24. April 2024

Häufige Sicherheitsschwachstellen im Internet of Things

IoT Geräte sind eine lohnende Zielscheibe für Angreifer. Im Folgenden werden häufige Schwachstellen im Internet of Things erläutert. [...]

Das Internet der Dinge (IoT) bezeichnet im Wesentlichen die Vernetzung von Geräten und Anlagen, die über das Internet ausgelesen, identifiziert, lokalisiert, adressiert und/oder gesteuert werden können. Es umfasst sämtliche Geräte von Edge-Computing-Geräten bis hin zu Haushaltsgeräten, von tragbaren Produkten bis hin zu Autos. Das IoT steht für die Verschmelzung der physischen Welt mit der digitalen Welt.

Bis 2025 wird es voraussichtlich mehr als 30 Milliarden IoT-Verbindungen geben. Durchschnittlich rund 4 IoT-Geräte pro Person, hinzu kommen Billionen von Sensoren, die mit diesen Geräten verbunden sind und mit ihnen interagieren. Laut McKinsey wird das IoT bis zum Jahr 2025 einen wirtschaftlichen Mehrwert von 6,2 Billionen US-Dollar haben.

Mit der zunehmenden Verbreitung von IoT-Geräten wachsen jedoch auch die Sicherheitsprobleme. Die IoT-Datensicherheit ist keine leichte Aufgabe, insbesondere weil es so viele unterschiedliche Gerätetypen und Sicherheitsstandards gibt. Die gesamte IoT-Branche, angefangen bei den Herstellern bis hin zu den Nutzern, muss noch viele Sicherheitsherausforderungen bewältigen.

Nachfolgend 8 häufige Sicherheitsschwachstellen im Internet of Things:

Schwache Authentifizierung

Passwörter sind ein wichtiger Bestandteil der IoT-Sicherheit. Ist das Passwort eines IoT-Geräts nicht stark genug, ist das Gerät nicht sicher. Die meisten Standardpasswörter sind schwach und sollten daher umgehend geändert werden. Häufig sind sie sogar öffentlich zugänglich oder im Quellcode der Anwendung zu finden.

Schwache Authentifizierung ist ein ernstes IoT-Sicherheitsproblem. Hersteller können dazu beitragen, die Authentifizierung sicherer zu machen, indem sie starke Standardpasswörter verwenden und Parameter festlegen, die zu sicheren, vom Benutzer generierten Passwörtern führen.

Ganz gefährlich: Viele IoT-Geräte verfügen über gar keine Authentifizierung. Selbst wenn auf dem Gerät keine wichtigen Daten gespeichert werden, kann ein ungeschütztes IoT-Gerät als Gateway für ein ganzes Netzwerk dienen oder in ein Botnet integriert werden.

Wie dies aussehen kann, zeigen die nachfolgenden zwei Beispiele:

2016 infiziert eine Malware namens „Mirai“ knapp 300.000 unsichere IoT-Geräte und spannte ein Botnet auf. Das Botnet legte Twitter und andere prominente Plattformen per DDoS-Attacke für fast zwei Stunden lahm.
2017 nutzten Angreifer eine Schwachstelle eines Aquarium-Thermometers (mit Internetanschluss) aus, um in das Netzwerk eines nordamerikanischen Casinos einzudringen. Die Hacker konnten zehn Gigabyte an Daten aus dem Casino stehlen.

Wenig Rechenleistung / Speicher

Die meisten IoT-Geräte haben wenig Rechenleistung und Speicher. Das senkt zwar die Kosten und verlängert die Akkulaufzeit, kann aber auch dazu führen, dass sie nur schwer Over-the-Air (OTA) aktualisiert werden können. Gleichzeitig kann das Gerät keine Sicherheitsfunktionen wie Firewalls, Virenscanner und End-to-End-Verschlüsselung nutzen. Das macht sie zu einem leichten Ziel für Hackerangriffe.

Hier ist es wichtig, dass das Netzwerk selbst über entsprechende Sicherheitsfunktionen verfügt.

Unsichere Update-Mechanismen

Um die Sicherheit von IoT-Geräten dauerhaft zu gewährleisten, ist es wichtig, regelmäßig Patches und Updates einzuspielen. Häufig fehlen Mechanismen zum sicheren Einspielen von Updates. Es muss sichergestellt werden, dass die Vertraulichkeit, die Integrität und die Verfügbarkeit der Updates immer gewährleistet ist.

