Unsichere vernetzte Geräte, wie sie die Basis des Mirai-Botnetzes bildeten, sind nur die Spitze des Eisberges. Es deutet sich inzwischen an, dass die gesamte IT-Infrastruktur nicht nur mit immer mehr Schwachstellen versehen wird, sondern die enorm wachsende Komplexität die Sicherheit von Netzwerken zu einer kaum bewältigbaren Aufgabe macht.
Dies zeigen auch Beispiele, die Nicole Eagan, Chefin des Security-Unternehmens Darktrace, auf einer Manager-Konferenz anschaulich
machte. Hier berichtete sie beispielsweise von einem Fall, bei dem einem nicht namentlich genannten Casino die komplette Datenbank von finanzkräftigen Zockern und Stammkunden gestohlen wurde. Das Netzwerk der Spielbank war natürlich an den Verbindungspunkten zum Internet gut von Firewalls und anderen Sicherheits-Systemen geschützt.
Die Täter kamen allerdings durch eine völlig unbeachtete Hintertür: Ein Thermostat im Aquarium, das den Eingangsbereich des Casinos verschönerte und seine Daten per Funk in die Systeme der Gebäudesteuerung übertrug. "Die Angreifer nutzten es als Brückenkopf zum Netzwerk", erklärte Eagan. Von dort arbeiteten sie sich in andere Bereiche des Netzes vor und schleusten schließlich die für das Casino-Geschäft extrem kritische Datenbank wieder durch das Aquarium nach Außen.
Es wird wieder schlimmer
Die Darktrace-Chefin zeigte sich überzeugt, dass dies keineswegs ein kurioser Einzelfall bleiben wird. Denn auch im Business-Umfeld nimmt die Zahl der so genannten IoT-Geräte immer weiter zu - sei es das WLAN-Thermostat an der Büro-Heizung oder auch der Alexa-Client, den sich der Manager auf den Schreibtisch stellen soll. All diese Systeme vergrößern die Frontlinie zu den böswilligen Kräften in der digitalen Welt und werden dabei auch noch höchst selten von den etablierten Sicherheits-Lösungen abgedeckt.
Bekräftigt wurden Eagans Ausführungen von Robert Hannigan, dem ehemaligen Chef des britischen Geheimdienstes GCHQ. Dieser stellte einmal mehr das Problem heraus, dass im IoT-Segment selbst die einfachsten Sicherheits-Standards, die bei PCs und Mobilgeräten inzwischen zum Standard geworden sind, wieder wegfallen. Das betrifft insbesondere die Versorgung der Systeme mit Sicherheits-Patches. Er wisse sogar schon von einer Bank, führte er aus, die gehackt wurde, weil sie billige Überwachungskameras kaufte und in ihr Netz hängte. Bei solchen besonders preiswert wirkenden Systemen ist aber eben gerade nicht eingepreist, dass der Hersteller dann auch noch einige Jahre die Firmware pflegen und Sicherheitslücken wegpatchen muss.