DIN SPEC 27072: Was macht sie so interessant?
Inhaltsverzeichnis
Durch die neue DIN SPEC 27072 reduzieren sich die Risiken für Hackerangriffe auf Webserver und auf Websites. Ihre Anforderungen verringern vor allem die Gefahr von DDoS-Attacken. Noch bis vor einigen Jahren mussten Webserver „nur“ gegen Hackerangriffe von klassischen Rechnern geschützt werden. Danach kamen die mobilen Endgeräte in Form der Smartphones und Tablets hinzu. Die DIN SPEC 27072 zielt auf eine Verbesserung der Sicherheit einer ganzen Palette von Gerätetypen ab.
Wie schaltet die neue Norm für IoT-fähige Geräte Risiken aus?
Das Kürzel IoT steht für das „Internet of Things“. Dazu gehören alle mit dem Internet verbundenen Geräte. Die Palette beginnt beim Smart TV und setzt sich über die Steuerung der Heizung bis hin zu elektronischen Schlössern fort. Die Nutzer selbst sorgen häufig dafür, dass Hacker gute Chancen haben. Sie vergessen, dass sie mit der Beibehaltung der herstellerseitig gesetzten Standardpasswörter ein erhebliches Sicherheitsrisiko eingehen. Dort schiebt die DIN SPEC 27072 einen wirksamen Riegel vor. Die Hersteller müssen ihre Firmware künftig so gestalten, dass eine Inbetriebnahme der Geräte nur mit einem geänderten Passwort möglich ist. Die neue DIN SPEC 27072 verpflichtet die Hersteller außerdem zur Nutzung kryptografischer Verfahren zur Speicherung der Passwörter. Dabei verweist die Norm explizit auf die Richtlinie BSI TR-02102. Ergänzend resultiert aus der neuen Norm für IoT-fähige Geräte ein Zwang zur automatisierten Installation von Sicherheitsupdates.
Was hat die DIN SPEC 27072 mit Websites zu tun?
Ein Großteil der Hackerattacken auf Websites nutzt das DDoS-Prinzip. Mit riesigen Botnetzen starten sie Massenanfragen, um die Server zu überlasten, auf denen die Websites liegen. Das heißt, sie können die Inhalte bei normalen Aufrufen über die SERPs der Suchmaschinen nicht mehr ausliefern. Für die Ausführung solcher DDoS-Calls kommen inzwischen alle Geräte in Frage, die zum Internet of Things gehören. Eine Überlastung der Prozessoren und der RAM der Webserver öffnet den Hackern außerdem Hintertüren zur Einschleusung von Schadcode. Die DIN SPEC 27072 macht den Hackern den Zugriff auf IoT-fähige Geräte schwerer. Dadurch verhindert sie ein weiteres Wachstum der für DDoS-Attacken nutzbaren Botnetze.
Sind die Gefahren durch IoT-fähige Geräte realistisch?
Das beste Beispiel für das Potential solcher Angriffsszenarien ist die Malware „Mirai“. Aktuellen Schätzungen zufolge ist sie auf mehr als drei Millionen IoT-fähigen Geräten weltweit aktiv. Schon kurz nach der Entdeckung der Malware im Jahr 2016 gingen die Sicherexperten von einer halben Million infizierter Geräte der Kategorie Internet of Things aus. Im Herbst 2016 griffen die Urheber des „Mirai“-Botnetzes DNS-Server erfolgreich an. Die Folge war ein zeitweiser Ausfall der Websites von Spotify, Netflix, Amazon und Twitter. Auch die Deutsche Telekom war 2016 ein Opfer von „Mirai“. Das heißt, die von IoT-fähigen Endgeräten ausgehende Gefahr für Websites ist sehr real. Die Einführung der DIN SPEC 27072 bedeutet deshalb bei einer konsequenten Anwendung eine Entlastung der Administratoren von Websites und Webservern.