Cyber-Angriffe durch IoT-Botnetze: BSI fordert Hersteller zu mehr Sicherheitsmaßnahmen auf

By   /  October 25, 2016  /  Comments Off on Cyber-Angriffe durch IoT-Botnetze: BSI fordert Hersteller zu mehr Sicherheitsmaßnahmen auf

    Print       Email

MIL OSI – Source: Federal Office for Information Security –

Headline: Cyber-Angriffe durch IoT-Botnetze: BSI fordert Hersteller zu mehr Sicherheitsmaßnahmen auf

Ort BonnDatum 25.10.2016
Vor dem Hintergrund des Cyber-Angriffs auf den Internet-Dienstleister Dyn fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Hersteller von online-fähigen Geräten auf, dafür zu sorgen, dass die Geräte angemessenen Sicherheitsanforderungen genügen. Für den Cyber-Angriff wurde von den Angreifern ein Botnetz genutzt, das sich nicht nur aus PCs, Notebooks, Smartphones oder Tablets zusammensetzt, sondern zu großen Teilen aus mit dem Internet verbundenen Haushaltsgeräten besteht, die im Zuge des Internets der Dinge (Internet of Things, IoT) immer größere Verbreitung finden. Hierzu gehören beispielsweise Netzwerkkameras, Drucker oder TV-Empfänger. Die meisten dieser Geräte sind im Auslieferungszustand unzureichend gegen Cyber-Angriffe geschützt und können somit von Angreifern leicht übernommen und für Straftaten missbraucht werden.

Hierzu erklärt BSI-Präsident Arne Schönbohm: “Der Fall zeigt anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird. Angreifer durchsuchen das Internet auf der Suche nach verwundbaren Netzwerkgeräten, werden hunderttausendfach fündig und schließen die Geräte zu einem schlagkräftigen Angriffswerkzeug zusammen. Die Anwender merken oft nichts davon, dass ihre Geräte übernommen wurden. Wir fordern daher die Hersteller von Netzwerkgeräten auf, die Sicherheit ihrer Produkte zu verbessern und schon bei der Entwicklung neuer Produkte das Augenmerk nicht nur auf funktionale und preisliche Aspekte zu richten, sondern auch notwendige Sicherheitsaspekte einzubeziehen. Das BSI wird den Dialog mit den Herstellern und Verbänden verstärken, um gemeinsam Lösungsansätze zu entwickeln.”

Folgende Sicherheitsanforderungen sollten seitens der Hersteller berücksichtigt werden:

Voreingestellte Zugangsdaten und Passwörter für alle Zugriffsmöglichkeiten auf die Geräte, zum Beispiel via HTTP, TELNET oder SSH, müssen durch den Nutzer geändert werden können.Sind die voreingestellten Passwörter nicht für jedes Gerät individualisiert, so ist bei der Inbetriebnahme ein Passwortwechsel zu erzwingen.Nicht zwingend benötigte Dienste müssen durch den Benutzer deaktiviert werden können.Die eingehende und ausgehende Kommunikation des IoT-Geräts sollte nur mittels kryptografisch geschützter Protokolle wie TLS erfolgen.Ein IoT-Gerät sollte nicht automatisiert über Universal Plug and Play (UPnP) eine unsichere Konfiguration im Router herstellen, etwa Verbindungen zu unsicheren Diensten erlauben.Hersteller müssen regelmäßig, schnell und über einen hinreichenden Nutzungszeitraum hinweg Sicherheitsupdates für die Geräte zur Verfügung stellen. Die Übertragung und Installation sollte dabei mittels kryptografischer Verfahren geschützt werden.Die Firmware des IoT-Geräts ist hinreichend zu härten, um beispielsweise das unkontrollierte Nachladen von Inhalten aus dem Internet zu verhindern.Empfehlungen für Privatanwender

Für Privatanwender hat das BSI Empfehlungen zu Schutzmaßnahmen veröffentlicht. Mehr Informationen zu Botnetzen sind zudem hier abrufbar.
Pressekontakt:

Bundesamt für Sicherheit in der InformationstechnikPostfach 20036353133 BonnTelefon: +49 228 99 9582-5777Telefax: +49 228 99 9582-5455E-Mail: presse@bsi.bund.de

    Print       Email

You might also like...

Team Deutschland auf dem Weg nach Tokio

Read More →