüren bekommen. Sie musste einen DDoS-Angriff mit einem Volumen von 1,4 Terabit pro Sekunde (TBit/s) überstehen und war dadurch zeitweise nicht verfügbar. Kurz darauf überrollte ein Angriff mit 1,7 TBit/s ein US-amerikanisches Unternehmen – vorläufiger Weltrekord.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Sonderheft Industrial Security zur Hannover Messe Industrie 2018. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Die Zahl volumenintensiver Angriffe hat sich in der jüngsten Vergangenheit stetig erhöht. Ein wesentlicher Grund ist die zunehmende Vernetzung. Das IoT (Internet of Things) stellt einen weiteren Angriffsvektor dar. Grundlage bilden die vernetzten, Internet-fähigen Geräte und Objekte. Angreifer kapern diese über ungepatchte Schwachstellen oder nicht geänderte Standardpasswörter. Einmal infiziert lassen sich die Datenendpunkte unbemerkt zu einem Botnetz zusammenschließen. Damit stellen diese gekaperten Geräte einen riesigen Ressourcenpool dar, den Angreifer für ihre DDoS-Attacken nutzen. Der Boom Internet-fähiger Geräte in den letzten zwei Jahren geht direkt auf die Trends zu Smart Factory und Smart Home zurück. Das Problem: kaum vorhandene oder nicht vollständig durchdachte Sicherheitsmechanismen sowie die erschreckende Unwissenheit der Nutzer. So enthalten viele vernetzbare Geräte in der Standardkonfiguration unnötig aktivierte Dienste, ungesicherte offene Ports oder Standardpasswörter, die nach Inbetriebnahme nicht geändert werden. Eine Analyse von Kaspersky hat ergeben: bei schätzungsweise 15 % der industriellen Steuerungen erfolgt kein Patch bekannter Schwachstellen. Hinzu kommt, dass die Hersteller viele IoT-Geräte zu selten mit Updates versorgen. Ändert sich nichts, erhalten IoT-Botnetze ständig neue Ressourcen und werden weiter anwachsen. Experten sprechen daher schon von einem Zeitalter des „DDoS of Things“.
Erpressung, Datendiebstahl, Malware
Stand früher das Stören und Lahmlegen von Unternehmensprozessen bei den Tätern im Vordergrund, verfolgen diese zunehmend auch monetäre Interessen. Immer häufiger gehen DDoS-Angriffe mit Erpressungsversuchen einher. So versuchte beispielsweise die kriminelle Gruppe namens XMR Squad, unter anderem das Logistikunternehmen DHL sowie das Landeskriminalamt Niedersachsen zu erpressen.
Außer Lösegeld gibt es allerdings auch weitere Motive für DDoS: Der Angriff soll zum Beispiel als Deckmantel für Datendiebstahl dienen. Dabei setzen die Täter darauf, dass die IT-Abteilungen ihrer Ziele mit dem Abwehren der DDoS-Attacke zu beschäftigt sind, um den Abzug von Daten an anderer Stelle zu bemerken. Der Verlust sensibler Daten etwa aus dem Bereich Forschung und Entwicklung wäre ein herber, wenn nicht sogar existenzieller Tiefschlag. DDoS-Attacken dienen aber nicht nur der Verschleierung von Datendiebstählen, sondern auch als Deckmantel für das Einschleusen von Malware. 2017 entdeckten Experten folgendes Vorgehen: Cyberkriminelle versuchten, mittels DDoS Lücken in die IT-Infrastruktur ihrer Ziele zu reißen, um die Malware WannaCry einzuschleusen. WannaCry verschlüsselt Windows-Programme und hat im selben Jahr für den bisher größten bekannten Ransomware-Angriff gesorgt. Weltweit waren Unternehmen betroffen. Der Autobauer Renault war sogar gezwungen, für mehrere Tage seine Produktion an mehreren französischen Standorten zu stoppen – ein Worst-Case-Szenario.
