Qualitätssicherung und IoT Risiken im Internet of Things
Die Folgen des Internet of Things sind neben den Annehmlichkeiten für Nutzer auch immer mehr Türen für Angreifer, die Geräte im großen Maßstab infizieren und für ihre Zwecke missbrauchen. Dabei haben es Hacker heute leicht, denn ein mangelndes Verständnis für die Risiken und eine fehlende Qualitätssicherung machen Angriffe zu einem Kinderspiel.
Anbieter zum Thema

Vernetzte Uhren, Brillen, Kaffeemaschinen, Lampen, Heizungen, Kühlschränke... die Liste lässt sich endlos weiterführen. Das Marktforschungsunternehmen Gartner geht davon aus, dass im Jahr 2020 rund 20 Milliarden vernetzte Geräten weltweit existieren werden. Mit der zunehmenden Verbreitung des Internet of Things (IoT) und damit der Vernetzung von Gegenständen mit dem Internet nimmt jedoch auch ein weiterer Teilaspekt immer weiter zu: Meldungen über gefundene Schwachstellen und bisweilen auch Angriffe auf die Systeme.
Ende letzten Jahres machte beispielsweise das Botnetz Mirai von sich reden, als dieses das US-Unternehmen DYN angriff und dabei Dienste wie Netflix oder Spotify kurzzeitig ausfielen. Das Prinzip hinter dem Angriff ist simpel und wird durch das IoT sogar begünstigt oder überhaupt erst in dem Maßstab möglich gemacht: Eine DDoS-Attacke, oder Distributed Denial of Service, die sich auf ein bestimmtes Ziel fokussiert und zeitgleich eine große Anzahl von Anfragen ausgehend von vielen verschiedenen Geräten generiert. Die Konsequenz: Unter der Last der Anfragen bricht das Ziel zusammen oder kann reguläre Anfragen nicht mehr in gewohnter Frequenz bearbeiten. In jedem Fall entsteht ein Schaden für das angegriffene Unternehmen.
Mangelnde Qualitätssicherung bei IoT-Geräten
Zum einen ist also die zunehmende Anzahl von IoT-Geräten der Grund für die wachsende Angriffszahl. Zum anderen spielt jedoch auch schlicht die mangelnde Qualitätssicherung eine wichtige Rolle. Die Schwachstellen der Geräte zeugen oftmals von einer groben Nachlässigkeit oder auch einem mangelnden Verständnis für die Risiken von ungenügend abgesicherten Geräten. Mit am häufigsten lassen sich ganz grundlegende Probleme identifizieren: Es werden Standardeinstellungen verwendet und die Passwörter wurden nicht eingestellt oder zumindest nicht geändert. Auch zu schwache Passwörter und fehlende Sicherheitsupdates und überhaupt fehlende Updates öffnen Tür und Tor für Hacker und damit erfolgreiche Angriffe. Diese grundlegenden Fehler zeigen, dass viele Nutzer und Unternehmen längst noch nicht das Ausmaß und die möglichen Folgen der vernetzten Gerätelandschaft nachvollzogen haben.
Organisierte Kriminalität erfordert keine Profis mehr
Wenn man das heutige Standardvorgehen für einen Penetrationstest betrachtet, wird schnell klar, wie erschreckend einfach die Angriffe aufgebaut sind. Was legale Hacker nutzen, um ein System auf Schwachstellen abzuklopfen und diese dann zu beheben, ist ebenfalls ein Werkzeug der organisierten Kriminalität. Nach der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein Penetrationstest – und damit ähnlich auch ein Angriff – in fünf aufeinanderfolgenden Phasen aufgebaut. Drei davon einmal kurz beschrieben:
Die erste Phase besteht in der Vorbereitung: Kriminelle machen sich zunächst mit ihrem eigentlichen Ziel vertraut, analysieren die Schwachstellen und entscheiden sich dann für das Angriffswerkzeug, das den meisten Erfolg verspricht.
