Casino-Aquarium (IoT)
Über das vernetzte Thermometer eines Lobby-Aquariums sollen Angreifer High-Roller-Daten eines Casinos kopiert haben.
In der Lobby eines Casinos steht ein Aquarium — Temperatur und Fütterung regelt ein vernetztes Thermometer; berichtet hat den Fall die Sicherheitsfirma Darktrace.
In 30 Sekunden
2017 kamen Angreifer laut der Sicherheitsfirma Darktrace über das internetverbundene Thermometer eines Aquariums in der Lobby eines Casinos ins Firmennetz. Von dort fanden sie die Datenbank der High-Roller-Gäste — der besonders zahlungskräftigen Kundschaft — und schleusten rund 10 GB Daten hinaus, ausgerechnet über das Aquarium-Gerät zu einem Server im Ausland. Das Casino ist bis heute ungenannt, der Fall wird allein von der Sicherheitsfirma berichtet. Trotzdem ist er zum Sinnbild geworden: Jedes noch so harmlose IoT-Gadget ist ein vollwertiger Netzwerkteilnehmer.
Was geschah
2017
Ziel war laut der Sicherheitsfirma die Datenbank der High-Roller-Gäste eines nordamerikanischen Casinos; der Einstieg gelang über das vernetzte Steuergerät (Thermometer) eines Aquariums in der Lobby.
Der Angriffsweg
- Das smarte Aquarium: In der Casino-Lobby steht ein Aquarium, dessen internetverbundenes Steuergerät Temperatur, Fütterung und Reinigung regelt — bequem aus der Ferne wartbar.
- Einstieg über das Gadget: Laut der Sicherheitsfirma Darktrace verschafften sich Angreifer über dieses Gerät einen Fuss im Netzwerk des Casinos.
- Umsehen im Netz: Das Aquarium-Gerät hing nicht isoliert, sondern erreichte weitere interne Systeme — die Angreifer tasteten sich von dort durch das Netz.
- Fund der Beute: Sie entdeckten die Datenbank der High-Roller-Gäste, also der wichtigsten und zahlungskräftigsten Kundschaft des Hauses.
- Exfiltration über den Fisch-Tank: Rund 10 GB Daten flossen hinaus — über das Aquarium-Gerät zu einem Server im Ausland, laut Berichten in Finnland.
- Entdeckung durch Anomalie: Aufgefallen ist der ungewöhnliche Datenverkehr des Geräts selbst — ein Aquarium-Thermometer, das plötzlich Gigabytes sendet, ist hochverdächtig.
Auswirkung
Rund 10 GB Daten — laut der Sicherheitsfirma darunter die High-Roller-Datenbank — verliessen das Casino über ein Aquarium-Gerät. Für ein Casino sind das hochsensible Informationen: Wer viel Geld setzt, will nicht in fremden Händen auftauchen. Öffentlich beziffert wurden Name des Casinos und Folgeschäden nie; der eigentliche Schaden des Falls ist die Lehre, wie leicht ein Deko-Objekt zur Hintertür wird.
So schützt du dich
Fakten
- 2017 (öffentlich berichtet 2018)
- Bericht der Sicherheitsfirma Darktrace — das Casino ist ungenannt
- internetverbundenes Thermometer/Steuergerät eines Lobby-Aquariums
- Datenbank der High-Roller-Gäste
- rund 10 GB
- über das Aquarium-Gerät zu einem Server im Ausland
- jedes IoT-Gerät ist ein Netzwerkteilnehmer
Im Detail
Ein Aquarium als Netzwerkteilnehmer
Das Aquarium in der Casino-Lobby war modern ausgestattet: Ein internetverbundenes Steuergerät regelte Temperatur, Fütterung und Reinigung. Aus Sicht des Betreibers ein Stück Einrichtung — aus Sicht des Netzwerks aber ein vollwertiger Computer mit Internetanschluss. Genau diese Doppelrolle wird bei IoT-Geräten (Internet of Things, vernetzte Alltagsgeräte) regelmässig unterschätzt: Niemand käme auf die Idee, einen ungesicherten PC in die Lobby zu stellen — beim Aquarium tat man es faktisch doch.
Der Weg zur Datenbank
Laut der Sicherheitsfirma Darktrace nutzten die Angreifer das Aquarium-Gerät als Einstiegspunkt ins Casino-Netz. Weil das Gerät nicht in einem abgetrennten Netz hing, konnten sie sich von dort umsehen und stiessen auf die Datenbank der High-Roller — der Gäste mit den höchsten Einsätzen. Solche Listen sind für Kriminelle wertvoll: Sie verraten, wer viel Geld bewegt, und eignen sich für Betrug, Erpressung oder gezielte Angriffe auf die Betroffenen.
Der verräterische Datenstrom
Die Daten verliessen das Haus auf demselben Weg, auf dem die Angreifer gekommen waren: über das Aquarium-Gerät, hinaus zu einem Server im Ausland — laut Berichten in Finnland, insgesamt rund 10 GB. Genau darin liegt auch die Verteidigungschance: Ein Thermometer hat ein winziges, gleichförmiges Kommunikationsmuster. Sendet ein solches Gerät plötzlich Gigabytes an eine fremde Adresse, ist das eine der klarsten Anomalien, die ein Netzwerk-Monitoring erkennen kann.
Was gesichert ist — und was nicht
Wichtig zur Einordnung: Der Fall stammt aus Berichten der Sicherheitsfirma Darktrace, unter anderem öffentlich erzählt von deren Führungsspitze; das betroffene Casino wurde nie genannt und hat sich nie geäussert. Eine unabhängige Bestätigung gibt es nicht — deshalb heisst es hier bewusst «laut der Sicherheitsfirma». An der Kernlehre ändert das nichts, denn technisch ist der Weg völlig plausibel und wurde in ähnlicher Form vielfach beobachtet.
Lehren für Unternehmen und Zuhause
Erstens: IoT-Geräte gehören in ein eigenes, isoliertes Netz — im Unternehmen per Segmentierung, zu Hause etwa in ein Gäste-WLAN. Zweitens: Man kann nur schützen, was man kennt — eine vollständige Inventarliste aller vernetzten Geräte ist Pflicht. Drittens: Ausgehenden Verkehr überwachen und begrenzen; die meisten Gadgets brauchen nur wenige, bekannte Verbindungen. Wer diese drei Punkte umsetzt, macht aus dem Aquarium wieder das, was es sein soll: Dekoration.
