Immer öfter versuchen Hackergruppen über IoT-Geräte (Internet of Things) auf interne IT-Netzwerke von Firmen zuzugreifen. VOIP-Telefone und Bürodrucker stehen hier besonders im Fokus der Kriminellen. Mangelndes Gerätemanagement macht es den Eindringlingen oftmals zu einfach, an sensible Unternehmensdaten zu kommen.
Ursprünglich wurden Drucker entworfen, um Benutzern eine einfache Möglichkeit zu geben, physische Kopien ihrer Dokumente herzustellen. Doch in den letzten zehn Jahren wandelte sich der Drucker zu einem Netzwerkgerät, welches mehreren Personen in Unternehmen die gleichzeitige Nutzung ermöglichte. Mittlerweile sind Drucker Multifunktionsgeräte, die über WLAN und Mobile-Apps drucken können und via IP-Netz miteinander kommunizieren. Sie gehören damit zu den IoT-Geräten der ersten Stunde. Die zunehmende Vernetzung von „intelligenten“ Geräten sowohl untereinander als auch nach außen bzw. mit dem Internet, birgt allerdings gerade für Unternehmen viele Risiken.
Im Gegensatz zu typischen IoT-Geräten, die für den Anschluss an ein Gastnetzwerk zu Hause und im Büro konzipiert sind, arbeiten fast alle Drucker innerhalb des Hauptnetzwerks. Auf diese Weise kann das Gerät Druckaufträge von verschiedenen Arbeitsplätzen aus annehmen. Drucker, die mit dem Firmen- oder Heimnetzwerk verbunden und zugleich als IoT-Gerät im Internet verfügbar sind, bieten Cyberkriminellen somit einen Angriffspunkt, um über den Drucker in das interne Netzwerk einzudringen.
Genau dieses Thema wurde von zwei Sicherheitsforschern der NCC Group untersucht. Das Fazit: Netzwerkdrucker sind heute ein bequemer Weg für Cyberkriminelle, um in ein ansonsten privates oder internes Netzwerk von Unternehmen einzudringen. Drucker sind eigentlich nicht als Gateways konzipiert. Doch durch die IoT-Funktionalitäten schlagen Drucker nun die Brücke zwischen öffentlichem Internet und internem Netzwerk. Diese werden nun auch von außen her anfällig, z. B. für DDoS-Angriffe (Distributed Denial of Service). Das Sicherheitsteam der NCC Group hat verschiedene Drucker von Ricoh, HP, Lexmark, Xerox und Kyocera getestet. Fast alle Geräte waren von Buffer-Overflow-Sicherheitslücken in der Webanwendung betroffen, die es einem Angreifer ermöglichen würde, einen Denial-of-Service-Angriff durchzuführen und möglicherweise einen beliebigen Code auf dem Gerät auszuführen. Immerhin konnten von fast allen Anbietern Updates bereitgestellt werden, um die aufgedeckten Schwachstellen zu schließen.
Die Ergebnisse der NCC Group stimmen mit der kürzlich veröffentlichten Microsoft-Studie überein, die zeigt, dass es zu immer mehr Missbrauchsfällen von IoT-Geräten kommt. Cyberkriminelle nutzen immer öfter diese künstlichen Gateways, um auf interne Firmennetzwerke zuzugreifen. Hierbei machen sie sich oftmals Unzulänglichkeiten bei einfachen Konfigurations- und Sicherheitseinstellungen zu nutze. „Diese einfachen Angriffe, die sich die Vorteile des schwachen Gerätemanagements zunutze machen, werden sich wahrscheinlich ausweiten, da immer mehr IoT-Geräte in Unternehmen eingesetzt werden“, betont das Cybersicherheitsteam von Microsoft. Viele Cyberkriminelle haben sich bereits darauf spezialisiert, Unternehmen über deren IoT-Geräte zu infiltrieren. So haben erst im April Sicherheitsexperten des Microsoft Threat Intelligence Center, eine der Cybersicherheitsabteilungen des Betriebssystemherstellers, die russische Hackergruppe Strontium bei dem Versuch entdeckt, Firmennetzwerke zu hacken.
Die auch unter den Namen APT28 oder Fancy Bear bekannte Gruppe, die dem russischen Geheimdienst GRU zugerechnet wird, versuchte sich über Drucker und VOIP-Telefone einen ersten Zugang zu Unternehmensnetzwerken zu verschaffen. Von dort aus sollte wohl versucht werden, an sensible Unternehmensdaten zu gelangen. Allerdings wurden diese Angriffe von Microsoft in einer frühen Phase identifiziert und blockiert, sodass nicht mehr bestimmt werden konnte, welche Daten genau das Ziel der Hacker waren. Dabei machten es die Unternehmen den Kriminellen denkbar einfach, so wurden etwa Passwörter des Geräteherstellers nicht geändert oder Sicherheitsupdates nicht aktualisiert. Für Firmen ist es daher unabdinglich, ein zentrales Konfigurations- und Patch-Management einzuführen und zu erfassen. Auch sollten alle IoT-Geräte auf anormales Verhalten bzw. Aktivitäten überwacht sowie Protokolle über den Geräteverkehr geführt werden. Des Weiteren ist es ratsam, IoT-Geräte niemals direkt mit dem Internet zu verbinden und benutzerdefinierte Zugangskontrollen einzuführen.
www.8com.de