IoT-Security

IoT Datensicherheit

Wenig Schutz im Internet der Dinge


Um die Sicherheit der vernetzten Geräte steht es nicht zum Besten. Manche sind völlig ungeschützt. Damit sich das ändert, müssen Entwickler Sicherheit fix ins Produktdesign einbeziehen. Und Anwender sollten sichere IoT-Lösungen verlangen.


Text: Urs Binder,




Dass in Grossbritannien tausende mit dem Internet verbundene, gehackte Toaster plötzlich nur noch Vollkorntoast akzeptiert und ihre Besitzer vor den gesundheitlichen Gefahren des Weissbrots gewarnt haben sollen, war ein Aprilscherz des Sicherheitsspezialisten Bitdefender. Andere Vorfälle im Zusammenhang mit dem Internet of Things (IoT) sind jedoch eine nicht einmal ansatzweise scherzhafte Tatsache – und sie haben es in sich, wie der Titel des Gartner-Whitepapers «Musings from Def Con 23» andeutet: «Die Risiken im IoT sind gravierend, und sie werden immer schlimmer». Vier Beispiele:

 

  • In Deutschland erlangten Hacker via Spear-Phishing und Social Engineering – also durch Ausnutzen menschlicher Schwächen des Personals – Zugriff auf das Büronetz eines Stahlwerks und von dort aus auf die Produktionsanlagen, wie das deutsche Bundesamt für Sicherheit in der Informationstechnik 2014 meldete. Die Angreifer konnten diverse Steuerungskomponenten und Anlagen lahmlegen. Die Folge: Ein Hochofen liess sich nicht mehr geregelt herunterfahren und verblieb in einem undefinierten Zustand. Es kam zu massiven Schäden an der Anlage.

  • Beim US-Detaillisten Target drangen Hacker über den Fernzugriff auf die Gebäudeautomation ins Netz ein und konnten auf den Kreditkartenterminals der 1800 Supermärkte Schadcode installieren. Die Angreifer entwendeten auf diese Weise Kreditkartenangaben von 40 Millionen Kunden. Laut Target lagen die Folgekosten für Entschädigungen bei 290 Millionen Dollar, vom Imageschaden ganz zu schweigen.

  • An einem Freitagnachmittag Ende November 2016 hiess es auf den Displays der Ticketautomaten der San Francisco Verkehrsbetriebe SF Muni nur noch «You Hacked, ALL Data Encrypted». SF Muni sah sich gezwungen, die Zugangsschranken zu den Perrons offen zu lassen – Gratis-ÖV für anderthalb Tage. Es habe sich nicht einmal um einen gezielten Angriff gehandelt, machte sich der Hacker «Cryptom27» im Nachhinein bemerkbar: Das Netz von SF Muni sei völlig offen gewesen.

  • Gegen Ende Oktober 2016 legte ein massiver Denial-of-Service-Angriff auf den Serviceprovider Dyn zahlreiche bekannte Websites lahm, darunter Twitter, Amazon, Spotify und Netflix. Verantwortlich dafür war offenbar ein Botnetz aus IoT-Geräten. Der Sicherheitsforscher Brian Krebs, dessen Blog ebenfalls betroffen war, spricht vor allem von IP-Kameras und vernetzten Videorecordern.  

Bedrohung real, Vertrauen gering

Die Bedrohung aus dem Internet der Dinge ist real. Dies umso mehr, als die Anzahl der «Connected Things» regelrecht explodiert. Die aktuelle Gartner-Prognose verzeichnet für Ende 2016 weltweit 6,4 Milliarden IoT-Geräte, gegenüber 2015 ein Zuwachs von 30 Prozent. Bis Ende 2020 sollen es gegen 21 Milliarden werden. Rund 65 Prozent der IoT-Devices sind laut Gartner in Consumer-Umgebungen wie Home Automation anzutreffen, 35 Prozent in industriellen Anwendungen.





So wird das Internet der Dinge sicher


Empfehlungen und Tipps für Anwender und Entwickler von IoT-Lösungen.


Zum Listical



So wird das Internet der Dinge sicher

Empfehlungen und Tipps für Anwender und Entwickler von IoT-Lösungen.


