Risiko Internet of Things

IoT-Sicherheit fehlen die passenden Anreize

| Autor / Redakteur: Christian Reuss / Peter Schmitz

Selbstwenn kein einziges unsicheres IoT-Gerät mehr neu eingerichtet wird, bleiben ca. 10 Milliarden IoT-Geräte , die schon Gebrauch sind - viele davon mit großen Sicherheitslücken.
Selbstwenn kein einziges unsicheres IoT-Gerät mehr neu eingerichtet wird, bleiben ca. 10 Milliarden IoT-Geräte , die schon Gebrauch sind - viele davon mit großen Sicherheitslücken. (Bild: Pixabay / CC0)

Dass Geräte im „Internet der Dinge“ (IoT, Internet of Things) Sicherheitslücken aufweisen, ist seit Jahren bekannt. Doch vergangenen Oktober, als Nutzer plötzlich nicht mehr auf Twitter zugreifen oder ihre Lieblingsfilme über Netflix streamen konnten, bekam die Öffentlichkeit einen kleinen Vorgeschmack auf die Konsequenzen dieser Schwachstellen. Um IoT-Sicherheit aber wirklich umzusetzen, scheint allen Beteiligten der nötige Anreiz zu fehlen.

Der DDoS-Angriff auf die DNS-Infrastruktur (Domain Name System), der zum Ausfall einiger der beliebtesten Dienste und Websites führte, wurde durch ein Botnet aus IoT-Geräten verursacht. Ein deutliches Alarmsignal, das wachrütteln sollte.

In dieser Hinsicht war das IoT-Botnetz „Mirai“ ein Glücksfall – zumindest für alle, die sich zuvor vergeblich bemüht hatten, auf die Problematik aufmerksam zu machen. Denn von einer Sekunde auf die nächste war das bislang eher vernachlässigte Thema IoT-Sicherheit weltweit in den Schlagzeilen. Die einhellige Meinung war, dass nun irgendjemand irgendetwas unternehmen müsse. Doch wer?

Mirai-Botnet attackiert DNS-Anbieter Dyn.com

DDoS verursacht DNS-Probleme

Mirai-Botnet attackiert DNS-Anbieter Dyn.com

24.10.16 - Der DNS-Anbieter Dyn.com wurde Opfer eine weitreichenden DDoS-Attacke, der teilweise zu Problemen bei der Auflösungen von Web-Adressen führte. Die Attacken werden dem Mirai-Botnet zugeordnet, das in den letzten Wochen bereits mehrfach zugeschlagen hat und sich vor allem durch hohen Datenverkehr auszeichnet. lesen

Schuld ist: Der Hersteller

IoT-Geräte sind für Angreifer ein attraktives Ziel, da viele Geräte mit unsicheren Standardeinstellungen ausgeliefert werden. Die standardmäßige Anmeldung mit einem Administratorkonto. Der offene Zugang zu Managementsystemen über die internetseitigen Schnittstellen der Geräte und die Auslieferung der Geräte mit unsicherem Code, der über das Netzwerk manipuliert werden kann, sind nur einige Beispiele. Ein Großteil der integrierten Systeme wird selten oder sogar nie aktualisiert, um Sicherheitslücken zu schließen. Tatsache ist, dass viele Hersteller solcher Geräte gar keine Updates bereitstellen.

Obwohl die Gerätehersteller seit Jahren über diese Sicherheitsmängel informiert sind, reagieren sie erst jetzt und versuchen nun, die Lücken zu schließen. Die Hard- und Software, die in einem Großteil der IoT-Geräte zum Einsatz kommt, stammt von einer überschaubaren Gruppe von Herstellern in Asien. 2014 veröffentlichte einer der größten Hersteller ein neues Softwarerelease, das einige der Probleme im Zusammenhang mit Standardpasswörtern löste. Allerdings erstreckten sich diese Patches nur auf die englischsprachige Version der Software. Für alle anderen Sprachen stehen die entsprechenden Patches bis heute aus.

