Maik Morgenstern, CTO des eco Mitglieds AV-TEST Institut berichtet im eco Interview, wie der AV-ATLAS Daten über Angriffe im Internet of Things (IoT) sammelt und deren Abwehr unterstützt.
Herr Morgenstern, kürzlich haben Sie Ihre neue Plattform AV-ATLAS IoT veröffentlicht?
Korrekt, unsere Threat Intelligence Plattform AV-ATLAS ist mit dem neuen Modul zur Echtzeiterfassung der IoT-Bedrohungslage um ein wichtiges Element reicher geworden. Neben der Erfassung der allgemeinen Bedrohungslage durch Malware haben wir in ATLAS bisher ein Auge auf die Gefahren geworfen, denen insbesondere Nutzer einzelner Betriebssysteme ausgesetzt sind. So fanden Sie auf ATLAS bereits Analysedaten und Auswertungen zur Bedrohungslage von Windows-, Android-, MacOS- und Linux-Systemen. Und da unsere Systeme selbstverständlich seit Jahren auch die Bedrohungslage durch Malware für IoT erfassen und analysieren, war die Integration des IoT-Moduls letztlich der konsequente Schritt, um auch unsere IoT-Datenerfassung für Endanwender und Produkthersteller sichtbar und nutzbar zu machen. Im Rahmen unserer Tests und Zertifizierung leisten wir ja längst unseren Beitrag zur Sicherheit von IoT- und Smart Home-Produkten. Jetzt kommt mit der Verfügbarkeit sicherheitsrelevanter Daten ein weiterer Baustein hinzu.
Wie arbeitet ATLAS IoT und welche Ergebnisse erhalten Sie?
Die Erfassung von IoT-Daten ruht im Wesentlichen auf zwei Säulen. Zum einen sammeln wir mit IoT-relevanten HoneyPot-Systemen Echtzeitdaten über Angriffe auf ungeschützte oder schlecht geschützte Systeme. Dabei erfahren wir unter anderem, von welchen Servern die Angriffe gestartet werden und mit welcher Intensität und zeitlicher Dauer sie geführt werden. Doch auch genutzte Login-Daten, während einer Attacke ausgeführte Befehle und hochgeladene Dateien und Malware erfassen wir durch diese Systeme. Als zweite Säule können wir, und darin liegt sicherlich unser Alleinstellungsmerkmal, für Angriffe eingesetzte Malware über unsere ansonsten für die Tests von Sicherheitsprodukten bewährten Erkennungssysteme analysieren. So entsteht ein sehr genaues Lagebild eines Angriffs. Solche Informationen können Anwender zum Optimieren ihrer IoT-Produkte nutzen und so ihre Sicherheit verbessern. Darum bieten wir diese Informationen auf AV-ATLAS kostenfrei an. Deutlich umfangreicheres Material zur Optimierung von Geräten und Diensten bieten wir auch Herstellern als käufliche Feeds an, etwa genaue Informationen über identifizierte Malware und einiges mehr. So können IoT-Hersteller ihre Produkte und angebundenen Webservices und Apps entsprechend anpassen und gegen laufende und zukünftige Angriffe abschotten. Besuchen Sie AV-ATLAS einfach mal und probieren Sie unser Angebot aus!
Warum ist es für AV-TEST wichtig, die Sicherheit der Dinge im Internet zu überprüfen?
Ich denke, dass mittlerweile nahezu jeder Verbraucher wenigstens ein IoT-Gerät in seinem Haushalt hat, ob ihm das direkt bewusst ist oder nicht. Um einen Fernseher ohne Internetanbindung und „smarte Funktionen“ zu kaufen, müssen Sie ja fast schon recherchieren. Fitness-Tracker sind ebenso verbreitet, Staubsaugroboter und Überwachungskameras sind in immer mehr Privathaushalten zu finden, von Sprachassistenten wie Alexa, Google Home und Apples Home Pod will ich gar nicht anfangen. Doch auch immer mehr Dinge des täglichen Gebrauchs, Zahnbürsten, Kinderspielzeug und vieles mehr, müssen auf einmal „smart“ sein. Naturgemäß kommen die Hersteller solcher Produkte aus allen möglichen Branchen, nur nicht aus der IT. Und entsprechend gering ist meist auch das Verständnis für die nötige Sicherheit von Dingen, die an das Internet angeschlossen werden.
