Das Internet of Things als Waffe: Smarte Geräte als Sicherheitslücke

In der Welt der Technologie sind wir stets auf der Suche nach der nächsten, grossen Veränderung. Dem nächsten, grossen Trend. Dem „Next Big Thing“ eben. Was das aktuell ist, steht quasi ausser Frage: das Internet of Things. Immer mehr Geräte werden „smart“ – sind mit dem Internet und somit einander verbunden um neue Features bieten zu können, effizienter oder effektiver bei ihrer Arbeit zu werden oder die Wartung und Steuerung zu vereinfachen.

Global-Red-201-800x388[1]

Doch seien wir ehrlich: Noch bei jedem „Big Thing“ war die Sicherheit am Anfang ein stark vernachlässigtes Thema. Das galt schon damals beim Aufkommen des Internets selbst genauso wie viele Jahre später bei der Public Cloud oder nun eben dem „Internet of Things“. Damit stehen Hackern nun ganz neue Möglichkeiten offen, ihr Unwesen zu treiben; werden ihnen neue Waffen an die Hand gegeben. Und sie haben reichlich Munition dafür: Laut aktuellen Schätzungen befinden sich just in diesem Moment bereits rund 23 Milliarden vernetzte Geräte im Umlauf – das bedeutet rund 13 Geräte pro Haushalt, weltweit. Bis 2020 soll diese Zahl weiter wachsen: auf 50 Milliarden. Die Liste reicht von Geräten für den Endverbraucher, wie etwa Web- oder auch Überwachungskameras, über Wearables, Autos oder smarte Haushaltsgeräte (Fernseher, Kühlschränke und Co), bis hin zu diversen Maschinen und Lösungen für den industriellen Bereich: automatisierte Fertigungsanlagen, Navigationssysteme für Schiffe oder autonome Transportsysteme, ja sogar Feuermelder sind heute Teile des IoT … und zumeist nur rudimentär geschützt. Dabei laufen sie oft genug auf Betriebssystemen die in der IT-Welt schon lange bekannt sind, wie etwa Linux.

Dementsprechend sind freilich auch viele geheime Zugangsmöglichkeiten bereits bekannt und häufig auch leicht nutzbar. Das hat zwei Gründe:

Zum einen werden viele der Geräte von den Herstellern nur unzureichend gesichert – etwa mit Passwortkombinationen wie „Admin“ und „Password“ oder dergleichen. Also in der Regel einem der altbekannten Top-Passwörter, die jeder Hacker zu aller erst ausprobiert.

Zum anderen ist das Problem aber auch, dass solche Geräte im Business-Umfeld bei der IT-Security-Planung schlicht vergessen werden – nicht als Teil der schützenswerten IT gesehen werden.

camera-1219748_960_720Wir – vor allem unsere Kollegen von den Sicherheitsexperten bei RSA – haben dies schon früh erkannt. Bereits im Jahr 2014 skizziere Alan Webber in einem Blog die oben bereits beschriebenen Risk-Areas für das Internet of Things. Und dass das alles keine leeren Horror-Szenarien sind machte erst letzten Herbst ein DDOS Angriff auf Dyn – einem DNS-Anbieter zu dessen Kunden unter anderem Twitter, Reddit, AirBnB, Spotify, Netflix oder auch Paypal zählen. Durch die Verwendung einer Malware mit Namen Mirai wurden rund 20 Millionen Geräte gekapert und als Waffen verwendet um Dyn lahmzulegen – mit Erfolg. Das kuriose: Neben Computern führten auch Festplattenrekorder und Webcams den Angriff aus. Hier eine detaillierte Analyse des Angriffs (in zwei Teilen) durch die RSA-Experten.

Entsprechende Geräte aufzuspüren ist schon eine ganze Weile nicht sonderlich schwer: 2015 widmete Matthew Gardiner dem Thema Sicherheit beim Internet of Things einen weiteren Blog-Eintrag und verwies darin unter anderem auf die Suchmaschine Shodan. Diese tut nichts anderes, als im Internet adressierbare und leicht zu kapernde Geräte zu suchen und interessierten Nutzern aufzuzeigen.

Doch natürlich kann man sich in vielen Bereichen schon jetzt schützen. Hier ein paar erste Tipps:

  • Sofern möglich alle werksseitigen Passwörter ändern
  • Bei den neuen Passwörtern dann nicht einfach zu einem anderen der Top-Passwörter wie „qwertz“ oder „123456“ greifen, versteht sich
  • Alle nicht benötigten Kommunikationssysteme deaktivieren (zB Bluetooth)
  • Regelmässig Updates durchführen – oft werden hier Sicherheitslücken geschlossen
  • Wenn möglich den Datenverkehr zwischen den Geräten bestmöglich verschlüsseln

Das sind zumindest ein paar erste, schnell umsetzbare Massnahmen, die ein Mindestmass von Sicherheit herstellen. Zusätzliche Massnahmen müssten dann freilich auf Ihre konkreten Unternehmensbedingungen abgestimmt werden. Nur so kann maximale Sicherheit bei gleichbleibender, oder sogar noch steigender Produktivität sichergestellt werden. Interessiert?

Treten Sie mit uns in Kontakt!

About the Author: Dell Technologies