Bundesamt für Sicherheit in der Informationstechnik

Der Bot im Babyfon

24. Oktober 2016 | Am Freitag vergangener Woche waren die Webseiten von Internetriesen wie Amazon, Twitter, PayPal oder Netflix über Stunden nur schwierig zu erreichen. Grund war eine digitale Attacke auf den Internetdienstleister Dyn. Dessen Aufgabe ist, die Domain-Namen wie amazon.com in die dazugehörigen IP-Adressen zu übersetzen. Mit einer sogenannten DDoS-Attacke, also dem massenhaften wiederholten Anfragen des Dienstes, wurde dieser derart überlastet, dass er unter der Last zusammenbrach und in der Folge die Webseiten seiner Kunden nicht erreichbar waren. Derartige Angriffe werden in der Regel mit Hilfe von sogenannten Botnetzen durchgeführt. Diese bestehen üblicherweise aus zahlreichen internetfähigen Geräten wie Computer, Smartphones oder Tablets, die mit Schadsoftware infiziert sind und durch diese - vom Nutzer unbemerkt - fremdgesteuert werden können.

Neu an diesem Angriff ist, dass er mit einem Botnetz durchgeführt wurde, das zu großen Teilen aus mit dem Internet verbundenen Haushaltsgeräten (IoT-Geräte) besteht. Das sogenannte Mirai-Botnetz hat dabei auf Grund der großen Anzahl der Geräte eine Bandbreite erreicht, die weit über die bisher bekannter Botnetze hinausgeht. Die Netzwerkkameras, Babyfone oder Kühlschränke, die bereits zum Botnetz gehören, scannen offenbar selbstständig das Internet nach weiteren Geräten, um sie mit Schadsoftware zu infizieren und dem Botnetz hinzuzufügen. Das Mirai-Botnetz wächst also stetig weiter.

In ein Heimnetzwerk integrierte IoT-Geräte bauen oftmals selbstständig eine Verbindung zum Internet auf, indem sie den Router des Nutzers per UPnP (Universal Plug and Play) so konfigurieren, dass eine Portweiterleitung entsteht. Die Geräte können dann nicht nur ins Netz kommunizieren, sondern sind auch von außerhalb des Heimnetzwerkes sichtbar. Damit werden alle Schutzfunktionen des Routers und der entsprechenden Firewall ausgehebelt.
Für den Benutzer bedeutet dies nicht nur, dass sein Gerät Teil eines Botnetzes geworden ist, sondern auch, dass in sein Heimnetzwerk bereits Schadsoftware eingeschleust wurde. Diese Lücke kann theoretisch zu einem späteren Zeitpunkt auch für andere Aktivitäten genutzt werden.

Wie kann ich mich schützen?

  • Der Nutzer schützt sich am besten durch eine Deaktivierung der UPnP-Funktion am Router.
  • Nicht benötigte Dienste sollten deaktiviert oder über die Firewall eingeschränkt werden.
  • Muss eine Erreichbarkeit von außen, also über das Internet gewährleistet sein, sollte dies nur über eine ausreichend starke Authentisierung, also mit einem starken Passwortschutz geschehen.
  • Bei der Auswahl der Geräte sollte nicht nur die Funktionalität und das Preis-Leistungsverhältnis beachtet werden, sondern auch Aspekte der IT-Sicherheit. Im Zweifel hilft eine fachmännische Beratung durch IT-Spezialisten weiter.
  • Daten sollten nur verschlüsselt übertragen werden. Bietet das Gerät diese Funktion nicht an, sollte nur über einen VPN-Tunnel kommuniziert werden.
  • Patches und Updates sollten wenn verfügbar regelmäßig eingespielt werden.