IT-Defense 2018 in München, Teil 1
Aufstand gegen IoT und Cloud
Auf der IT-Defense - der kleinen, aber feinen Jahreskonferenz des Heilbronner IT-Security-Beratungshauses Cirosec, die Ende Januar in München stattfand - stachen unter den zahlreichen spannenden Vorträgen drei besonders heraus: Mikko Hyppönen, Chef-Forscher bei F-Secure, warnte eindringlich vor Gefahren durch das IoT (Internet of Things); Security-Urgestein Marcus Ranum wetterte gegen die Cloud; und Pen-Testerin Paula Januszkiewicz demonstrierte in flottem Tempo die Angreifbarkeit Windows-basierter IT-Umgebungen.
Mikko Hyppönen, Chief Research Officer (CRO) des finnischen Online-Security-Anbieters F-Secure, zeichnete in seiner Keynote-Rede ein düsteres Bild der "nächsten Revolution" der IT: nämlich der IoT-Revolution, die dieser Tage auf die PC- und die Internet-Revolution folgt. Dank Internet-Revolution sind die Computer weltweit vernetzt, so der F-Secure-Mann, doch mit der IoT-Revolution gehe nun noch wesentlich mehr Equipment ans Netz: "Wenn etwas mit Strom läuft, geht es online."
Die Basis dafür bilden laut Hyppönen zwei Megatrends: Computer werden immer kleiner und - siehe Moore?s Law - immer preiswerter. Das Problem: Heute ist uns bekannt, welche unserer Geräte online sind, künftig aber werden viele Devices ohne unser Wissen kommunizieren - und ohne dass wir es unterbinden können. "Die Hersteller wollen Daten sammeln", erklärt Hyppönen, denn schließlich habe man ihnen gesagt, Daten seien "das neue Öl". Und wenn der Chip, der Nutzungsdaten per BLE (Bluetooth Low Energy) und Co. ins Internet pumpt, nur zwei Cent koste, dann werde er eben verbaut. Solche Devices zu meiden ist laut dem Finnen langfristig keine Lösung: In fünf, zehn oder fünfzehn Jahren werde es gar keine Elektrogeräte ohne Netzanbindung mehr geben.
Dies setzt die Devices dann allerdings sämtlichen Gefahren aus, die im Internet lauern: von Malware über Spionage-Tools bis hin zu Erpressung mittels Ransomware, Letzteres im Zusammenspiel mit Kryptowährungen. Eigentlich, so Hyppönen, sei die Blockchain (auf der Kryptowährungen beruhen) "eine der größten Innovationen des Jahrzehnts" und für zahlreiche Einsatzfälle nützlich. Jedoch: "Die Online-Kriminellen lieben Kryptowährungen, wie die Kriminellen in der realen Welt Bargeld lieben."
Der Security-Fachmann erläuterte, warum eine Währung wie Bitcoin, die dank Blockchain auf einem öffentlich einsehbaren Hauptbuch beruht, Anonymität für das Einsammeln von Lösegeldern bietet: "Die Russ… äh… die Kriminellen" (O-Ton Hyppönen), die hinter der Ransomware Petya stecken, haben die Lösegelder auf ein riesiges Netz von Bitcoin-Wallets verteilt und dann die Blockchain gewechselt: Nach dem Umtausch der Bitcoins in Moneros habe sich die Spur verloren.
Smart = angreifbar
"Wir verwandeln alles in smarte Geräte", resümierte Hyppönen und verwies auf eine seiner Aussagen, die man inzwischen auch als "Hypponen?s Law" (ohne "ö", da englisch) kennt: "Wenn ein Gerät smart ist, dann ist es angreifbar." Als prominenten Beleg nannte er jenen Jeep Cherokee, den die beiden Hacker Miller und Valasek 2015 aus der Ferne übernahmen und dann fernsteuerten.
Hyppönen mahnte aber, sich nicht auf jene dramatische Szenarien zu konzentrieren, die der Security-Vordenker Bruce Schneier "Movie Plot Threats" (Bedrohungen wie aus einem Filmdrehbuch) nennt. Die Hauptgefahr sei nicht, dass ein Angreifer ein vernetztes Auto übernimmt und "über die Klippe steuert" - das sei für Cyberkriminelle kein valides Geschäftsmodell. Eine reale Gefahr vernetzter Fahrzeuge sei vielmehr zum Beispiel folgende: Autodiebe spüren nachts von der Straße aus mittels eines Sensors den funkbasierten Autoschlüssel des Opfers in dessen Haus auf; dann verstärken sie per Repeater dessen Funksignal, um das Fahrzeug zu öffnen und zu entführen. Das Auto werde dann mit allerlei Signalen protestieren, so Hyppönen, denn es erkenne nach wenigen Metern, dass der Schlüssel fehlt - aber den Dienst verweigern werde es nicht. Das sei für Autodiebe sehr reizvoll: Hacking erspart das Einschlagen einer Scheibe. Er riet, sich bei IoT-Gefahren stets zu vergegenwärtigen, wer tatsächlich der Gegner ist: eine kriminelle Bande, ein Wettbewerber, eine Regierungsbehörde…?