Doch auch in der industriellen Fertigung und anderen kritischen Wirtschaftsbereichen, etwa im Gesundheitswesen, setzen sich IoT-Geräte durch. Diese Entwicklung ist nicht mehr zurück zu drehen und im Grunde ist sie ja auch sinnvoll. Allerdings sind eben große ungeschützte Fertigungsbereiche auch ein hervorragendes Angriffsziel. Stehende Produktionsbereiche, etwa durch digitale Sabotage, können über die Entwicklung von Unternehmen entscheiden. Der Missbrauch von Rechenleistung wird aber auch vermehrt für das Illegale „Schürfen“ digitaler Währungen auf Kosten fremder IT-Infrastruktur genutzt, das zeigen sowohl die Erfassungsdaten des letzten Jahres in unserem aktuellen Sicherheitsreport, als auch die aktuellen ATLAS-Analysen.
Online-Attacken auf Krankenhäuser mussten wir in der jüngsten Vergangenheit ebenfalls häufig zur Kenntnis nehmen. Sabotage, Erpressung und andere Delikte lassen sich digital häufig mit größerer Wucht, bequem aus der Ferne und für Kriminelle bestenfalls auch noch anonym durchführen. Damit wird zukünftig vermehrt zu rechnen sein und Unternehmen täten gut daran, sich bestmöglich zu wappnen, sich aber auch Konzepte für IoT-Angriffe zuzulegen und die Reaktion auf solche Gefahren mit ihren Mitarbeitern zu üben, so wie ganz selbstverständlich für den Brandfall geübt wird. Mit AV-ATLAS wollen wir dafür ein Bewusstsein schaffen und unsere Erfassungsdaten helfen natürlich auch bei der Abwehr solcher Angriffe.
Welche Gefahren bestehen konkret für Konsumenten aber auch Unternehmen, wenn sie IoT-Sicherheit vernachlässigen?
Ein Paradebeispiel sind die Angriffe des IoT-Schädlings Mirai, die ab September 2016 mit hunderttausenden gekaperter IP-Kameras begannen. Neben der Möglichkeit, solche Geräte über Angriffe per Internet zu missbrauchen, etwa indem Angreifer sie zu großen Bot-Netzen zusammenschließen und deren geballte Rechenleistung für Angriffe auf Websites oder andere ans Internet gekoppelte Infrastruktur nutzen, lassen sich über schlecht geschützte IoT-Geräte auch hervorragend Daten sammeln. Hinzu kommt in der aktuellen Situation, dass viele Arbeitnehmer großer Unternehmen derzeit aus dem Home-Office arbeiten. Oft kommt dabei Firmen-Hardware zum Einsatz, die nicht selten im selben WLAN hängt, wie unsichere IoT-Geräte. So kann in der aktuellen Lage selbst ein Angriff auf einen Privathaushalt über Umwege in Firmennetzwerken münden.
Für Privatanwender können unsichere IoT- und Smart-Home-Geräte aber auch andere Unannehmlichkeiten nach sich ziehen. Bei unsicheren IP-Kameras liegt das Beispiel klar auf der Hand: Nutzer können nicht nur ausgespäht und abgehört werden, wenn sie zuhause sind. Vielmehr erfahren Angreifer auch, wann sie nicht zuhause sind. Und über die IP-Adresse lässt sich die Kamera über Dienste wie Google Maps kinderleicht und auf den Meter genau ermitteln. Deutlich schlimmer war im letzten Jahr der Fall einer Smartwatch für Kinder. Die sollten eigentlich den Eltern jederzeit die Position ihres Kindes anzeigen. Durch eine Serverlücke waren die Positionsdaten von tausenden Kindern aber für jedermann, eben auch potentielle Straftäter, online abrufbar. Wir konnten den Hersteller entsprechend warnen und bis zur Schließung dieser Lücke einen Marktrückruf erwirken. Ein weiteres Problem stellt die Speicherung, Weiterleitung und der Verkauf von Nutzerdaten dar. Diese werden oft von mehreren Anbietern zu umfangreichen Profilen zusammengeführt. Das klingt erstmal harmlos, doch in den Händen eines Versicherers oder einer Bank, entschieden solche Blutdruckmesswerte des Fitness-Trackers eventuell darüber, ob ein Kunde einen Vertrag oder Kredit bekommt oder nicht. Sie sehen, es gibt einige Gründe, die Sicherheit von IoT nicht zu vernachlässigen.
