Wenn große Fische mit großen Ködern gefangen werden

Am Messestand auf dem Mobile World Congress in Barcelona im Februar haben wir viele Gespräche geführt und es wurde klar: Viele Menschen glauben, eine Sicherheitslücke in ihrem Smart-TV, Smart-Speaker oder in ihrer smarten Lampe sei unproblematisch - warum sollte es schon ein Cyberkrimineller gerade auf sie abgesehen haben? Ein Experiment im Zeitraum des Kongresses, durchgeführt von unseren Avast-Sicherheitsforschern Vladislav Iliushin, Martin Hron, Libor Bakajsa, und Anna Shirokova , hat aber gezeigt, dass verletzliche Geräte, die mit dem Internet verbunden sind, täglich tausende Male von Cyberkriminellen nach Schwachstellen abgetastet werden.

Im Grunde ist es richtig zu denken, dass Cyberkriminelle es eben nicht auf Lieschen Müller abgesehen haben. Ihnen ist es häufig einerlei, wen sie angreifen. Stattdessen wollen sie Massen an Geräte infizieren, beispielsweise um ein Botnet aufzubauen, also ein Netzwerk tausender oder zehntausender ferngesteuerter PCs, Router, Sicherheitskameras oder anderer smarter Geräte. Deren Rechenkraft kann der Cyberkriminelle missbrauchen, um etwa Kryptowährungen zu schürfen oder um mithilfe der Geräte massenhaft Internetverkehr auf eine gewisse Website oder einen Server zu leiten, um diese zum Absturz zu bringen - zum Beispiel um Politikern oder Unternehmen zu schaden.

Allerdings können Cyberattacken auf digitale Haushalte auch zur physischen Gefahr werden - etwa wenn Kriminelle durch die Daten, welche die smarten Geräte senden, den Ort des Haushalts feststellen können. Ist ein digitales Schloss im Einsatz, ließe sich dieses mitunter aufsperren und in das Haus einbrechen - zum Beispiel durch einen Sprachbefehl von der ungesicherten Babycamera an Alexa, die Tür zu öffnen.

Um verletzliche Geräte zu finden, scannen Cyberkriminelle das Internet kontinuierlich, um Geräte zu finden, die sie mit Botnet-Malware wie Mirai zu infizieren, die Ende 2016 in Deutschland fast eine Million Router der Deutschen Telekom zum Absturz brachte.

Wir bei Avast wollten also wissen, wie häufig IoT-Geräte von potenziellen Cyberkriminellen auf offene Ports, bzw. potenzielle Einfallstore gescannt werden. Unsere Avast-Sicherheitsforscher Martin Hron und Vladislav Iliushin haben daher zum Mobile World Congress in Barcelona 500 so genannter Honeypots eingerichtet - also Geräte, die absichtlich mit Sicherheitslücken versehen waren - um Cyberkriminelle anzulocken, darunter 39 in Frankfurt. Weitere Honeypots waren in Spanien, Großbritannien, Irland, Australien, Indien, Japan, Südkorea, Singapur und den USA platziert. Die Honeypots waren Server, die mit offenen Ports wie TCP:23 (Telnet-Protokoll), TCP:22 (SSH-Protokoll) oder TCP:80 (HTTP-Protokoll) versehen waren. Diese Ports lassen sich üblicherweise in internetfähigen Geräten wie Router, Sicherheitskameras, Smart-TVs oder TV-Streaming-Geräte finden, wodurch potenzielle Angreifer den Eindruck gewinnen konnten, dass es sich um IoT-Geräte handelte.

Zwischen Sonntag, den 24. Februar vor dem Mobile World Congress und dem letzten Tag des Kongresses, Donnerstag, dem 28. Februar, wurden die Geräte mehr als 23,1 Millionen mal gescannt. Das heißt, dass jedes der Geräte durchschnittlich über 11.500 mal gescannt wurde. Die drei Ports, die am häufigsten gescannt wurden waren:

1. Port 8088: Üblicherweise in Chromecast-TV-Streaming-Geräten, sowie in intelligenten Lautsprechern wie Google Home zu finden
2. Port 22: Das Telnet-Protokoll ist üblicherweise in Routern zu finden und für die Fernkonfiguration nutzbar.
3. Port 23: SSH ist Telnet ähnlich, nur ist die Kommunikation über diesen Port verschlüsselt.

Die top fünf Länder, in denen Avast Scans für potenzielle Angriffe verzeichnen konnte:

• Irland 218.851
• Deutschland 162.868
• U.S.A. 159.532
• Kanada 153.034
• Japan 152.000

Die meisten Scans kamen aus den folgenden Ländern:

• U.S.A.
• China
• Frankreich
• Großbritannien
• Niederlande

Dass die Scans aus den genannten Ländern stammen heißt allerdings nicht, dass die Cyberkriminellen dort sitzen müssen - sie könnten auch Werkzeuge zur Verwischung ihrer Standorte verwenden, wie ein Virtual Private Network (VPN).

Die Masse der Angriffe auf die verwundbaren Geräte ist bedenklich hoch. Klar waren unsere Honeypots jeweils mit mehreren Sicherheitslücken versehen - wobei in der Realität ein Gerät weniger offen stehende Ports hat. Dennoch zeigt das Experiment, dass ein Router, eine Sicherheitskamera oder ein TV-Streaming-Gerät täglich hunderte und monatlich tausende Male von Cyberkriminellen gescannt werden können. Der zweite Schritt ist für Angreifer leider ein Kinderspiel, in das Gerät und darüber in das Netzwerk einzubrechen.

Avast entwickelt derzeit eine Plattform, Smart Life, die auf künstlicher Intelligenz basiert und zukünftig - am Router ansetzend - ungewöhnliche Entwicklungen im Netzwerk zu beobachten. Fängt beispielsweise der Kühlschrank an, massenweise E-Mails zu versenden, lässt sich das erkennen, dem Nutzer melden und abschalten.

Wer sich jetzt ein neues IoT-Gerät anschafft, wie einem Smart Speaker, TV-Streaming-Gerät oder eine Babycam mit Internetanschluss dem empfehlen wir das folgende:

1. Router-Sicherheit: Sicherstellen, dass der Router sowie das WLAN ein starkes und komplexes Passwort haben, sowie mit jüngsten Sicherheitsupdates auf dem aktuellen Stand ist
2. Sicherheitsupdates für das Gerät: Auf der Internetseite des Herstellers des neuen Gerätes prüfen, ob der Hersteller regelmäßig Software-Sicherheitsupdates - so genannte Patches - zur Verfügung stellt. Ist dies nicht der Fall oder ist das jüngste Update schon zwei Jahre alt, könnte es sein, dass das neu erworbene Gerät bereits Sicherheitslücken hat und somit zur Gefahrenquelle wird
3. Komplexes Passwort einrichten: Bei der Einrichtung des neuen Gerätes ein langes, komplexes Passwort dafür erstellen, idealerweise bestehend aus einer Kombination aus Sonderzeichen, Zahlen und Groß- und Kleinschreibung