Welche Beobachtungen wurden gemacht, als das Botnet „Mirai“ das Internet lahmlegte? Die Dichte von Mirai-Knoten war in China, Hongkong, Macao, Vietnam, Taiwan, Südkorea, Thailand, Indonesien, Brasilien und Spanien besonders hoch und viele der heutigen Mirai-Angriffe gehen von Ländern aus, in denen die Software in derselben nicht-englischen Sprachversion wie auf den IoT-Geräten ausgeführt wird.

Die Hersteller haben einige geringfügige Verbesserungen bezüglich der IoT-Sicherheit vorgenommen, haben aber bis heute keinen echten Anreiz, dies in einem umfassenderen Rahmen zu tun.

Schuld sind: Die Unternehmen

Wenn wir als Verbraucher an das Internet der Dinge denken, fallen uns Begriffe wie Automatisierung, Gesundheitsmonitoring und vielleicht noch künftiges autonomes Fahren ein. Für Unternehmen bietet das Internet der Dinge nahezu unbegrenzte Möglichkeiten. McKinsey kommt zu dem Schluss, dass „der Wertanteil von B2B-Anwendungen – mit bis zu 70 % – vermutlich deutlich höher liegen wird als im Consumer-Bereich.“

„Wenn Politik und Industrie die Weichen richtig stellen“, so McKinsey weiter, „lässt sich durch das Verknüpfen der physischen mit der digitalen Welt bis 2025 ein ökonomischer Gesamtwert von bis zu 11,1 Billionen USD pro Jahr erzielen.“

  • Energieversorger: Über Sensoren im gesamten Stromnetz können Versorgungsunternehmen den Energieverbrauch fortlaufend überwachen und die Menge an erzeugtem Strom und dessen Verteilung für Spitzen- und Schwachzeiten optimal anpassen.
  • Versicherungswirtschaft: Versicherer können Autofahrern, die einen Sensor in ihrem Fahrzeug installieren, Prämienpläne anbieten. Die nicht mehr auf Annahmen, sondern auf dem persönlichen Fahrverhalten basieren.
  • Produzierende Industrie: Unternehmen können Sensoren für die Maschinenwartung und für den Arbeitsschutz und die Unfallvermeidung nutzen.
  • Gesundheitswesen: Durch kontinuierliches Monitoring anstelle periodischer Untersuchungen und Tests lassen sich laut einer Studie des McKinsey Global Institute die Behandlungskosten um 10 bis 20 % senken – allein schon bei Patienten mit Herzinsuffizienz sind dies mehrere Milliarden Dollar.

Welchen Anreiz gibt es für Unternehmen, diese Entwicklung nicht voranzutreiben? Eigentlich keinen.

Und was ist mit uns Verbrauchern?

IoT-Geräte sind anders als PCs oder Smartphones meist nur beschränkt interaktionsfähig. Endbenutzer verbringen meist nur wenig Zeit mit dem Einstellen dieser Geräte. Und sie haben auch keine Möglichkeit zu erkennen, ob ihre Geräte für bösartige Angriffe zweckentfremdet werden.

Aus Konsumentensicht ist diese Unwissenheit ein Segen. Bis sie zum Sicherheitsrisiko wird. So warnte die US-Behörde Federal Trade Commission (FTC) in Folge des Mirai-Vorfalls: „Angriffe sind mehr als nur eine Unannehmlichkeit. Sie stellen eine Bedrohung für Ihre Informationen und Daten dar. Sie sollten sich daher fragen, was Sie tun können, um Ihr Heimnetzwerk und Ihre Smart-Geräte vor Zweckentfremdung zu schützen.”

