Checkliste für Manager: Schutz vor DDoS-Angriffen im IoT-Zeitalter

DDoS-Angreifer bedienen sich vermehrt dem Internet der Dinge, um ihre Attacken durchzuführen. Doch es gibt Gegenmassnahmen, die Netzwerk- und System-Administratoren schon jetzt berücksichtigen können, um die DDoS-Gefahr einzudämmen.

von Ingo Schneider* 10.07.2017 15:01

* Ingo Schneider ist Director Business Development Data Network Infrastructure bei Alcatel-Lucent Enterprise

In Sachen Distributed Denial of Service (DDoS) kam es im letzten Herbst zum Super-GAU. Denn Angreifer legten die Infrastruktur des US-Unternehmens Dyn mehrere Stunden lang lahm. Das Besondere an dieser DDoS-Attacke: Sie nutzte schlecht abgesicherte IoT-Endgeräte.

Das Internet der Dinge birgt neue DDoS-Angriffsvektoren. Doch es gibt Gegenmassnahmen Das Internet der Dinge birgt neue DDoS-Angriffsvektoren. Doch es gibt Gegenmassnahmen © Pixabay

Wenn man bedenkt, dass 2020 voraussichtlich 20 Milliarden vernetzte Geräte an das rasant wachsende Internet der Dinge (Internet of Things; IoT) angeschlossen sein werden, wird schnell klar, dass auch der Bedarf an geeigneten Netzwerk-Prozeduren und Werkzeugen zur Sicherung all dieser Endgeräte steigen wird.

Was können Firmen unternehmen, um sich jetzt und künftig zu schützen? Hier sind einige Lösungsvorschläge.

Nächste Seite: Die Gefahr eindämmen

Erstens: Die Gefahr eindämmen

Als Herzstück der digitalen Transformation in den Unternehmen fördert das IoT die Verbreitung von wichtigen technologischen Weiterentwicklungen, u.a. von Big Data, Automatisierung, maschinellem Lernen und unternehmensweiter Transparenz. Neue Methoden zur Verwaltung des Netzwerks und seiner vernetzten Endgeräte müssen damit Schritt halten.

Dabei spielt das IoT-Containment eine wichtige Rolle. Es nutzt Techniken der Netzwerk-Virtualisierung, um virtuelle, isolierte Umgebungen zu schaffen. So werden vernetzte Endgeräte mit einem bestimmten funktionalen Zweck und die entsprechenden autorisierten Nutzer zu einem spezifischen IoT-Container zusammengefasst. Alle Nutzer und Endgeräte des Unternehmens sind dann physisch immer noch mit einer einzigen konvergenten Netzwerkinfrastruktur verbunden. Logisch werden sie durch diese Container voneinander isoliert.

Praktisches Beispiel: Nehmen wir an, ein Sicherheitsteam hat zehn IP-Überwachungskameras auf dem Gelände installiert. Mit einem IoT-Container für das Netzwerk des Sicherheitsteams schafft die IT-Abteilung ein virtuelles, isoliertes Netzwerk, auf das Unbefugte nicht zugreifen können – und das von anderen Endgeräten ausserhalb der virtuellen Umgebung nicht einmal gesehen wird. Wenn irgendein Teil des Netzwerks ausserhalb dieser Umgebung kompromittiert wird, hat das keine Auswirkungen auf das Überwachungsnetzwerk. Entsprechend können IoT-Container auch für die Lohnbuchhaltung, die Forschung und Entwicklung oder jede andere Abteilung im Unternehmen eingerichtet werden.

