Das Internet der Dinge (IoT) ist ein Netzwerk von vernetzten Geräten mit jeweils einer eindeutigen Identifikation, die automatisch Daten über ein Netzwerk sammelt und miteinander austauscht.
IoT-Geräte werden in verschiedenen Branchen und Industrien eingesetzt, einschließlich:
Privatnutzer umfassen Smartphones, intelligente Uhren und SmartHome, die von der Klimaanlage bis zum Türschloss mit einem einzigen Gerät steuern.
Unternehmen verwenden eine breite Palette von IoT-Geräten, darunter intelligente Sicherheitskameras, Tracker für Fahrzeuge, Schiffe und Güter, sowie Sensoren zur Erfassung von Daten über Industriemaschinen.
IoT-Anwendungen für Regierungen umfassen Geräte zur Verfolgung von Wildtieren, zur Überwachung des Verkehrs und zur Warnung von Naturkatastrophen.
Die Anzahl der IoT-Geräte liegt heute weltweit in Milliardenhöhe. Ihre zunehmende Präsenz in unserem täglichen Leben hat zu einer verstärkten Überwachung ihrer inhärenten Sicherheitsprobleme geführt, deren Lösung wir gerne untersuchen werden.
Um zu Funktionieren, müssen IoT-Geräte sowohl intern (z.B. Softwarewartung) als auch extern (d.h. ihre Kommunikation mit anderen Geräten) verwaltet werden.
Dies wird erreicht, indem jedes IoT-Gerät mit einer Verwaltungseinheit verbunden wird, die als Command and Control (C&C) bezeichnet wird. Die Rechenzentren sind für die Softwarewartung, Konfigurationen, Firmware-Updates zur Behebung von Patch-Bugs und Schwachstellen sowie für die Bereitstellung und Authentifizierung von Aufgaben wie die Registrierung von Geräten zuständig.
Die Kommunikation zwischen den Geräten wird über die Anwendungsprogramm-Schnittstelle (API) ermöglicht. Sobald der Hersteller eines Geräts seine API freigibt, können andere Geräte oder Anwendungen damit Daten sammeln und kommunizieren. Einige APIs erlauben sogar die Kontrolle über Geräte. So kann beispielsweise ein Gebäudemanager über eine API Türen in einem bestimmten Büro fernbedienen.
Rechenzentren und APIs managen den täglichen IoT-Betrieb. Allerdings schafft ihre zentralisierte Struktur eine Reihe von ausnutzbaren Schwachstellen, darunter:
Verbindungsprobleme oder die Notwendigkeit, dass Endbenutzer Updates manuell direkt von einem Rechenzentrum herunterladen müssen, führen oft dazu, dass Geräte mit veralteter Software laufen und für neu entdeckte Sicherheitsschwachstellen offen bleiben.
Schwache Authentifizierung: Hersteller geben oft IoT-Geräte (z.B. Heimrouter) heraus, die leicht zu entschlüsselnde Passwörter enthalten, die von Anbietern und Endbenutzern beibehalten werden können. Wenn diese Geräte für den Fernzugriff offen bleiben, werden sie zur leichten Beute für Angreifer, die automatisierte Skripte für die Massenausbeutung ausführen.
APIs werden häufig von einer Vielzahl von Bedrohungen erfasst. Dabei setzen Angreifer auf bewährte Methoden wie bspw. Man in the Middle (MITM), Code Injections (z.B. SQLI) und Distributed Denial of Service (DDoS) Angriffe.
Die Gefahren, die von exploitbaren Geräten ausgehen, lassen sich in zwei Kategorien einteilen: Bedrohungen, die sie für ihre Benutzer darstellen, und Bedrohungen, die sie für andere darstellen.
Ein kompromittiertes IoT-Gerät gefährdet seine Benutzer auf verschiedene Weise, z.B. durch:
Ein IoT-Gerät enthält riesige Datenmengen, von denen viele für seine einzelnen Benutzer einzigartig sind, einschließlich Online-Kaufaufaufzeichnungen, Kreditkartendaten und persönliche Gesundheitsinformationen.
