Japan untersucht das eigene Internet auf anfällige IoT-Geräte

Die japanische Regierung will wissen, wie viele anfällige IoT-Geräte sich in den Netzwerken des Landes befinden. Dazu sollen alle unverschleierten inländischen IP-Adressen gescannt werden.

Hacker versuchen ständig, unzureichend gesicherte IoT-Geräte zu manipulieren, indem sie nach geöffneten Ports suchen und testen, ob sie sich über eines der vielen geläufigen Passwörter Zugang verschaffen können. Dieselbe Methode wird jetzt von der japanischen Regierung eingesetzt.

Botnetze sind eine der gravierendsten Gefahren in der modernen IT-Landschaft. Botnetze an sich sind kein neues Phänomen, aber in früheren Zeiten bestanden sie aus Malware-verseuchten Zombie-Rechnern. Mit dem Aufkommen des Internets der Dinge (IoT) jedoch verlagerte sich der Schwerpunkt von klassischen Endpunkten hin zu IoT-Geräten, denn davon gibt es viel mehr, und inzwischen verfügen sie auch über die nötige Rechenleistung.

Das japanische National Institute of Information and Communications Technology hat jetzt die Ergebnisse ihrer Untersuchung für das Jahr 2019 veröffentlicht. Auf den ersten Blick scheint die Situation nicht so schlimm zu sein, wie man vielleicht befürchten könnte, aber leider ist das nur die Spitze des Eisbergs.

Die Untersuchung der rund 100 Millionen IPv4-Adressen war nur unter Mithilfe eines Großteils der Internetanbieter Japans möglich. Die Bevölkerung wurde über den Test nicht informiert, aus Sorge, die Testergebnisse zu verfälschen.

Es gibt also gute und schlechte Nachrichten. Die gute ist, dass nur bei etwa 100.000 Geräten eine Anmeldung übers Internet überhaupt möglich war und nur bei 2249 davon schwache Passwörter funktionierten. Verwendet wurde die Methode des sog. Credential Stuffing, bei der an anderer Stelle erbeutete Zugangsdaten aufs Geratewohl probiert werden. Konkret wurden die 100 am häufigsten verwendeten Zugangsdaten durchprobiert.

Die schlechte Nachricht ist, dass das Credential Stuffing nur eine der vielen Methoden von Cyberkriminellen ist, die es auf IoT-Geräte abgesehen haben. Nur weil ein Gerät einen ungewöhnlichen Benutzernamen und ein sicheres Passwort hat, heißt das noch nicht, dass es nicht Opfer eines Cyberangriffs werden kann.  Die tatsächliche Anzahl gefährdeter IoT-Geräte dürfte also deutlich größer sein.

Außerdem ist Japans Projekt erst zur Hälfte abgeschlossen und berücksichtigt diverse andere relevante Faktoren nicht. Nicht zuletzt lässt es auch die aktuelle Situation außer Acht, in der deutlich mehr Menschen von zu Hause aus arbeiten.