Spam ist nur dann besonders gut, wenn er frisch ist. Das müssen sich wohl ein paar Botnetz-Betreiber gedacht haben. Denn - ob wissentlich oder nicht - sie haben auch einen modernen Kühlschrank mit Internetanschluss für den Versand der unerwünschten Mails missbraucht. Doch nicht nur den. Rund 450.000 Geräte identifizierten Sicherheitsforscher des amerikanischen Unternehmens Proofpoint in einem Botnetz. Überraschend war: Bei einem Viertel der Geräte handelte es sich nicht um PCs, Laptops oder Server, sondern um sonstige internetfähige Geräte, wie man sie dem sogenannten Internet der Dinge zuordnet, erklärt David Knight, Leiter der Abteilung für Informationssicherheit bei Proofpoint.
"Der Kühlschrank ist besonders bemerkenswert. Aber wir haben auch drahtlose Lautsprecher, Überwachungskameras, jede Menge Router oder ganz spezielle Festplatten-Videorekorder gesehen."
Proofpoint hat die Spam-Welle eigenen Angaben nach im Dezember während der Feiertage entdeckt. Da der entsprechende Analyst die Quelle nicht kannte und gerade genug Zeit hatte, ging er dem Fall nach und stieß auf eben jene große Anzahl der Nicht-PC-Geräte. Allen gemein sei ein eingebettetes Linux-System gewesen. Und diese Maschinen seien für den Spam-Versand gekapert worden. Dafür brauchten die Angreifer wohl noch nicht einmal Schadsoftware verteilen, erklärt David Knight.
"Es gibt viele Wege eine Maschine zu unterwandern. Man kann Schadsoftware installieren. Bei solch eingebetteten Systemen ist es aber einfacher, einfach die laufenden Dienste zu kapern und zu nutzen."
An diese Dienste wiederum seien die Angreifer ganz einfach herangekommen. Unter anderem seien viele der missbrauchten Geräte ohne Passwort-Schutz gewesen oder hätten die Standardkombination des jeweiligen Herstellers aus Passwort und Benutzernamen verwendet, so Proofpoint. Diese und weitere Schwachstellen nutzten die Botnet-Betreiber dann aus und leiteten ihre Spam-Mails über die Geräte. Allerdings sei die Zahl der versendeten Mails sehr gering, gibt Thorsten Holz zu bedenken. Der Professor für Systemsicherheit an der Ruhr-Universität Bochum stört sich an der vergleichsweise geringen Zahl von nur 750‘000 versendeten Mails - also nur ein bis zwei Mails pro Gerät.
"Wir haben in verschiedenen Studien verschiedene Arten von Spam-Botnetzen untersucht und dort herausgefunden, dass die großen Spam-Botnetze typischerweise viele Millionen Spam-E-Mails pro Stunde verschicken. Also beispielsweise in einer Studie hatten wir ein Botnetz beobachtet, dass pro Stunde zwischen 100 und 150 Millionen Spam-E-Mails verschickt hat."
Im globalen Vergleich seien die von Proofpoint aufgedeckten Spammer somit zu vernachlässigen. Und darum unterstellt Thorsten Holz dem Unternehmen, die Untersuchung auch aus Merketing-Gründen veröffentlicht zu haben. Trotzdem sei es gut, dass es die Veröffentlichung gegeben habe:
"Weil sie demonstriert, dass eben auch nicht herkömmliche PCs nur zum Versand von Spam-Mails verwendet werden, sondern die Angreifer eben auch solche Nicht-PC-Geräte nutzen, wie zum Beispiel irgendwelche Settop-Boxen."
Während PCs, Laptops und Server mittlerweile immer besser gegen Angreifer gesichert werden, sind die internetfähigen Geräte meist noch vergleichsweise schwach geschützt. Und die Anzahl dieser Geräte wächst.
"Vermutlich wird das in Zukunft noch weiter zunehmen, weil einfach mittlerweile mehr und mehr Geräte einfach mit dem Netz verbunden werden. Der berühmte Kühlschrank oder auch die Glühbirne, die dann eben per IP-Adresse angesprochen werden kann, damit man sie irgendwie fernsteuern kann. Entsprechend wird es in Zukunft noch mehr sein und dadurch vergrößert sich natürlich auch die Angriffsfläche, weil die Angreifer natürlich versuchen können, irgendwie Zugriff auf solche Systeme zu bekommen und dann entweder Zugriff auf die Daten bekommen oder auf die Rechenpower, um einfach solche Geräte eben auch zu missbrauchen."
Erklärt Thorsten Holz. Anwender können nur wenig dagegen tun. Oft fällt es ihnen schwer, einzuschätzen, wie gut ihre Geräte gegen Angriffe geschützt sind. Sie können gerade einmal das Passwort ändern. Danach wird es in vielen Fällen für Otto-Normal-Bürger zu komplex. Anders hingegen bei den Herstellern.
"Was die Hersteller allerdings tun müssen, ist schon im Entwicklungsprozess möglichst, frühzeitig Sicherheitsaspekte einzubringen. Dass sie sich schon in der Designphase überlegen, was für Angriffe sind möglich? Wie kann ich diese verhindern? Und dann eben auch während der ganzen Entwicklung und später sobald das Produkt fertiggestellt ist, dann auch während der Tests, einfach dauernd Sicherheitsüberpüfungen durchführen, um so einfach mögliche Angriffe sehr frühzeitig zu entdecken. Weil je früher man einen Fehler entdeckt, desto einfacher und kostengünstiger ist er eben zu reparieren."
Sollte das Umdenken bei den Hersteller nicht einsetzen, werden sich Online-Kriminelle vermehrt den vernetzten Dingen im Internet zuwenden.