Eine unsachgemäß gesicherte Vorrichtung macht diese Daten anfällig für Diebstahl. Darüber hinaus können anfällige Geräte als Gateways zu anderen Bereichen des Netzwerks verwendet werden, in denen sie eingesetzt werden, so dass vertraulichere Daten extrahiert werden können.
IoT-Geräte sind heute in der medizinischen Industrie alltäglich, z.B. Herzschrittmacher, Herzmonitore und Defibrillatoren. Obwohl es praktisch ist (z.B. kann ein Arzt den Herzschrittmacher eines Patienten aus der Ferne einstellen), sind diese Geräte auch anfällig für Sicherheitsbedrohungen.
Ein unsachgemäß gesichertes Gerät kann genutzt werden, um die medizinische Versorgung eines Patienten zu beeinträchtigen. Es ist ein äußerst seltenes Ereignis, wenn auch eines, das bei der Entwicklung einer Strategie zur Sicherung von IoT-Geräten zu berücksichtigen ist.
Unsichere IoT-Geräte sind anfällig dafür, entführt und in einem Botnetz verwendet zu werden - eine Sammlung von mit Malware infizierten, möglicherweise millionenschweren, internetfähigen Geräten, die von einem entfernten Standort aus gesteuert werden.
Für Täter ist das Auffinden ungeschützter Geräte nicht schwierig und kann durch die Ausführung von weit verbreiteten Skripten oder Tools leicht erreicht werden. Dies wird am besten durch die Existenz von Shodan veranschaulicht, einer öffentlich zugänglichen Suchmaschine, die für die Entdeckung solcher Geräte entwickelt wurde.
Mit den weiterentwickelten IoT-Geräten sind auch die damit verbundenen Bedrohungen gestiegen. Dies hat sich in allen möglichen Cyberangriffen manifestiert, darunter weit verbreitete Spam- und Phishing-Kampagnen sowie DDoS-Angriffe. Letztere sind in den letzten Jahren gewachsen, vor allem aufgrund der gestiegenen Verfügbarkeit von untergeschützten IoT-Geräten.
Ein prominentes Beispiel für diesen Trend war 2016, als eine öffentliche Veröffentlichung der Mirai-Malware die Täter dazu veranlasste, massive IoT-Botnets zu erstellen und diese für DDoS-Angriffe zu nutzen.
Dies führte zu einer beispiellosen Welle von Angriffen, von denen die bekanntesten die Dyn-DNS-Dienste heruntergefahren haben und den Zugang zu einigen der beliebtesten Domains der Welt wie Etsy, GitHub, Netflix, Spotify und Twitter einschränkten.
Die Malware selbst war ein relativ einfaches Skript, das offene Remote-Zugriffsports scannte und versuchte, mit einer kurzen Liste häufig verwendeter Zugangsdaten (z.B. admin/admin) auszuprobieren.
Die große Anzahl von Internet of Things-Geräten macht ihre Sicherheit zu einer hohen Priorität und ist entscheidend für das zukünftige Wohlbefinden des Internet-Ökosystems.
Für Gerätebenutzer bedeutet dies, dass sie sich an grundlegende Sicherheits-Best Practices halten, wie z.B. das Ändern von Standard-Sicherheitspasswörtern und das Blockieren von unnötigem Fernzugriff (z.B. wenn dies für die Funktionalität eines Geräts nicht erforderlich ist).
Anbieter und Gerätehersteller hingegen sollten einen breiteren Ansatz verfolgen und stark in die Sicherung von IoT-Management-Tools investieren. Zu den Schritten, die unternommen werden sollten, gehören:
Round Solutions berät Unternehmen, die IoT und IIoT einsetzen möchten.
Hans-Boeckler-Strasse 16
63263 Neu-Isenburg
Germany
Email info@roundsolutions.com
Tel +49 6102 799 28 0
Fax +49 6102 799 28 199