Wie beurteilen Sie die aktuellen Bemühungen zur Absicherung von IoT-Geräten von staatlicher Seite?
Bis vor Kurzem wurde der Schutz von IoT-Geräten von staatlicher Seite im Wesentlichen verschlafen. Erst mit den bereits genannten Mirai-Angriffen, etwa im großen Stil auf Router der Telekom, nahmen sich Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) dieses Themas an. Das ärgert mich umso mehr, da wir das BSI und andere Behörden in entsprechenden Gremien bereits Jahre zuvor auf das Problem aufmerksam gemacht haben. Im Rahmen unseres bereits vor sieben Jahren gestarteten Zertifizierungsprogramms für IoT-Sicherheit, und bereits in den Forschungsjahren davor, standen wir mit diesem Thema ständig in den entsprechenden Büros. Jetzt im Juli, also Jahre später, erscheint mit der ETSI EN 303 645 immerhin eine Richtlinie für einen Sicherheitsmindeststandard. Allerdings wurden wir als Berater weder zur Entwicklung dieser Richtlinie ins Boot geholt, noch über dessen Entwicklung informiert. Generell unterstützen wir eine solche Richtlinie natürlich. Die Art ihrer Entstehung sowie einige der dort getroffenen Festlegungen zeigt allerdings, dass es hier durchaus Beratungsbedarf aus der Testpraxis bestanden hätte, um es freundlich auszudrücken. Für die bereits angekündigte Prüfspezifikation zur EN 303 645 erwarten wir daher, dass das BSI und die europäische Standardisierungsorganisation ETSI uns als Forschungs- und Testinstitut sowie langjährige Zertifizierungsstelle zu Rate ziehen und an der Entwicklung beteiligen.
Was wünschen Sie sich für die Zukunft, wie Unternehmen zukünftig IoT-Sicherheit planen?
Im Rahmen unserer bisherigen Testpraxis haben wir sehr viele schlechte, aber auch einige sehr gute Beispiele gesehen. Generell wünschen wir uns von Herstellern und Anbietern, vor allem aber auch den Endanwendern von Smart-Home, eHealth und anderen IoT-Produkten, dass schon bei der Planung von Produkten und Diensten Security by Design sowie Privacy by Design berücksichtigt wird. Dazu gehört aber auch, dass Nutzer beim Kauf die Sicherheit solcher Geräte als Entscheidungsfaktor berücksichtigen. Hersteller, die Sicherheitsupdates über lange Zeiträume gewähren, beim Datentransport auf sichere Verschlüsselung achten und die Privatsphäre ihrer Nutzer schützen, müssen selbstverständlich mehr Geld verlangen als ein Hersteller, der günstige Ware aus China anbietet, dem es egal ist, wer die zugehörige App produziert hat und zusätzlich am Verkauf der mit seinem Gerät produzierten Nutzerdaten verdient. Diesen Unterschied müssen die Käufer machen und Hersteller, die ihre Produkte testen und zertifizieren lassen mit ihrer Kaufentscheidung entsprechend unterstützen. Auf lange Sicht werden auch Nutzer so Geld sparen. Denn der Verkauf ihrer Daten kann auf lange Sicht deutlich teurer für sie werden. Wenn wir nicht wollen, dass minimale Sicherheit staatlich verordnet wird, muss sie zum Verkaufsargument werden.
Herr Morgenstern, vielen Dank für das Interview.
