Internet of Things: Bund warnt vor Missbräuchen

Endgeräte in Haushalten und Unternehmen sind zunehmend vernetzt und in das Internet of Things (IoT) eingebunden. Damit erhöht sich auch das Risiko von Angriffen auf solche Apparate. Ein mögliches Gefahren-Szenario ist laut MELANI eine Beeinträchtigung der Stromversorgung.

In ihrem zweiten Halbjahresbericht 2018 warnt die Melde- und Analysestelle Informationssicherung des Bundes MELANI ausdrücklich vor den Gefahren des Internet of Things (IoT) – unter anderem im Bereich der Stromversorgung.

Die Autoren berufen sich dazu auf eine an der Universität Princeton durchgeführte Studie. Darin gehen die Forscher von einem Szenario aus, in dem Angreifer ein Botnet aus IoT-Geräten mit hohem Stromverbrauch aufbauen, wie beispielsweise Klimaanlagen, Heizungen und Waschmaschinen. Den Forschern gelang es anschliessend, Instabilitäten im Stromnetz herbeiführen – dies mittels einer starken, von den Stromlieferanten nicht erwarteten Beeinflussung der Leistungsabnahme der angeschlossenen Geräte sowie einer entsprechenden, geografischen Koordination.

Schlecht geschützte Endgeräte als Risikofaktor

Neu ist bei einem solchen Angriffs-Szenario laut MELANI, dass die Ausfälle nicht durch eine Beeinträchtigung der Energieproduktion oder -übertragung verursacht werden. Vielmehr nehmen die Angreifer die Verbraucherseite – d.h. die Endgeräte – ins Visier. Dies ist möglich, weil Endgeräte oft nur marginal geschützt sind – insbesondere im Vergleich mit Kraftwerken oder Übertragungsnetzen, bei denen Investitionen in die Sicherheit hohe Priorität haben.

Werden verwundbare Endgeräte mit hohem Verbrauch – wie oben beschrieben – in einer koordinierten Aktion manipuliert, könnten die üblichen Toleranzreserven in der Stromversorgung überschritten werden. Auf diese Weise könnten Angreifer beispielsweise im Hochsommer alle elektrischen Heizungen synchron auf Volllast schalten – mit entsprechenden Auswirkungen auf das Stromnetz und die Stromversorgung. Eine Vorgehensweise, die in Fachkreisen «Manipulation of demand via IoT (MadIoT)» genannt wird.

MELANI: Massnahmen zum Schutz vor Angriffen notwendig

Die den Simulationen zu Grunde liegenden Annahmen mögen zwar etwas weit hergeholt scheinen, allerdings gibt es gemäss MELANI Beispiele aus der Praxis, die solchen Szenarios bereits recht nahekommen. So zeigten im Jahr 2016 die Folgen des «Mirai»-Botnets eindrücklich das Schadenspotenzial eines IoT-Botnets. Und im Jahr 2017 demonstrierte Sophos, ein britischer Hersteller von Sicherheits-Software, dass exponierte IoT-Geräte in Smart-Homes in kurzer Zeit von vielen Seiten angegriffen werden können. In diesem Zusammenhang wurde auch auf eine hohe Konzentration solcher Geräte in der Schweiz hingewiesen.

MELANI ruft deshalb Endnutzer und Hersteller von IoT-Endgeräten auf, einen Beitrag zum Schutz der Schweizer Stromnetze zu leisten. Zu den empfohlenen Massnahmen gehört die Meldung offen erreichbarer oder schlecht gesicherter Steuerungssysteme im Internet, damit deren Betreiber gewarnt werden können. Ein entsprechendes Meldeformular sowie eine Checkliste mit Massnahmen zum Schutz industrieller Kontrollsysteme sind bei MELANI verfügbar.

Herstellern von IoT-Geräten empfehlen die Autoren des MELANI Halbjahresberichtes zudem die Einführung von minimalen Best-Practice-Regeln, wie sie heute erst in wenigen Regionen und Bereichen obligatorisch sind.

Die eingangs zitierte Studie wurde im August 2018 an der USENIX Security Conference in Balitmore/US präsentiert.