Updates sollten mit kryptografischen Signaturen versehen werden, die mit öffentlichen Schlüsseln verschlüsselt sind. Kryptografische Signaturen ermöglichen die Verteilung von Updates über nicht vertrauenswürdige Kanäle, wie z. B. Content Delivery Network (CDN), Peer-to-Peer oder Machine-to-Machine (M2M).

Geräte sollten kryptografische Zertifikate immer überprüfen und Updates verwerfen, die nicht ordnungsgemäß übermittelt oder signiert wurden.

Veraltete Anlagen

Wurde eine Anlage eigentlich nicht für die Cloud-Konnektivität konstruiert, ist sie in der Regel nicht für moderne IT-Angriffe gerüstet. Ältere Anlagen zum Beispiel sind häufig nicht mit neueren Verschlüsselungsstandards kompatibel.

Ohne wesentliche technische Modifizierungen ist es riskant, alte Anlagen internetfähig zu machen. Doch bei alten Anlagen ist das meist gar nicht so einfach möglich. Sie wurden über Jahre (möglicherweise sogar Jahrzehnte) entwickelt und optimiert. Kleine Sicherheitsverbesserungen führen zwangsläufig zu einem enormen Aufwand.

Fehlende Verschlüsselung

Viele IoT-Geräte verschlüsseln die übertragenen Daten nicht. Jemand, der in das Netzwerk eindringt, kann Anmeldedaten und andere wichtige Informationen abfangen.

Unsichere Protokolle

Einige Protokolle – wie z. B. Telnet, RTP (Real-Time Transport Protocol), RTSP (Real-Time Streaming Protocol) und RTCP (Real-Time Control Protocol) – sind inzwischen veraltet. Dennoch nutzen IoT-Geräte häufig solche unsicheren Protokolle.

Fehlender Schutz vor physischen Angriffen

IoT-Geräte werden häufig an öffentlichen oder leicht zugänglichen Orten eingesetzt. IoT-Geräte bieten meist keinen oder nur einen geringen Schutz vor physischen Angriffen. Vorhandene Schutzmaßnahmen innerhalb der Geräte können so umgangen werden.

Alle Test- oder Debugging-Schnittstellen sollten deaktiviert werden. Wo immer möglich sollten Hardware-Sicherheitsmodule (HSM), vertrauenswürdige Plattformmodule (TPM) und kryptografische Koprozessoren genutzt werden.

Mangel an Bewusstsein für IoT-Sicherheit

Im Laufe der Jahre haben Internetnutzer gelernt, wie man Spam- oder Phishing-E-Mails erkennt, wie man ein Antivirenprogramm & eine Firewall installiert und wie man ein WiFi-Netzwerk mit einem starken Passwort schützt. Das Internet der Dinge (IoT) ist eine neue Technologie, über die die meisten Menschen noch nicht viel wissen. Zahlreiche IoT-Sicherheitsrisiken sind auf der Herstellerseite zu finden, doch viele Cyberangriffe sind nur deshalb erfolgreich, weil es den Opfern an Bewusstsein für IoT-Sicherheit mangelt.

Anwender müssen begreifen, dass mit dem neuen Grad an Vernetzung auch ein enormes Potential für Sicherheitsbedrohungen entsteht.

*René Hifinger beschäftigt sich seit Jahren mit den Themen IT-Sicherheit, Datenschutz und neue Technologien. Er betreibt das Portal bleib-Virenfrei.de

Bedrohung europäischer Infrastruktur: Broadcoms Versprechen lösen tiefgreifende Probleme nicht

24. April 2024 pi/rai

Die geringfügigen Änderungen, die Broadcom als Reaktion auf den Druck der EU-Kommission versprochen hat, lösen die Bedrohung der europäischen Infrastruktur in keiner Weise. […]

BioCatch-Bericht zeigt alarmierende Zunahme von KI-gestütztem Betrug in der Finanzbranche

24. April 2024 pi/rai

Die Umfrage zeigt einen erschreckenden Trend: Zwar nutzen Finanzinstitute KI-Werkzeuge zur Verteidigung, aber auch KI-gestützte Angriffe nehmen weiter zu. […]

