Samstag, 5. Oktober 2019

Internet of Things, DDoS -- wie können Staaten sinnvoll regulieren?
(original gepostet 30.03.2017 auf Google+)


Die Rufe werden lauter, Staaten müssten Hersteller und Vertreiber von IoT-Geräten mehr in die Pflicht nehmen, ihre Produkte sicherer zu machen (typische Unsicherheitsfaktoren sind Standardpasswörter und ausbleibende Security-Updates). Es werden meist zwei Gründe genannt:

1. Unsichere IoT-Geräte liefern deren Benutzer schutzlos kriminellen Angriffen aus.
2. Unsichere IoT-Geräte sind in der Masse eine Gefahr für die Internet-Infrastruktur.

Schauen wir uns zuerst diese Gründe an. Das erste ist zwar richtig, aber der mündige Bürger kauft die Geräte doch schließlich selbst. Niemand zwingt ihn dazu, unsichere Geräte in seinem Netzwerk zu betreiben. Sicherheit ist ein Qualitätsmerkmal -- wer dafür nicht bereit ist, etwas tiefer in die Tasche zu greifen, der muss dann auch mit den Konsequenzen leben. Der Staat muss nicht immer und überall den Bürger vor sich selbst schützen. Es gibt sicherlich Dinge, bei denen das angebracht sein kann (z. B. Rentenversicherungspflicht, Anschnallpflicht, ...), aber bei IoT-Geräten sehe ich eine solche Bedeutung nicht. Bei weitem nicht.

Das zweite allerdings ist absolut richtig. Unsichere IoT-Geräte sind zweifelsohne eine Gefahr für die Internet-Infrastruktur. Ein Angreifer kann möglichst viele dieser Geräte unter Kontrolle bringen, sie missbrauchen und mithilfe eines DDoS-Angriffs signifikante Teile der Internet sabotieren.

Nur: Das zeigt wo der Fokus liegen sollte, und zwar bei der Bekämpfung von DDoS-Angriffen. Die Regulierung von IoT-Geräten kann dabei ein Mittel sein, aber es lohnt sich zuerst auch ein Blick darauf zu werfen, ob es nicht einfachere und effektivere Maßnahmen gegen DDoS-Angriffe gibt, die man vor einer IoT-Regulierung angehen kann. Denn über eines sollte man sich bewusst sein, eine IoT-Regulierung ist ein Monstrum. Ich will jetzt hier nicht auf Details eingehen, empfehle diesen Artikel[1] von Bruce Schneier, der eine solche Regulierung fordert, und eine Antwort[2] darauf. Meine Prognose ist, dass das so schnell nichts wird, bis man sich bei dieser komplexen Frage national und international auf eine halbwegs vernünftige Lösung einigte.

Wesentlich einfacher und effektiver dagegen wäre es, das Problem DDoS-Angriffe erst mal von einer anderen Seite anzugehen: Internetprovider dazu verpflichten, BCP38[3] umzusetzen. Das wäre eine Vorgabe, die der Gesetzgeber relativ leicht und eindeutig formulieren sowie Internetprovider relativ leicht umzusetzen können. Es wäre auch mit keinen oder nur vernachlässigbaren Nebeneffekten zu rechnen. Es gibt, außer Bequemlichkeit, keinen Grund warum Internetprovider BCP38 nicht umsetzen sollten.
Man ist hier bei der Durchsetzung zwar auf den eigenen Rechtsraum beschränkt, aber dieses Problem hat man bei einer Regulierung von IoT-Geräten ja auch -- hier und dort muss man darauf setzen, dass andere dem guten Beispiel folgen werden.

Hier noch kurz der technische Hintergrund, warum BCP38 so wichtig ist: Die meisten DDoS-Angriffe beruhen darauf, dass die Source-Adresse der erzeugten Pakete gefälscht werden. Das hat für den Angreifer im Wesentlichen zwei Vorteile:
1. Er benutzt die Source-Adresse des Opfers, damit dieses die Antworten und somit den Traffic abbekommt.
2. Er benutzt wechselnde Source-Adressen, um Abwehrmechanismen auszuhebeln.
Wird dem Angreifer diese Möglichkeit genommen, dann werden Angriffe sehr viel schwerer und Verteidigungsmassnahmen sehr viel einfacher. Wer das Problem pragmatisch angehen will, der muss hier ansetzen.


[1] https://www.schneier.com/essays/archives/2016/11/your_wifi-connected_.html
[2] http://joshuafoust.com/how-not-to-regulate-the-internet/
[3] http://www.bcp38.info/index.php/Main_Page

Keine Kommentare:

Kommentar veröffentlichen