Die erste ENISA-Europol Konferenz zur Sicherheit im IoT

Die erste Konferenz zur Sicherheit im Internet der Dinge organisiert von ENISA und Europol bot viele spannende Vorträge. Industrievertreter; Sicherheitsexperten & Regierungsangehörige brachten unterschiedliche Perspektiven auf das dringende Thema. Die Konferenz fand vom 18. bis zum...


Oktober die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und Europol ihre erste Sicherheitskonferenz speziell für das Internet der Dinge. Das Spektrum der Referenten und circa 250 Teilnehmer umfasste Mitglieder europäischer Institutionen, Strafverfolgungsbehörden, IoT-Industrie, IT-Sicherheitsunternehmen & Sicherheitsforscher. Entsprechend breit war das Vortragsprogramm aufgebaut: Es gab Fallberichte zur Ermittlung von Cyberattacken, politische Strategien und Empfehlungen der Industrie zu einer verbesserten internationalen Zusammenarbeit im Bereich Sicherheit zu hören.

Deutsche Telekom und über eine Million Nutzer als Kollateralschaden

Die aktuelle Sicherheitslage wurde in den meisten Vorträgen praktisch veranschaulicht. So gaben die beiden BKA-Kriminalkommissare Stefanie Schlarb & Leon Auer einen Einblick in die Ermittlungsarbeit zur Aufklärung des Angriffes auf Router der Deutschen Telekom im letzten Jahr. Er ist beispielhaft für die Herausforderungen der Ermittlungsarbeit: Cyberangriffe sind ein globales Problem. Behörden müssen international kooperieren um Tatverdächtige identifizieren und festsetzen zu können.

In diesem Fall mussten fast 1⸴25 Millionen Kunden zeitweise ohne Telefon- und Internet-Anschlüsse auskommen. Dabei war die Deutsche Telekom nicht das primäre Ziel allerdings ein Kollateralschaden. Die Ermittler konnten die Spuren des Verursachers nach Liberia zurückverfolgen. Mit einem internationalen Haftbefehl wurde der Verdächtige bei der Einreise am Londoner Flughafen verhaftet und wartet nun auf sein Verfahren.

Unsicher by Design aus Norwegen

Sicherheitsexperte Simen Sandberg berichtete über die Sicherheits- & Schwachstellenanalysen zur Einführung der Smart Meter in Norwegen. Hier treffen unterschiedliche Faktoren aus Politik, Wirtschaft, Datenschutz und IT-Architektur zusammen die zu Sicherheitsrisiken führen. Zum Beispiel ist die Möglichkeit einer Stromabschaltung aus der Ferne hier vom Gesetzgeber vorgeschrieben. Damit schafft sich Norwegen nach Ansicht von Sandberg über das Systemdesign ein potentielles Angriffsziel auf den Smart Meter.

Zudem verfügte die Vernetzung der Geräte nur über eine unzureichende Abschottung gegenüber externen Angreifern. Gelingt letzteren ein erfolgreicher Einbruch in den Smart Meter, sind die folgenden Backend-Systeme in der Cloud unzureichend abgeschottet. Praktischerweise bietet der norwegische Smart Meter eine ungeschützte RJ45-Buchse als Schnittstelle zur lokalen Wartung. Security by Design sollte anders aussehen – schlussfolgerte Sandberg.

Botnets für DDoS-Angriffe leicht gemacht

Weitere Vorträge von Kasperky, Bitdefender und Trend Micro beschäftigten sich mit ausgiebigen Analysen zu IoT-Botnets, insbesondere Mirai und seinen Klone. Es gilt als eine Blaupause für Botnets bestehend aus Zombies im Internet der Dinge. Mirai konnte schnell ein Netz aus über 500․000 Geräten aufbauen und sie meist für DDoS-Angriffe nutzen. Es konzentrierte sich vorwiegend auf Schwachstellen in IP-Kameras die es mit lediglich 61 bekannten Standardpasswörtern der Hersteller kapern konnte.

So sind für Cyberkriminelle IoT-Geräte ein lohnendes Angriffsziel, da der ökonomische Aufwand zum Übernehmen ausgesprochen gering ist ? gerade im Vergleich zu einem klassischen Server. Zudem existiert ein Markt für DDoS-Attacken und dadurch eine kriminelle Nachfrage nach einfach aufzubauenden Botnetzen.

IoT in der Industrie setzt Sicherheitsstandards voraus

Sicherheitsstandards waren ein Thema das sich quer durch alle Beiträge zog. Es zeichnet sich ab, dass hier auf EU-Ebene Regulierungen folgen werden. Hersteller müssen weiterhin Verantwortung für die Sicherheit ihrer Produkte übernehmen. Das bezieht sich insbesondere auf das Einhalten von minimalen Sicherheitsstandards für IoT-Produkte, angefangen bei sicheren Passwörtern bis zur ausschließlichen Kommunikation über verschlüsselte Verbindungen.

Es gibt aber für grundlegende Fragen der Sicherheit im Internet der Dinge noch keine befriedigenden Antworten: Können Hersteller über die Lebenszeit eines Produktes dazu verpflichtet werden, ebenfalls Software-Updates für es zu garantieren? "Wie soll das gehen, wenn selbst für Standard-Linux-Distributionen die Support-Laufzeit von fünf Jahren eine Herausforderung ist?", so die gute Frage eines Teilnehmers, speziell wenn zum Beispiel eine industrielle Steuerung 15 bis 20 Jahre funktionieren soll. Ein Vertreter von Kaspersky Lab hatte dazu eine passende Präsentation parat, denn bei 15 Prozent der industriellen Steuerungen erfolgt kein Patch bekannter Schwachstellen. Wie darauf ein Cybersicherheitslabel für das Internet der Dinge ausgerichtet werden kann, blieb eine offene und spannende Frage.

Ächtung durch die Genfer Abkommen?

Benedikt Abendroth bekräftigte in seinem Vortrag eine nüchterne Einschätzung von Microsoft zur aktuellen Lage der Cybersicherheit: "Wir brauchen die internationale Ächtung digitaler Angriffswaffen in der Genfer Konvention." Erst das Verhindern effektiver Sicherheit durch das staatliche Ausnutzen von Schwachstellen schafft einen Nährboden, auf dem Kriminalität wachsen kann. So bot die erste Konferenz von ENISA & Europol zur Sicherheit im Internet der Dinge einen beachtlichen Querschnitt zum Thema. Insbesondere der Dialog zwischen Politik und Industrie scheint nötig. Keine der beiden kann alleine für mehr Sicherheit sorgen.

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige