Ein neuer Leitfaden mit Empfehlungen für ISP, der in diesem Monat von
LACNOG und M3AAWG herausgegeben wurde, definiert grundlegende
Sicherheitskriterien für Router und andere Teilnehmer-Endgeräte (CPE,
von Customer Premise Equipment) und soll dazu beitragen,
Internetanschlüsse vor häufigen Angriffen wie insbesondere DoS-Attacken
durch Missbrauch der erwähnten Geräte zu schützen. Die Leitlinien werden
die Sicherheitsbemühungen der Internetdienstanbieter verstärken, indem
sie die Anforderungen an die an ihre Netze angeschlossenen
Hardwaregeräte festlegen, die bei Nichtbeachtung der grundlegenden
Sicherheitsvorkehrungen ausnutzbar sind.
Diese Pressemitteilung enthält multimediale Inhalte. Die vollständige Mitteilung hier ansehen:
https://www.businesswire.com/news/home/20190602005016/de/
Der Leitfaden mit bewährten Verfahren wird unter dem Titel „LACNOG-M3AAWG
Joint Best Current Operational Practices on Minimum Security
Requirements for Customer Premises Equipment (CPE) Acquisition“
herausgegeben und derzeit in mehrere Sprachen übersetzt, sodass er von
ISPs auf der ganzen Welt genutzt werden kann. Als Herausgeber fungieren
die Latin American and Caribbean Network Operators Group und die
Messaging, Malware and Mobile Anti-Abuse Group, verfügbar ist der
Leitfaden unter www.lacnog.net/docs/lac-bcop-1
und www.m3aawg.org/CPESecurityBP
oder in übersetzten Versionen unter https://www.m3aawg.org/published-documents.
Die empfohlenen Sicherheitseinstellungen und -funktionen beruhen auf
Branchenerfahrungen und sind zur Verhinderung von DoS-Attacken (Denial
of Service) auf gefährdete Netzinfrastruktur- und IdD-Geräte (Internet
der Dinge) sowie von Infektionen mit Malware unerlässlich. Eine
Anforderungstabelle wird bereitgestellt, damit ISP die
Sicherheitsempfehlungen für ihre eigenen Netzwerke den CPE-Herstellern
in einem übersichtlichen Format vorlegen können.
Weltweite Anstrengungen zur Verstärkung der Onlinesicherheit
Zurzeit sind portugiesische, spanische, französische, deutsche und
japanische Übersetzungen des Dokuments in Bearbeitung, wobei davon
ausgegangen wird, dass später noch weitere Sprachen hinzukommen. Die
Übersetzungen des Leitfadens werden weltweit ein nützliches Instrument
für ISP darstellen, die damit Anforderungen an
Sicherheitsstandardeinstellungen auf den Teilnehmer-Endgeräten festlegen
können, die an ihre Netzwerke angeschlossen werden, wie die Verfasserin
des Dokuments, Lucimara Desiderá, anmerkt. Desiderá ist Vorsitzende der
lateinamerikanischen und karibischen Anti-Missbrauchs-Arbeitsgruppe
(LAC-AAWG) und Sicherheitsanalytikerin bei CERT.br (Nationales
brasilianisches Computer-Notfallteam).
„Für Computersicherheit zuständige Ereignis- und Reaktionsteams in
Lateinamerika haben die mangelhafte CPE-Sicherheit als schwerwiegendes
Problem bei Angriffen in den letzten Jahren identifiziert. Dieser neue
Leitfaden macht es den ISP leichter, mit CPE-Anbietern zu verhandeln,
damit gewährleistet werden kann, dass die Geräte, die an ihre Netzwerke
angeschlossen werden, minimalen Sicherheitsanforderungen entsprechen,
was die Anzahl und Intensität der Angriffe auf das Internet insgesamt
und damit auch die negativen Auswirkungen auf den Betrieb der ISP
reduzieren wird“, so Desiderá.
Abgedeckt werden Themen wie Dokumentation und Kontaktinformationen von
Herstellern, Softwaresicherheit, Remote-Aktualisierungen und
Geräteverwaltungsfunktionen, bevorzugte Standardkonfigurationen sowie
Supportrichtlinien in Bezug auf die Behebung von Sicherheitslücken. Hier
einige Empfehlungen:
-
Passwörter sollten nicht fest in die Firmware programmiert sein,
müssen änderbar sein und Lieferanten sollten nicht für alle Geräte das
gleiche Standardpasswort verwenden. -
Es muss eine Vorrichtung für regelmäßige Remote-Aktualisierungen der
Software geben, einschließlich einer Methode zur Überprüfung der
Authentizität der für die Aktualisierungen herunterzuladenden Dateien. - Die Geräte müssen restriktiv und nicht permissiv konfiguriert werden.
Als Beispiel für das Ausmaß des Problems kann darauf hingewiesen werden,
dass die Schadsoftware Mirai, die für mehrere Großangriffe auf Websites
verantwortlich ist, eine Tabelle mit mehr als 60 verbreiteten
Benutzernamen und Passwörtern für Werkseinstellungen enthält, mit deren
Hilfe unerlaubterweise auf Überwachungskameras, Netzwerkrouter und
andere IdD-Geräte zugegriffen werden kann. Die neuen Empfehlungen würden
diese Login-Tabelle unwirksam machen, meint Severin Walker, der
Vorsitzende des Board of Directors von M3AAWG.
Walker fährt fort: „Die Zusammenarbeit zwischen M3AAWG,
LACNOG und der für dieses Dokument zuständigen Arbeitsgruppe aus
Lateinamerika und der Karibik war teilweise deshalb eine Priorität, weil
wir laufend mit regionalen Netzbetreibern und ihren Ereignis- und
Reaktionsteams zusammenarbeiten, um globale Bedrohungen der
Kommunikationssicherheit zu adressieren. Wichtig war sie aber auch
deshalb, weil wir weiter daran arbeiten müssen, wie sich unsere
Mitglieder mit der Sicherheit in Bezug auf IdD-, Mobil- und andere
Geräte auf Endverbraucherseite befassen, damit die immer umfangreicher
werdenden Angriffe, die von diesen Geräten ausgehen, verhindert werden
können.“
Das Dokument mit bewährten Verfahren wurde von LACNOG
und M3AAWG
entwickelt und bei der Jahresversammlung der LACNIC (LACNIC 31) am
8. Mai in der Dominikanischen Republik vorgestellt. Es beruht auf den
Fachkenntnissen der LACNOG-Arbeitsgruppen LAC-AAWG
und der BCOP-Arbeitsgruppe
in Zusammenarbeit mit Mitgliedern der M3AAWG, ihren leitenden
technischen Beratern und dem technischen Komitee der M3AAWG.
Über LACNOG
LACNOG (www.lacnog.net)
steht für Latin American and Caribbean Network Operators Group, die
Gruppierung der Netzbetreiber aus Lateinamerika und der Karibik, deren
Struktur ein Board of Directors, ein Programmkomitee sowie
Arbeitsgruppen umfasst. Sie bietet eine Umgebung, in der Netzbetreiber
und interessierte Parteien ihre Erfahrungen und Kenntnisse über
Verteilerlisten, Arbeitsgruppen und jährliche Versammlungen austauschen
können. LACNOG fördert auch lokale Netzbetreibergruppen (Network
Operators Groups, kurz NOGs) und Peering-Foren, die Entwicklung und
Übernahme von bewährten Methoden sowie fachspezifische
Bildungsveranstaltungen und Kurse.
Über die Messaging, Malware and Mobile Anti-Abuse Working Group
(M3AAWG)
In der Arbeitsgruppe Messaging, Malware and Mobile Anti-Missbrauch (M3AAWG)
trifft sich die Branche, um gegen Bots, Malware, Spam, Viren,
Denial-of-Service-Angriffe und andere Online-Verwertungen vorzugehen. M3AAWG
(www.m3aawg.org)
Mitglieder repräsentieren mehr als zwei Milliarden Briefkästen von
einigen der größten Netzbetreiber weltweit. Die Gruppe nutzt die Tiefe
und Erfahrung ihrer globalen Mitgliedschaft, um den Missbrauch in
bestehenden Netzwerken und neu entstehenden Diensten durch Technologie,
Zusammenarbeit und öffentliche Ordnung zu bekämpfen. Sie beschäftigt
sich auch mit der Aufklärung von Entscheidungsträgern in aller Welt über
die technischen und operativen Aspekte von Online-Angriffen und
Datenübermittlung. Die M3AAWG mit Hauptsitz in der
kalifornischen Metropole San Francisco wird von Markterfordernissen
gesteuert und von großen Netzbetreibern und Messaging-Anbietern
unterstützt.
Board of Directors und Sponsoren der M3AAWG: 1 & 1
Internet SE, Adobe Systems Inc., AT&T Comcast, Endurance
International Group, Facebook, Google Inc., LinkedIn, Mailchimp, Marketo
Inc., Microsoft Corp., Orange, Proofpoint, Rackspace, Return Path Inc.,
SendGrid Inc., Vade Secure, Valimail, VeriSign Inc. und Verizon Media
(Yahoo & AOL).
Ordentliche Mitglieder der M3AAWG: Agora
Inc., Broadband Security Inc., Campaign Monitor, Cisco Systems Inc.,
CloudFlare Inc., dotmailer, eDataSource Inc., ExactTarget Inc., IBM,
iContact, Internet Initiative Japan (IIJ), Liberty Global, Listrak,
Litmus, McAfee, Mimecast, Oracle Marketing Cloud, OVH, Spamhaus, Splio,
Symantec, USAA und Wish.
Eine vollständige Liste der Mitglieder findet sich unter http://www.m3aawg.org/about/roster.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist
die offizielle und autorisierte Version. Übersetzungen werden zur
besseren Verständigung mitgeliefert. Nur die Sprachversion, die im
Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb
Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20190602005016/de/