Varonis kürt BOLL zum Distributionspartner des Jahres 2023

24. April 2024 pi/rai

Vor nur gerade einem Jahr haben BOLL Europe (BOLL) und Varonis Systems (Varonis) ihre Vertriebspartnerschaft für den DACH-Bereich besiegelt. […]

Ergonomie für alle

24. April 2024 pi/rai

Forschende der FH St. Pölten entwickeln App, um gesunde Arbeitsbedingungen zu schaffen. […]

CIO-Report von Barracuda (c) Barracuda Networks

Barracuda CIO-Report: Managen von Cyberrisiken bereitet vielen Unternehmen Schwierigkeiten

24. April 2024 pi/kdl

Der CIO-Report „Leading your business through cyber risk“ vin Barracuda Networks ist ein Weckruf: Demnach haben sechs von zehn Unternehmen Schwierigkeiten beim Managen von Cyberrisiken und jedes zehnte Unternehmen hat überhaupt keine Strategie, um auf konkrete Cybersicherheitsvorfälle zu reagieren. […]

Die Trefferquote der Angreifer hat sich gegenüber dem Vorjahr alarmierend erhöht. (c) Pexels

KPMG: Jeder sechste Cyberangriff ist erfolgreich

24. April 2024 Christof Baumgartner/pi

Die Trefferquote der Angreifer hat sich gegenüber dem Vorjahr alarmierend erhöht und Deepfakes haben sich mehr als verdoppelt. Das zeigt die neunte Ausgabe der Studie „Cybersecurity in Österreich“ von KPMG in Kooperation mit dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrum Sicheres Österreich (KSÖ). […]

Die modulare Anreih-Lösung erbringt Kühlleistung über 1 Megawatt, durch direkte Flüssigkeitskühlung ideal für die hohe Leistungsdichte von AI-Anwendungen. (c) Rittal

Rittal: Standardisierte Wasserkühlung ebnet Weg für AI

24. April 2024 pi/cb

Auf dem OCP Regional Summit in Lissabon gibt der globale Lösungsanbieter Rittal einen Ausblick auf eine neue Modul-Plattform für einphasige direkte Flüssigkeitskühlung speziell für das OCP Open Rack V3. Modulare Lösungen für Power, Cooling und Monitoring direkt im Rack sorgen für schnelle Skalierbarkeit und wirtschaftlichen Betrieb. […]

Deepen Desai, CSO und Leiter der Sicherheitsforschung bei Zscaler. (c) Zscaler

Zscaler-Report: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen

24. April 2024 pi/kdl

Zscaler hat jetzt seinen jährlich erscheinenden ThreatLabz 2024 Phishing Report veröffentlicht. Demnach haben die weltweiten Phishing-Angriffe im Jahresvergleich um fast 60 Prozent zugenommen. […]

Die digitale Wolke durchblicken

23. April 2024 pi/rai | Jan Taubmann*

Sich als Unternehmen für die Cloud zu entscheiden – kein einfacher Schritt: Es bedarf einer gründlichen Analyse und Abwägung verschiedener Faktoren wie Sicherheit, Ausfallsicherheit, Data Governance und nicht zuletzt der Kosten. […]

Häufige Sicherheitsschwachstellen im Internet of Things

IoT Geräte sind eine lohnende Zielscheibe für Angreifer. Im Folgenden werden häufige Schwachstellen im Internet of Things erläutert. [...]

Schwache Authentifizierung

Wenig Rechenleistung / Speicher

Unsichere Update-Mechanismen

Veraltete Anlagen

Fehlende Verschlüsselung

Unsichere Protokolle

Fehlender Schutz vor physischen Angriffen

Mangel an Bewusstsein für IoT-Sicherheit

Mehr Artikel

Bedrohung europäischer Infrastruktur: Broadcoms Versprechen lösen tiefgreifende Probleme nicht

BioCatch-Bericht zeigt alarmierende Zunahme von KI-gestütztem Betrug in der Finanzbranche

Varonis kürt BOLL zum Distributionspartner des Jahres 2023

Ergonomie für alle

Barracuda CIO-Report: Managen von Cyberrisiken bereitet vielen Unternehmen Schwierigkeiten

KPMG: Jeder sechste Cyberangriff ist erfolgreich

Rittal: Standardisierte Wasserkühlung ebnet Weg für AI

Zscaler-Report: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen

Die digitale Wolke durchblicken

Be the first to comment

Leave a Reply Antworten abbrechen