In einer virtuellen IoT-Umgebung können die richtigen Voraussetzungen geschaffen werden, unter denen eine Gruppe von Endgeräten problemlos funktioniert. Denn innerhalb des Containers können QoS (Quality of Service)-Vorgaben leichter durchgesetzt werden. Es ist auch möglich, Bandbreite zu reservieren oder einzuschränken, unternehmenskritischen Diensten Priorität einzuräumen oder nicht erwünschte Applikationen zu blockieren. So kann für Überwachungskameras, die einen kontinuierlichen Strom an Daten liefern, eine bestimmte Bandbreite reserviert werden, während Maschinen für die Intensivpflege in Krankenhäusern höchste Priorität erhalten. Diese QoS-Vorgaben können noch besser durchgesetzt werden, wenn Switche mit Deep Packet Inspection zum Einsatz kommen. Sie sehen, welche Pakete im Netzwerk unterwegs sind und welche Anwendungen gerade genutzt werden, sodass Sie wissen, ob jemand mit dem CRM-System arbeitet, auf Sicherheits-Feeds zugreift oder einfach nur Netflix sieht.

Nächste Seite: Dreifacher Schutz auf Switch-Ebene

Zweitens: Dreifacher Schutz auf Switch-Ebene

Unternehmen sollten darauf bestehen, dass die Switch-Hersteller dieses Risiko ernstnehmen und für maximalen Schutz auf Hardware-Ebene sorgen. Drei Aspekte sind hierbei wichtig:

  • Vier-Augen-Prinzip: Stellen Sie sicher, dass das Betriebssystem des Switches durch einen neutralen Sicherheitsexperten überprüft wurde. Anbieter wollen ihren Programmcode oft keinem Dritten überlassen. Es ist aber wichtig, dass Ihr Hersteller mit führenden Sicherheits­experten der Branche zusammenarbeitet.
  • Bei verschlüsseltem Code kann kein Switch das ganze Netzwerk kompromittieren. Der Einsatz von offenem Code im Betriebssystem ist durchaus üblich, aber nicht ungefährlich, da der Code allgemein zugänglich ist. Wenn der Code im Speicher des Switches verschlüsselt wird, heisst das: Selbst wenn ein Hacker Teile von Open-Source-Code in einem Switch lokalisiert, würde der Angriff nicht bei mehreren Switches funktionieren, weil der Code jeweils anders verschlüsselt ist.
  • Wie wird das Betriebssystem des Switches ausgeliefert? Die IT-Branche verfügt über eine weltweite Lieferkette, deren Komponentenfertigung, Montage, Versand und Vertrieb sich über viele Länder erstrecken. Das erhöht das Risiko, dass der Switch schonmanipuliert ist, wenn er an den Kunden ausgeliefert wird. Bei der Netzwerkinstallation sollte deshalb immer das offizielle Betriebssystem direkt von den sicheren Servern des Herstellers auf den Switch geladen werden.

Nächste Seite: Weitere Massnahmen zum Schutz der Endgeräte selbst

Drittens: Einfache Dinge, die Ihre «smarten Dinge» schützen

Neben der Einrichtung eines sicheren Kernnetzwerks können Sie weitere Massnahmen ergreifen, um ihre Endgeräte zu schützen. Es ist erstaunlich, wie viele Unternehmen auf diese einfachen Schritte verzichten.

Ändern Sie das Passwort – Eine einfache und oft übersehene Massnahme: Ändern Sie das werksseitig eingestellte Passwort. Bei dem Angriff auf Dyn suchte der Virus gezielt nach IP-Endgeräten mit Standardeinstellungen, um die Kontrolle über sie zu übernehmen.

Aktualisieren Sie die Software – Der Kampf zwischen Cyber-Kriminellen und Sicherheitsexperten geht weiter, und damit wird es immer wichtiger, die allerneuesten Updates und Sicherheits-Patches sofort zu installieren. Machen Sie es sich zur Gewohnheit, die neuesten Versionen einzuspielen, sobald sie verfügbar werden.

Vermeiden Sie Remote Management – Deaktivieren Sie die Protokolle für das Remote Management, wie telnet oder http, mit denen die Steuerung von anderen Standorten aus möglich ist. Empfohlene sichere Remote-Management-Protokolle sind SSH und https.

Kuriose Hacks 2016