Folgendes sollten Endnutzer von IT-Geräten daher beachten:

  • Klicken Sie beim Einrichten Ihres IoT-Geräts nicht vorschnell auf „Weiter“. Überprüfen Sie die Standardeinstellungen sorgfältig, bevor Sie eine Entscheidung oder Auswahl treffen, und nutzen Sie die für Ihr Gerät angebotenen Sicherheitsfunktionen.
  • Laden Sie stets die neuesten sicherheitsrelevanten Updates auf Ihr IoT-Gerät. Die auf Ihrem Gerät vorinstallierte Software muss aktualisiert werden, damit sie auf Dauer sicher und effektiv bleibt. Sie sollten daher vor dem Einrichten eines neuen Geräts und danach in regelmäßigen Abständen die Webseite des Herstellers besuchen oder das Menü mit den Einstellungen Ihres Geräts öffnen, um zu sehen, ob eine neue Version der Software geladen und installiert werden kann.
  • Ersetzen Sie voreingestellte Passwörter durch neue eigene Passwörter. Viele Hersteller verwenden Standardpasswörter für die von ihnen ausgelieferten Geräte. Hacker kennen diese Standardpasswörter. Sie sollten sie daher durch komplexere, sichere Passwörter ersetzen.

Doch wie viele Personen machen sich diese Mühe, wenn sie einen neuen Kühlschrank, ein sprachgesteuertes Gerät oder ein Fitnessarmband in Betrieb nehmen? Vermutlich ein verschwindend geringer Prozentsatz. Doch weshalb? Ganz einfach: Ihnen fehlt der richtige Anreiz. Die Gefahr eines Datenklaus ist für Konsumenten nichts Neues. Viele Verbraucher haben diese Erfahrung schon selbst gemacht, als sie nach einem einem erfolgreichen Cyberangriff auf ihren Lieblingsstore eine neue Kredit- oder Kundenkarte im Briefkasten vorfanden. Ihnen fehlt ganz einfach die Motivation, Zeit und Arbeit zu investieren.

Schuld ist: Die Politik

Politiker haben eigentlich genügend Anreize, sich für die IoT-Sicherheit einzusetzen. Was gibt es Prestigeträchtigeres, als sich vor Kameras und Mikrofonen als Person zu profilieren, die sich um den Schutz von Social-Media-Accounts kümmert, damit die Nutzer nicht noch einmal dem Horrorszenario ausgesetzt sind, dass es zwei Stunden lang keine Status-Updates oder Selfies gibt.

Doch Spaß beiseite. Es geht um sehr ernste Gefahren für Systeme, die die nationale Sicherheit und die öffentliche Infrastruktur betreffen. Die Art massiver Angriffe, die durch IoT-Botnets zustande kommen, kann und darf nicht länger ignoriert werden. Politiker und Aufsichtsbehörden sind in der Position, die erforderlichen Änderungen zu forcieren. Und genau das ist vielleicht die gute Nachricht: In einer Zeit, in der Deregulierung in aller Munde ist, rückt bei IoT-Geräten die dringend erforderliche Regulierung näher.

Fazit

Selbst wenn Politiker und Aufsichtsbehörden Erfolg mit ihren Bemühungen haben sollten, Hersteller von IoT-Geräten zur Einhaltung neuer, effektiver Regelungen zu zwingen: Das Problem ist noch nicht gelöst.

Roland Dobbins, der hauptverantwortliche Sicherheitsingenieur von Arbor Networks, fasste dies gegenüber dem Magazin „Wired“ wie folgt zusammen: „Was mir Sorge bereitet, ist nicht das, was die Zukunft bringt, sondern das, was heute schon da ist – Myriaden von Geräten in aller Welt, die nur darauf warten, zweckentfremdet zu werden.”

Selbst wenn ab sofort nicht ein einziges unsicheres IoT-Gerät mehr neu eingerichtet würde, bleibt die Tatsache, dass schon ca. 10 Milliarden Geräte in Gebrauch sind. Dies sollte für Netzbetreiber Anreiz genug sein, bei der Absicherung ihrer Netzwerke und beim Schutz vor DDoS-Angriffen auf Best Practices und hochwertige Produkte zurückzugreifen.

* Christian Reuss ist Sales Director DACH bei Arbor Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44547002 / Internet of Things)