Zum Listical

HP hat zehn Home-Automation-Geräte wie Heizungsthermostaten, Türschlösser oder Rauchmelder auf Sicherheitsprobleme hin untersucht und ist zu einem ernüchternden Schluss gekommen: Insgesamt wiesen die zehn Devices 250 Schwachstellen auf, pro Gerät also 25. Kein Wunder, dass in einer ebenfalls im Auftrag von HP durchgeführten Studie des Ponemon Institute nicht einmal die Hälfte der Konsumenten finden, IoT bringe mehr Vorteile als Nachteile. Der Grund sind demnach Bedenken punkto Sicherheit und Privatsphäre. Aber nicht nur Konsumenten, sondern auch Unternehmen sehen im IoT nicht nur Positives. So haben laut einer Umfrage des US-Providers AT&T 58 Prozent der befragten Organisationen kein Vertrauen in die Sicherheit ihrer IoT-Geräte.


Die Schwächen der IoT-Lösungen

In der Praxis zeigt sich, dass in vielen IoT-Geräten überhaupt keine Sicherheitsmassnahmen implementiert sind. Ein Grund dafür mag historisch bedingt sein: Embedded-Systeme in der Industrie waren ursprünglich nicht oder allenfalls innerhalb eines einzelnen Unternehmens vernetzt und somit von der Internet-Zone getrennt. Consumer-Geräte basieren noch heute oft auf Plattformen ohne inhärente Sicherheit und die darauf aufbauenden Lösungen inklusive Software und Cloud-Services sind nicht konsequent auf Datensicherheit und Schutz vor Angriffen ausgelegt.


Bei manchen Geräten fehlt etwa die Möglichkeit, die Firmware auf den neuesten Stand zu bringen. Patch Management bleibt in solchen Fällen ein Fremdwort. Dies ist umso gravierender, als die Einsatzdauer von IoT-Lösungen mit bis zu zehn Jahren und mehr deutlich höher liegt als bei PCs und Mobilgeräten, sowohl bei Consumer-Produkten als auch in der Industrie 4.0.


Die Kommunikation der Sensoren und Aktoren mit Hubs, Gateways und Cloud-Services ist üblicherweise gesichert, auch bei Drahtlosprotokollen wie Zigbee, LoRaWAN, Bluetooth oder WLAN. Dabei kommen allerdings oft statische Schlüssel zum Einsatz, die relativ leicht abzugreifen sind. Und die Anwender belassen Passwörter und andere Sicherheitsmerkmale erschreckend oft auf der Werkseinstellung.


Es ist deshalb wichtig, dass Sicherheit nicht nur beim Datenübertragungsprotokoll, sondern auf jeder Ebene zur Selbstverständlichkeit wird. Für die End-to-End-Security in IoT-Systemen fehlen jedoch bis dato einheitliche Sicherheitsstandards. Der IoT-Markt ist nicht reguliert, im Gegensatz zu anderen Branchen wie Banking, Medical oder Automotive – eine schwache Basis für vertrauenswürdige Lösungen.


IoT-Sicherheit im Kommen

Immerhin arbeiten verschiedene Organisationen derzeit an Frameworks und Best Practices für IoT-Sicherheit, darunter die IoT Security Foundation und die Nonprofit-Stiftung OWASP mit dem „Internet of Things Project“. Und Cloud-Provider offerieren zunehmend Plattformen zur sicheren Kommunikation zwischen IoT-Geräten und Cloud-Diensten mit spezifisch auf das Internet of Things zugeschnittenen Features.


Solche Standards und Plattformen müssen eine breite Abwehrfront gegen Cyberattacken gewährleisten. IoT-Security soll Angriffe erkennen und abwehren, unautorisierte Zugriffsversuche protokollieren, die Daten sowohl bei der Übertragung als auch bei der Speicherung und Weiterverarbeitung schützen und durch gesichertes Booten der Geräte verhindern, dass gefälschte Firmware geladen wird.


Das ist nur mit einer Kombination von Sicherheitsmassnahmen auf allen Ebenen möglich, von der Authentifizierung und Datenkommunikation über Intrusion Detection/Prevention bis zum Management der Sicherheitsregeln. Idealerweise wird dies durch die Hardware der IoT-Geräte unterstützt. Moderne Prozessoren und SoC-Plattformen bieten dazu hardwareseitige Unterstützung, die zusätzliche Sicherheit schafft und den Entwicklern von IoT-Lösungen dabei hilft, ihre Produkte sicher zu machen.




Mehr zum Thema