IoT Geräte sind eine lohnende Zielscheibe für Angreifer. Im Folgenden werden häufige Schwachstellen im Internet of Things erläutert. [...]
Das Internet der Dinge (IoT) bezeichnet im Wesentlichen die Vernetzung von Geräten und Anlagen, die über das Internet ausgelesen, identifiziert, lokalisiert, adressiert und/oder gesteuert werden können. Es umfasst sämtliche Geräte von Edge-Computing-Geräten bis hin zu Haushaltsgeräten, von tragbaren Produkten bis hin zu Autos. Das IoT steht für die Verschmelzung der physischen Welt mit der digitalen Welt.
Bis 2025 wird es voraussichtlich mehr als 30 Milliarden IoT-Verbindungen geben. Durchschnittlich rund 4 IoT-Geräte pro Person, hinzu kommen Billionen von Sensoren, die mit diesen Geräten verbunden sind und mit ihnen interagieren. Laut McKinsey wird das IoT bis zum Jahr 2025 einen wirtschaftlichen Mehrwert von 6,2 Billionen US-Dollar haben.
Mit der zunehmenden Verbreitung von IoT-Geräten wachsen jedoch auch die Sicherheitsprobleme. Die IoT-Datensicherheit ist keine leichte Aufgabe, insbesondere weil es so viele unterschiedliche Gerätetypen und Sicherheitsstandards gibt. Die gesamte IoT-Branche, angefangen bei den Herstellern bis hin zu den Nutzern, muss noch viele Sicherheitsherausforderungen bewältigen.
Nachfolgend 8 häufige Sicherheitsschwachstellen im Internet of Things:
Schwache Authentifizierung
Passwörter sind ein wichtiger Bestandteil der IoT-Sicherheit. Ist das Passwort eines IoT-Geräts nicht stark genug, ist das Gerät nicht sicher. Die meisten Standardpasswörter sind schwach und sollten daher umgehend geändert werden. Häufig sind sie sogar öffentlich zugänglich oder im Quellcode der Anwendung zu finden.
Schwache Authentifizierung ist ein ernstes IoT-Sicherheitsproblem. Hersteller können dazu beitragen, die Authentifizierung sicherer zu machen, indem sie starke Standardpasswörter verwenden und Parameter festlegen, die zu sicheren, vom Benutzer generierten Passwörtern führen.
Ganz gefährlich: Viele IoT-Geräte verfügen über gar keine Authentifizierung. Selbst wenn auf dem Gerät keine wichtigen Daten gespeichert werden, kann ein ungeschütztes IoT-Gerät als Gateway für ein ganzes Netzwerk dienen oder in ein Botnet integriert werden.
Wie dies aussehen kann, zeigen die nachfolgenden zwei Beispiele:
- 2016 infiziert eine Malware namens „Mirai“ knapp 300.000 unsichere IoT-Geräte und spannte ein Botnet auf. Das Botnet legte Twitter und andere prominente Plattformen per DDoS-Attacke für fast zwei Stunden lahm.
- 2017 nutzten Angreifer eine Schwachstelle eines Aquarium-Thermometers (mit Internetanschluss) aus, um in das Netzwerk eines nordamerikanischen Casinos einzudringen. Die Hacker konnten zehn Gigabyte an Daten aus dem Casino stehlen.
Wenig Rechenleistung / Speicher
Die meisten IoT-Geräte haben wenig Rechenleistung und Speicher. Das senkt zwar die Kosten und verlängert die Akkulaufzeit, kann aber auch dazu führen, dass sie nur schwer Over-the-Air (OTA) aktualisiert werden können. Gleichzeitig kann das Gerät keine Sicherheitsfunktionen wie Firewalls, Virenscanner und End-to-End-Verschlüsselung nutzen. Das macht sie zu einem leichten Ziel für Hackerangriffe.
Hier ist es wichtig, dass das Netzwerk selbst über entsprechende Sicherheitsfunktionen verfügt.