Für einen ganzheitlichen Schutz ist eine End-to-End-Sicherheitskette wichtig, die zusätzlich zu Loadbalancer, Intrusion-Prevention-Systemen, Web Application Firewall, Firewall und der DDoS Protection auch ein System zur Intrusion Detection umfasst. (Bild: Nexinto)
Durchgängige Sicherheitsmaßnahmen
DDoS-Attacken erfordern einen angepassten Schutz, der auch die begleitenden Risiken abdeckt. Ziel muss es sein, das eigene Backbone zu schützen und Angriffe etwa auf die eigenen Webseiten oder die Leitungsinfrastruktur selbst zu bekämpfen. Außerdem muss der eingehende Netzwerkverkehr zuverlässig von nicht gewünschtem Traffic bereinigt werden. Dazu gehören ein umfassender Basisschutz als Teil der eigenen IT-Infrastruktur sowie im Idealfall auch die Einbindung externer Scrubbing Center.
Die erste Sicherheitshürde für Angreifer auf dem Weg zu den internen Systemen sollten mehrstufige Firewalls bilden. Sie schützen vor unerlaubten Zugriffen von außen und aus anderen Netzwerkzonen. Während einer Attacke besteht so eine erste Möglichkeit, auf die Angriffe zu reagieren, sollten sie von einigen wenigen IP-Adressen stammen. Ebenso kann ein aktiviertes Geoblocking einen Angriff effektiv unterbinden, wenn dieser aus einem einzigen Land stammt. Ein nachgelagertes IPS (Intrusion Prevention System) erkennt auffällige Muster im Netzwerkverkehr als Angriff und wehrt diesen ab.
Torsten Jensen ist Senior Security Consultant bei Nexinto. Das Unternehmen ist der führende Managed Services Provider für geschäftskritische IT-Systeme. Zu den Leistungen zählen der Betrieb von Multicloud-Infrastrukturen, IT Security Services und Data-Intelligence-Dienste, Lösungen für das Internet of Things, Application Management sowie Angebote für Digital Workplaces.
Nexinto GmbH, Nagelsweg 33–35, 20097 Hamburg, Tel.: 040-77175-0, wemakeitwork@nexinto.com, www.nexinto.com
Infrastruktureinrichtungen und ein IPS reichen als Maßnahmen gegen DDoS jedoch nicht aus. Dafür ist die Vielfalt und Leistungsfähigkeit aktueller Attacken zu groß. Es kommt auf das Zusammenspiel mit weiteren Komponenten an. So sind nachgeschaltete Loadbalancer in Kombination mit einer WAF (Web Application Firewall) eine wichtige Ergänzung. Die Loadbalancer sorgen für eine ausgewogene Lastverteilung, um den Druck der Anfragen auf die angebundenen Systeme gleichmäßig zu verteilen. Somit lassen sich Lastspitzen auf einzelnen Systemen effektiv verhindern. Die WAF unterbindet zuverlässig Angriffe auf Anwendungsebene. Der zusätzliche Schutz durch ein Scrubbing Center ist die finale Instanz, um auch IoT-basierte, großvolumige Angriffe mit hohen Anstiegsraten auf die IT-Infrastruktur zuverlässig abzuwehren.
End-to-End-Sicherheitskette
DDoS-Attacken sind zwar nur eine von vielen Bedrohungen, dennoch gehören sie zu den häufigsten Angriffen auf Unternehmen. Mit der steigenden Zahl an Internet-fähigen Geräten werden auch die DDoS-Angriffe in Frequenz und Stärke zunehmen. Mit der stärkeren Vernetzung und dem Aufbau webbasierter Prozesse über digitale Plattformen müssen Unternehmen im gleichen Zug eine angepasste Sicherheitsstrategie etablieren, um sich gegen das Störfeuer auf ihre IT-Landschaft zu wappnen.