Distributed Denial of Service (DDoS) wurde einer breiten Öffentlichkeit ein Begriff, als im vergangenen Jahr über mehrere DDoS-Angriffe berichtet wurde. So legten Angreifer im Oktober 2016 die Infrastruktur des US-Unternehmens Dyn mehrere Stunden lang lahm.
DDoS-Angriffe gibt es bereits seit den späten 1990er Jahren; sie sind also keine neue Bedrohung. Der Angriff auf Dyn war jedoch insofern besonders, als er schlecht abgesicherte IoT-Endgeräte nutzte. Wenn man bedenkt, dass 2020 voraussichtlich 20 Milliarden vernetzte Geräte an das rasant wachsende Internet of Things angeschlossen sein werden, wird schnell klar, dass auch der Bedarf an geeigneten Netzwerk-Prozeduren und Werkzeugen zur Sicherung all dieser Endgeräte steigen wird.
Das IoT ist das neue Schlachtfeld – und Rent-a-bot im Vormarsch
Bei einem DDoS-Angriff versucht der Angreifer, die Verfügbarkeit einer Netzwerk-Ressource für die rechtmäßigen Nutzer zu unterbrechen, indem er das Netzwerk mit überflüssigen Anfragen überflutet, sodass die Server den Ansturm nicht mehr bewältigen können und die Bereitstellung der Dienste „verweigern“ müssen. Tausende solcher Attacken gibt es pro Jahr, und ihre Zahl wie auch ihr Umfang nehmen ständig zu. Studien haben herausgefunden, dass 2016 die Zahl der Angriffe über 100 Gbps gegenüber dem Vorjahr um 138 Prozent gestiegen ist.
Der Dyn-Angriff erfolgte über das Mirai-Botnet, das seine Armee an infizierten Endgeräten ständig um schlecht abgesicherte „smarte Dinge“ mit IP-Anschluss erweitert. Es ist darauf programmiert, das Netz nach IoT-Geräten anzusuchen, die nur durch die werksseitigen Einstellungen oder festkodierte Nutzernamen und Passwörter geschützt sind.
Sobald sie infiziert wurden, bilden die Endgeräte zusammen mit Zehntausenden von anderen IoT-Geräten ein Botnet, das ausgewählte Ziele mit böswilligen Anfragen bombardieren kann. Botnets können von Cyber-Kriminellen online gemietet werden. Ihre Funktionalität wird ständig erweitert und verfeinert, sodass immer mehr vernetzte Endgeräte gefährdet sind.
Was können Firmen unternehmen, um sich jetzt und künftig zu schützen?
Erstens: die Gefahr eindämmen
Als Herzstück der digitalen Transformation in den Unternehmen fördert das IoT die Verbreitung von wichtigen technologischen Weiterentwicklungen, u.a. von Big Data, Automatisierung, maschinellem Lernen und unternehmensweiter Transparenz. Neue Methoden zur Verwaltung des Netzwerks und seiner vernetzten Endgeräte müssen damit Schritt halten.
Dabei spielt das IoT-Containment eine wichtige Rolle. Es nutzt Techniken der Netzwerk-Virtualisierung, um virtuelle, isolierte Umgebungen zu schaffen. So werden vernetzte Endgeräte mit einem bestimmten funktionalen Zweck und die entsprechenden autorisierten Nutzer zu einem spezifischen IoT-Container zusammengefasst. Alle Nutzer und Endgeräte des Unternehmens sind dann physisch immer noch mit einer einzigen konvergenten Netzwerkinfrastruktur verbunden. Logisch werden sie durch diese Container voneinander isoliert.
Nehmen wir an, ein Sicherheitsteam hat zehn IP-Überwachungskameras auf dem Gelände installiert. Mit einem IoT-Container für das Netzwerk des Sicherheitsteams schafft die IT-Abteilung ein virtuelles, isoliertes Netzwerk, auf das Unbefugte nicht zugreifen können – und das von anderen Endgeräten außerhalb der virtuellen Umgebung nicht einmal gesehen wird.
Wenn irgendein Teil des Netzwerks außerhalb dieser Umgebung kompromittiert wird, hat das keine Auswirkungen auf das Überwachungsnetzwerk. Entsprechend können IoT-Container auch für die Lohnbuchhaltung, die Forschung & Entwicklung oder jede andere Abteilung im Unternehmen eingerichtet werden.