Unsichere Update-Mechanismen
Um die Sicherheit von IoT-Geräten dauerhaft zu gewährleisten, ist es wichtig, regelmäßig Patches und Updates einzuspielen. Häufig fehlen Mechanismen zum sicheren Einspielen von Updates. Es muss sichergestellt werden, dass die Vertraulichkeit, die Integrität und die Verfügbarkeit der Updates immer gewährleistet ist.
Updates sollten mit kryptografischen Signaturen versehen werden, die mit öffentlichen Schlüsseln verschlüsselt sind. Kryptografische Signaturen ermöglichen die Verteilung von Updates über nicht vertrauenswürdige Kanäle, wie z. B. Content Delivery Network (CDN), Peer-to-Peer oder Machine-to-Machine (M2M).
Geräte sollten kryptografische Zertifikate immer überprüfen und Updates verwerfen, die nicht ordnungsgemäß übermittelt oder signiert wurden.
Veraltete Anlagen
Wurde eine Anlage eigentlich nicht für die Cloud-Konnektivität konstruiert, ist sie in der Regel nicht für moderne IT-Angriffe gerüstet. Ältere Anlagen zum Beispiel sind häufig nicht mit neueren Verschlüsselungsstandards kompatibel.
Ohne wesentliche technische Modifizierungen ist es riskant, alte Anlagen internetfähig zu machen. Doch bei alten Anlagen ist das meist gar nicht so einfach möglich. Sie wurden über Jahre (möglicherweise sogar Jahrzehnte) entwickelt und optimiert. Kleine Sicherheitsverbesserungen führen zwangsläufig zu einem enormen Aufwand.
Fehlende Verschlüsselung
Viele IoT-Geräte verschlüsseln die übertragenen Daten nicht. Jemand, der in das Netzwerk eindringt, kann Anmeldedaten und andere wichtige Informationen abfangen.
Unsichere Protokolle
Einige Protokolle – wie z. B. Telnet, RTP (Real-Time Transport Protocol), RTSP (Real-Time Streaming Protocol) und RTCP (Real-Time Control Protocol) – sind inzwischen veraltet. Dennoch nutzen IoT-Geräte häufig solche unsicheren Protokolle.
Fehlender Schutz vor physischen Angriffen
IoT-Geräte werden häufig an öffentlichen oder leicht zugänglichen Orten eingesetzt. IoT-Geräte bieten meist keinen oder nur einen geringen Schutz vor physischen Angriffen. Vorhandene Schutzmaßnahmen innerhalb der Geräte können so umgangen werden.
Alle Test- oder Debugging-Schnittstellen sollten deaktiviert werden. Wo immer möglich sollten Hardware-Sicherheitsmodule (HSM), vertrauenswürdige Plattformmodule (TPM) und kryptografische Koprozessoren genutzt werden.
Mangel an Bewusstsein für IoT-Sicherheit
Im Laufe der Jahre haben Internetnutzer gelernt, wie man Spam- oder Phishing-E-Mails erkennt, wie man ein Antivirenprogramm & eine Firewall installiert und wie man ein WiFi-Netzwerk mit einem starken Passwort schützt. Das Internet der Dinge (IoT) ist eine neue Technologie, über die die meisten Menschen noch nicht viel wissen. Zahlreiche IoT-Sicherheitsrisiken sind auf der Herstellerseite zu finden, doch viele Cyberangriffe sind nur deshalb erfolgreich, weil es den Opfern an Bewusstsein für IoT-Sicherheit mangelt.
Anwender müssen begreifen, dass mit dem neuen Grad an Vernetzung auch ein enormes Potential für Sicherheitsbedrohungen entsteht.
*René Hifinger beschäftigt sich seit Jahren mit den Themen IT-Sicherheit, Datenschutz und neue Technologien. Er betreibt das Portal bleib-Virenfrei.de
Be the first to comment