Kürzlich hat das BSI einen Beitrag zu seinem Maßnahmenkatalog Ransomware veröffentlicht. Dieser Maßnahmenkatalog soll Unternehmen dabei helfen, sich auf entsprechende Angriffe vorzubereiten und präventiv zu handeln [1]. Basierend auf Erfahrungen aus der BSI-internen Ransomware-Fallbearbeitung werden darin präventive Schutzmaßnahmen beschrieben und wichtige Themen für die Geschäftsführung geklärt. Das Dokument ist als Zusatz zu dem IT-Grundschutz-Kompendium zu verstehen. Bei der Durchsicht des Maßnahmenkatalogs ist uns aufgefallen, dass eine Gefahrensituation nicht explizit behandelt wird. Dabei geht es um sogenannte Ransomware für IoT, kurz R4IoT [2], auf die nachfolgend genauer eingegangen wird. Abschließend werden noch die Maßnahmen gegen R4IoT-Angriffe näher betrachtet.
Bei R4IoT werden Sicherheitslücken von IoT-Geräten ausgenutzt, um sich Zugang zu dem IT- und OT-Netz zu verschaffen. Die Wahrscheinlichkeit dieses Angriffsszenarios steigt mit der Vielzahl von IoT-Geräten in Unternehmen und Gebäuden. Die Implementierung von neuen technischen Errungenschaften in das IT-Netz erzeugt stets auch neue Gefahrensituationen. In diesem Fall schafft die fortlaufende Smartifizierung von Unternehmen und Gebäuden eine neue Ransomware-Angriffsfläche.
Ransomware
Unzureichend oder gar nicht abgesicherte IoT-Geräte sind eine offene Haustür für R4IoT-Angriffe. Bisher zeigte sich, dass insbesondere IP-Kameras häufig Sicherheitsschwachstellen aufweisen und die Möglichkeit für einfachen Zugriff von außen bieten. Bei Ransomware-Angriffen handelt es sich in der Regel um Erpressungen von Unternehmen, bei denen damit gedroht wird, sensitive Daten zu veröffentlichen oder Kontakt mit Kunden, Partnern oder Medien aufzunehmen. Des Weiteren können in diesem Zusammenhang auch DDoS-Angriffe genutzt werden, um die Funktionalität des Unternehmens zu beeinträchtigen und Lösegeld zu fordern. Gerade das zuletzt genannte Angriffsszenario ist bei R4IoT relevant. So können bereits kompromittierte Geräte aus IoT-Botnets für Ransome-DDoS-Attacken verwendet oder diese IoT-Geräte missbraucht werden, um Zugriff auf das IT- oder OT-Netz zu erlangen. Ebenso ist es möglich, R4IoT-Angriffe zur Bereitstellung von Netzwerkressourcen für Kryptomining zu nutzen. Bei einem R4IoT-Angriff auf ein Smart Building kann auch schon, ohne dass sich Angreifer von einem Eintrittspunkt aus auf den Rest des Netzwerks ausbreiten, großer Schaden angerichtet werden. Wenn sich der Angriff auf das IoT-Netz beschränkt, könnten trotzdem weitere IoT-Geräte kompromittiert werden, um die Kontrolle über die IoT-Infrastruktur des smarten Gebäudes zu übernehmen. Mit der Kontrolle über RLT-Anlagen, Beleuchtung oder Zugangskontrollsysteme kann gerade in Gebäuden der kritischen Infrastruktur erheblicher Schaden verursacht werden.
Ein sicheres IoT-Netz
Allgemeine Hinweise darauf, wie sich Unternehmen präventiv auf Ransomware-Angriffe vorbereiten können, sind in dem Maßnahmenkatalog des BSI zu finden. Präventive Maßnahmen gegen R4IoT-Angriffe gehen allerdings über diesen Maßnahmenkatalog hinaus. Bei der Verwendung von IoT-Geräten in Unternehmen und smarten Gebäuden ist eine sichere Netztopologie von elementarer Wichtigkeit. Wie man ein sicheres Netz bei der Verwendung von IoT-Geräten grundlegend aufbauen sollte, kann vom Baustein INF.14 Gebäudeautomation des BSI-IT-Grundschutzkompendiums abgeleitet werden [3].
Um R4IoT-Angriffe zu vermeiden, ist es empfehlenswert, eine Zero-Trust-Netzarchitektur aufzubauen. Dabei ist für IoT-Geräte eine sichere Authentifizierungsmethode zu wählen. Standardpasswörter müssen durch starke Passwörter ersetzt und allgemein bekannte Zugangsdaten müssen geändert werden. Hinsichtlich der Netztopologie ist es wichtig, eine sichere Netzseparierung vorzunehmen, eine DMZ zu errichten und Firewalls zu nutzen, um zu verhindern, dass sich Angreifer von einem Eintrittspunkt aus auf den Rest des Netzwerks ausbreiten. So sollten unbedingt die Gebäudeautomation, Office-IT und OT separiert werden. Bei der Verwendung von IoT-Geräten ist zudem darauf zu achten, sichere Übertragungsprotokolle zu nutzen sowie Kommunikationswege abzusichern und einzuschränken. Dabei kann eine Kommunikationsmatrix helfen, die Kommunikationswege zu definieren, die nicht erlaubt sind. Des Weiteren sollten frei zugängliche Ports vermieden oder abgesichert werden. Neben den Hinweisen aus dem IT-Grundschutz-Kompendium ist es ebenso möglich, den europäischen IoT-Basisstandard ETSI EN 303 645 v2.1.1 zur Gewährleistung einer grundlegenden Sicherheit für verwendete IoT-Geräte heranzuziehen.
Zusammenfassung
Die Verwendung von IoT-Geräten in Unternehmen und smarten Gebäuden bringt einen großen technologischen Fortschritt mit sich und kann sowohl die Funktionalität als auch die Effizienz von Unternehmen und Gebäuden enorm steigern. Angriffsszenarien wie R4IoT kann man verhindern, indem ausreichende Sicherheitsvorkehrungen genutzt und eine sichere Netzwerkarchitektur aufgebaut werden. Unabhängig davon, wie groß der Nutzen bei der Verwendung von IoT-Geräten ist, sollte die Sicherheit auf keinen Fall zu kurz kommen.
Quellen:
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.pdf?__blob=publicationFile&v=2
[2] https://www.forescout.com/resources/r4iot-next-generation-ransomware-report
[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2022.pdf?__blob=publicationFile&v=3#download=1