In einer virtuellen IoT-Umgebung können Sie die richtigen Voraussetzungen schaffen, unter denen eine Gruppe von Endgeräten problemlos funktioniert. Denn innerhalb des Containers können QoS (Quality of Service)-Vorgaben leichter durchgesetzt werden. Es ist auch möglich, Bandbreite zu reservieren oder einzuschränken, unternehmenskritischen Diensten Priorität einzuräumen oder nicht erwünschte Applikationen zu blockieren.
So kann für Überwachungskameras, die einen kontinuierlichen Strom an Daten liefern, eine bestimmte Bandbreite reserviert werden, während Maschinen für die Intensivpflege in Krankenhäusern höchste Priorität erhalten. Diese QoS-Vorgaben können noch besser durchgesetzt werden, wenn Switche mit Deep Packet Inspection zum Einsatz kommen.
Sie sehen, welche Pakete im Netzwerk unterwegs sind und welche Anwendungen gerade genutzt werden, sodass Sie wissen, ob jemand mit dem CRM-System arbeitet, auf Sicherheits-Feeds zugreift oder einfach nur Netflix sieht.
Zweitens: dreifacher Schutz auf Switch-Ebene
Unternehmen sollten darauf bestehen, dass die Switch-Hersteller dieses Risiko ernstnehmen und für maximalen Schutz auf Hardware-Ebene sorgen. Drei Aspekte sind hierbei wichtig:
- Vier-Augen-Prinzip: Stellen Sie sicher, dass das Betriebssystem des Switches durch einen neutralen Sicherheitsexperten überprüft wurde. Anbieter wollen ihren Programmcode oft keinem Dritten überlassen. Es ist aber wichtig, dass Ihr Hersteller mit führenden Sicherheits¬experten der Branche zusammenarbeitet.
- Bei verschlüsseltem Code kann kein Switch das ganze Netzwerk kompromittieren. Der Einsatz von offenem Code im Betriebssystem ist durchaus üblich, aber nicht ungefährlich, da der Code allgemein zugänglich ist. Wenn der Code im Speicher des Switches verschlüsselt wird, heißt das: Selbst wenn ein Hacker Teile von Open-Source-Code in einem Switch lokalisiert, würde der Angriff nicht bei mehreren Switches funktionieren, weil der Code jeweils anders verschlüsselt ist.
- Wie wird das Betriebssystem des Switches ausgeliefert? Die IT-Branche verfügt über eine weltweite Lieferkette, deren Komponentenfertigung, Montage, Versand und Vertrieb sich über viele Länder erstrecken. Das erhöht das Risiko, dass der Switch schonmanipuliert ist, wenn er an den Kunden ausgeliefert wird. Bei der Netzwerkinstallation sollte deshalb immer das offizielle Betriebssystem direkt von den sicheren Servern des Herstellers auf den Switch geladen werden.
Drittens: einfache Dinge, die Ihre „smarten Dinge“ schützen
Neben der Einrichtung eines sicheren Kernnetzwerks können Sie weitere Maßnahmen ergreifen, um ihre Endgeräte zu schützen. Es ist erstaunlich, wie viele Unternehmen auf diese einfachen Schritte verzichten.
- Ändern Sie das Passwort – Eine einfache und oft übersehene Maßnahme: Ändern Sie das werksseitig eingestellte Passwort. Bei dem Angriff auf Dyn suchte der Virus gezielt nach IP-Endgeräten mit Standardeinstellungen, um die Kontrolle über sie zu übernehmen.
- Aktualisieren Sie die Software – Der Kampf zwischen Cyber-Kriminellen und Sicherheitsexperten geht weiter, und damit wird es immer wichtiger, die allerneuesten Updates und Sicherheits-Patches sofort zu installieren. Machen Sie es sich zur Gewohnheit, die neuesten Versionen einzuspielen, sobald sie verfügbar werden.
- Vermeiden Sie Remote Management – Deaktivieren Sie die Protokolle für das Remote Management, wie telnet oder http, mit denen die Steuerung von anderen Standorten aus möglich ist. Empfohlene sichere Remote-Management-Protokolle sind SSH und https.
Entwickeln Sie Ihr Netzwerk weiter
Das Internet of Things kann die digitale Transformation in allen Branchen hervorragend unterstützen – von der Fertigung und dem Gesundheitswesen bis zum Transportwesen und der Bildung. Aber jede neue Welle an technischer Innovation bringt neue Herausforderungen mit sich.
Deshalb ist es wichtig, die grundlegenden Netzwerkanforderungen jetzt umzusetzen. Nur so können Unternehmen auch künftig die steigenden Datenmengen unterstützen, die ihre Netzwerke durchfließen, und gleichzeitig QoS-Vorgaben durchsetzen und das Risiko von Cyber-Angriffen minimieren.