Zugleich warnte Hyppönen vor der sozialen Sprengkraft des IoT: Es werde "einen Aufstand der Menschen" gegen das Internet der Dinge geben. Damit meinte er allerdings keinen Krieg Mensch vs. Roboter wie in den Terminator-Filmen, sondern alltäglichen Protest. So berichtete er von Müllwagenfahrern, die die Füllstandsensoren "smarter" Mülltonnen demoliert hatten: Dank der Sensorik wurden die Tonnen nicht mehr regelmäßig jede Woche, sondern nur noch bei Bedarf - also seltener - geleert. Dies empfanden die Fahrer als existenzbedrohend und reagierten gewaltsam. Er forderte die Zuschauer auf, über den Tellerrand hinauszudenken: "Unser Job ist es nicht, die IT zu schützen, sondern die Gesellschaft zu schützen."
Cloud als Zeichen der Schwäche
Noch deutlichere Kritik am Status quo äußerte Security-Urgestein Marcus J. Ranum in seiner Keynote am zweiten IT-Defense-Tag. Seine Argumentation: Die Cloud ist nur deshalb eine Option, weil die Unternehmens-IT teuer und unsicher ist - und dies wiederum ist sie nur, weil man sie schlecht managt. Den Unternehmenslenkern warf er vor, nur auf?s Geld zu schauen: Gemacht wird, was Einsparungen verspricht, selbst wenn es aus IT-Security-Sicht bedenklich ist, wie etwa die Public Cloud oder BYOD. Da IT-Sicherheit somit hochgradig von den Management-Kosten abhänge, sei der aktuelle Fokus auf Standards und Compliance - Stichwort: DSGVO - genau der falsche Weg: Man belaste eine Softwarelandschaft, deren Problem eh schon das Management ist, durch neue Management-Schichten und bekämpfe Komplexität mit noch mehr Komplexität. "Stattdessen sollten wir die IT vereinfachen", forderte er.
Für diese Vereinfachung sorge die Cloud nur scheinbar: "Die Cloud beseitigt das Problem nicht, sie macht es nur schneller", so Ranum. Über die großen Cloud-Provider schimpfte er: "Allein schon die Tatsache, dass sie einen (in die jeweils eigene Cloud-Umgebung, d.Red.) einsperren wollen, zeigt, dass sie keine guten Absichten haben. Es zeigt, dass sie einen in fünf bis zehn Jahren über den Tisch ziehen wollen."
Doch auch an Unternehmens-IT-Organisationen teilte Ranum Ohrfeigen aus: "Sicherheit ist im Grunde eine Unterdisziplin des System- und Netzwerk-Managements. Wir (die IT-Security-Branche, d.Red.) existieren nur, weil die System- und Netzwerk-Manager versagt haben." Sein Lösungsvorschlag: der Wechsel zu zwingend vorgeschriebenen gestreamten Software-Updates; ein Whitelisting von Applikationen, Netzwerken und Speichern; sowie ein Fokus auf die aggregierten Management-Kosten.
Denn um die Geschäftsführung davon zu überzeugen, statt in die Cloud in eine besser verwaltete Inhouse-IT zu investieren, müsse der IT-Leiter mittels geeigneter Metriken Vorher/Nachher-Vergleiche parat haben, zum Beispiel: "Wir hatten X Incidents pro Woche und haben die Maßnahme Y ergriffen. Dafür haben wir den Betrag X investiert, statt Y für das Incident-Management ausgeben zu müssen." Derlei Metriken seien die Grundvoraussetzung für das IT-Management und deshalb auch für IT-Sicherheit. Denn, so Ranums Fazit: "Unwissenheit ist teuer."
Den zweiten Teil zu dieser IT-Defense-Berichterstattung finden Sie hier. Weitere Informationen zu Cirosec gibt es unter www.cirosec.de.
Lesen Sie mehr zum Thema
