Für Cyberkriminelle ist die rasant wachsende Zahl gar nicht oder bestenfalls schlecht geschützter Geräte ein leichtes und willkommenes Angriffsziel. Das Risiko tragen arglose Nutzer vernetzter Geräte. Sie verlassen sich auf fehlende rechtliche Vorgaben sowie das Verantwortungsbewusstsein der Hersteller und riskieren so den Verlust ihrer Privatsphäre.

Den kompletten Sicherheitsreport gibt es auf unserer Website.

IoT: Malware-Verteilung 2018

Da gängige und kompatible IoT-Systeme auch auf Mikrocontroller-Ebene lauffähig sein müssen, kommen meist abgespeckte Linux-Versionen wie Canonical Ubuntu zum Einsatz. Im letzten Quartal von 2017 verzeichneten die Erfassungssysteme des AV-TEST Instituts eine rasant steigende Zahl neu entwickelter Malware für IoT-Systeme auf Linux-Basis. 2018 erhöhte sich die Schlagzahl der Malware-Neuentwicklungen noch einmal drastisch: 15.730 neue Schadprogramme für Angriffe auf IoT-Geräte und Infrastrukturen wurden im Durchschnitt pro Monat des vergangenen Jahres entwickelt. Und dieser ohnehin kritische Wert für eine rasant wachsende Geräte-Gruppe, die zum Großteil ohne oder bestenfalls mit schlechtem Schutz im Netz steht, verschärft sich im ersten Quartal 2019 dramatisch: Innerhalb von drei Monaten verdoppelte sich die IoT-Schädlingsrate auf den aktuellen Höchststand von über 40.000 neuen Samples pro Monat.

Auf die wachsende Zahl an ungeschützten Geräten wartet bereits eine Flut von Schadprogrammen.
Auf die wachsende Zahl an ungeschützten Geräten wartet bereits eine Flut von Schadprogrammen.

Doch selbstverständlich sind auch andere IoT-Betriebssysteme, wie etwa die quelloffenen Systeme Contiki und RIOT OS sowie Googles abgespeckte Android-Version Brillo OS anfällig für Angriffe. Den Großteil neu entwickelter Malware für IoT-Systeme stellte 2018 mit 57,59 Prozent die Gattung der Trojaner. Großen Anteil daran hatte ein „alter Bekannter“, der bereits in den Sicherheitsreports der letzten zwei Jahre eine tragende Rolle spielte: „Mirai“. Die Erkennungssysteme von AV-TEST erfassten den Schädling erstmals im August 2016, und im Oktober 2016 führte Mirai bereits breit angelegte DDOS-Angriffe gegen große Onlinedienste in den USA und Europa aus. Die Rechenleistung dafür bezog Mirai aus einem Botnetz hunderttausender gekaperter Router, Drucker, Webcams und Online-Videorecorder ohne wirkungsvolle Authentifizierungsverfahren und mit schlechter oder fehlender Verschlüsselung.

Kriminelle nutzen Mirai weiterhin erfolgreich für Angriffe auf IoT-Geräte und angeschlossene Infrastruktur.
Kriminelle nutzen Mirai weiterhin erfolgreich für Angriffe auf IoT-Geräte und angeschlossene Infrastruktur.

Hohe Malware-Kurve contra geringe Lernkurve

Gemessen an den Entwicklungszahlen scheint sich die Entwicklung des Mirai-Schadcodes für Kriminelle weiterhin zu lohnen. So machte der Mirai-Code 2018 insgesamt über 40 Prozent des gesamten Schadcodes für IoT-Geräte aus (41,19 %). Leider spricht die steile Entwicklungskurve von Mirai-Samples nicht für eine entsprechend hohe Lernkurve bei den Geräteherstellern, denen diese Gefahren spätestens seit Oktober 2016 geläufig sein sollten. Eine Reaktion scheint allerdings nicht zu erfolgen und dementsprechend nutzen Kriminelle Mirai weiterhin erfolgreich für Angriffe auf IoT-Geräte und angeschlossene Infrastruktur. Die Sample-Zahlen der Haupt-Malware für IoT-Geräte explodieren seit Anfang letzten Jahres. Mit 78.186 Varianten führt Mirai die Rangliste klar an, vor anderen IoT-Trojanern wie „Vit“ (37.807 Samples), „Gafgyt“ (36.769 Samples) und „Tsunami“ (2.959 Samples).

Eine Entwicklung, die Cyberkriminellen dabei sicher in die Hände spielt, ist die steigende Anzahl bekannter Sicherheitslücken von IoT-Geräten sowie die zunehmende Möglichkeit, diese über automatisierten Schadcode anzugreifen. Entsprechend steigen die Messungen verfügbarer Backdoors. Im vergangenen Jahr standen Angreifern insgesamt 188.754 dieser Einfallstore allein für Linux-Systeme zur Verfügung. Im ersten Quartal des Jahres 2019 waren es bereits 115.954! Gefährdungen anderer Art, etwa in Richtung digitaler Erpressung, oder durch den Ausfall wichtiger IoT-Geräte, Dienste und Funktionen, sind ein weiteres Horrorszenario der digitalisierten Zivilgesellschaft. Aktuelle Messungen erfassen zwar erste Versuche auf dem Gebiet der Ransomware, allerdings sind diese zumindest zahlenmäßig noch nicht als akute Bedrohung auszumachen. Hingegen zeigen bereits erfolgte Mirai-Attacken, in 2018 etwa 0,01 Prozent der Gesamt-Malware, dass für Erpressungsmodelle auf IoT-Basis nicht zwingend ein spezialisierter Ransomware-Code vonnöten sein muss.

With 78,186 variants, Mirai clearly leads the ranking, ahead of other IoT Trojans.
Mit 78.186 Varianten führt Mirai die Rangliste vor anderen IoT-Trojanern klar an.

Trend 2019

Neben der langjährigen, systematischen Erfassung neuer Malware-Samples für IoT-Geräte, die im ersten Quartal insbesondere für Mirai, Vit und Gafgyt weiter massiv ansteigen, analysiert das AV-TEST Institut seit 2017 die Systematik von Angriffen auf vernetzte Geräte mit eigenen Honeypot-Systemen. Diese offenbaren alarmierende Zahlen: Auf die offen im Netz stehenden IoT-Systeme fanden allein im ersten Quartal 2019 insgesamt 3.200.000 Angriffe statt! Dabei versuchten die Angreifer in 41.213 Fällen, die ins Netz gestellte Hardware mit Schadprogrammen zu kapern. In 71,44 Prozent aller erfolgreichen Malware-Infektionen identifizierten die AV-TEST-Ingenieure den Mirai-Code als Waffe der Wahl der Angreifer. Zudem fanden häufig Versuche statt, mit Linux-Shell-Befehlen Zugriff auf die SSH/Telnet- Verbindung der Honeypot-Systeme zu erhalten. Dabei wurde meist über automatisierte Angriffe versucht, einen möglichen Kennwortschutz der Geräte zu umgehen. Die am meisten probierten Nutzernamen solcher Versuche waren „root“ und „admin“; Brute-Force-Angriffe auf Passwörter nutzen am häufigsten die Begriffe „admin“ und „default“. Dies zeigt unter anderem, wie wichtig es ist, dass Hersteller von IoT-Produkten bei Installation durch den Kunden den Wechsel von Standard-Passwörtern verlangen!

Fehlende Standards und alte Lücken

Die Gesamtzahl von Geräten, die bis 2022 über das Internet der Dinge miteinander kommunizieren werden, schätzen Juniper-Analysten in einer aktuellen Studie auf mehr als 50 Milliarden. Gegenüber dem Stand von 21 Milliarden im Jahr 2018 ist also mehr als eine Verdoppelung des IoT-Kosmos in nur vier Jahren zu erwarten. Das starke Wachstum des Internets der Dinge bezieht sich auf nahezu alle Bereiche unseres Lebens und wird unsere Arbeitswelt ebenso verändern, wie unsere Freizeit. Solche Geräte und Dienste können uns das Leben erleichtern, doch auch das genaue Gegenteil kann der Fall sein. Denn immer mehr Geräte, die wir ganz selbstverständlich im Alltag nutzen, und von denen wir es zum Teil gar nicht erwarten, werden mit dem Internet verknüpft. Statt wie bisher Fernseher, Kameras und smarte Sprachassistenten werden in naher Zukunft alltägliche Gebrauchsgegenstände, wie Staubsauger oder Zahnbürsten, Informationen über ihre Nutzer sammeln und an ihre Hersteller und deren Geschäftspartner senden.

Tatsache ist, dass Sicherheitsexperten wie die des AV-TEST Instituts bereits seit Jahren vor den Gefahren angreifbarer IoT-Geräte warnen, diese Rufe allerdings weiterhin häufig ungehört verhallen. Dabei begehen gerade die Hersteller von Endanwenderprodukten, insbesondere solche, die nicht ursprünglich aus der IT-Industrie kommen, dieselben Fehler, wie sie bereits vor 30 Jahren bei PCs und vor 10 Jahren bei Smartphones und anderen Mobilgeräten begangen wurden: schlecht bis gar nicht geschützte Zugangskonten, schwache oder meist fehlende Verschlüsselung bei Speicherung und Transport von Daten, veraltete Software und mangelhafte bis fehlende Versorgung mit Sicherheitsupdates. Diese Fehler öffnen Angreifern nach wie vor bei der Mehrzahl der Geräte, Tendenz steigend, Tür und Tor. Hinzu kommt, dass die IT-fremde Branche ihre Geräte zunehmend „smart“ anbietet, sprich mit Internetanbindung und App verkauft. Allerdings findet dabei die Entwicklung IT-typischer Module, wie Onlinedienste und Apps, zumeist durch Drittanbieter statt. Und so wissen die Anbieter vernetzter Produkte oft nicht, was in ihren Apps oder hinter ihren Onlinediensten steckt und können diese aus eigener Kraft auch nicht warten, prüfen und selbst mit den notwendigen Sicherheitsupdates versehen.

So erkennen Sie „Security by Design“

Auf der anderen Seite finden Sie Anbieter von IoT-Geräten und Dienstleistungen, für die die Sicherheit von Geräten und Privatsphäre von Kunden bereits seit geraumer Zeit ein wichtiges Anliegen ist. Diese Hersteller lassen ihre Produkte von unabhängigen Testinstituten wie dem AV-TEST Institut testen und zertifizieren. Sichere IoT-Produkte von Herstellern, die „Security by Design“ umsetzen, erkennt man am AV-TEST Zertifikat.