In der zweiten Phase folgt ein passiver Penetrationstest, in dem Hacker mögliche Opfer ausfindig machen. Der spätere Einsatzweck spielt hier eine große Rolle. IoT-Geräte verfügen in der Regel über eine geringere Speicherausstattung und Rechenleistung als stationäre. Zum Bitcoin Mining oder um ein Botnetz für eine DDoS-Attacke zu erstellen, kann dieser Umstand relevant sein. Auch für das Streuen von Malware oder das Abziehen und spätere Verkaufen von vertraulichen Daten ist diese erste Informationsgewinnung wichtig. Die passenden Geräte für einen Angriff zu finden, ist dabei geradezu ein Kinderspiel. Über Suchmaschinen, wie Shodan, können Hacker problemlos Geräte per IP-Adresse innerhalb des IoT finden und anschließend auch die Art, Betriebsversion und andere Indikatoren bestimmen. Egal ob Fritz Box, Waschmaschine oder Kassensysteme – alles lässt sich per Knopfdruck finden und mit ein wenig Know-how ansteuern. Die verwundbarsten Geräte, also die mit den größten Schwachstellen, fügen die Hacker ihrer Datenbank aus IP-Adressen hinzu, um sie später für den eigentlichen Angriff zu nutzen.
In der dritten Phase kompromittieren kriminelle Hacker die zuvor gesammelten IP-Adressen. In manchen Fällen fällt dieses Vorgehen auf, da schlagartig viele Geräte des gleichen Typs, aufgrund der Anfragenanzahl zusammenbrechen. In vielen Fällen versuchen Hacker jedoch die ursprüngliche Funktion des Geräts nicht zu beeinträchtigen, um still und heimlich ihr Werk verrichten zu können. Da viele Geräte nicht über eine Software zur Identifizierung von infizierten Geräten oder Malware verfügen, fällt ein Angriff auch tatsächlich manchmal gar nicht oder erst viel zu spät auf. Selbst hierfür gibt es im Netz Anleitungen und vorgefertigte Baukästen, wie auf der Website Satan, über die man fast automatisch eine Schadsoftware erstellen kann.
Qualitätssicherung im IoT wird immer wichtiger
Inzwischen gibt es bereits Ansätze, um gekaperte Geräte aufspüren zu können, beispielsweise über die Untersuchung des Netzverkehrs hin auf Anomalien. Eine flächendeckende Qualitätssicherung ist aber nach wie vor in weiter Ferne. Das IoT ist sehr komplex und heterogen, weswegen Einzelmaßnahmen nicht viel bewirken können. Stattdessen wird es immer wichtiger, zusätzliche Schwerpunkte in Schnittstellen-, Last- und Integrationstests zu definieren. Um die Sicherheit von IoT-Systemen zu erhöhen, sind drei Bausteine besonders wichtig: Security-Tests sowie Tests vom Sensor bis hin zur Cloud und das Integration Consulting zur Integration von Hardware, Software und Updates. Durch dieses Vorgehen können beispielsweise Unternehmen ihre Geräte nicht nur auf einzelne Software-Merkmale prüfen, sondern auch auf den gesamten digitalen Prozess.
Dafür müssen Unternehmen sich darüber klar werden, welche digitalen Prozesse geschäftskritisch sind, welche Anforderungen an die Anwendung bestehen und welche Risiken bestehen können. Mithilfe ausgereifter Testverfahren können Unternehmen so Schwachstellen und Sicherheitslücken in Infrastrukturen früh aufspüren und anschließend beheben.
Die Möglichkeiten zu einer besseren Absicherung sind inzwischen durchaus gegeben. Was jedoch noch fehlt, ist die Bewusstseinsschärfung der Anwender. Während ein stationärer Rechner ganz selbstverständlich über ein Passwort und über eine Firewall verfügt, bewegen sich IoT-Geräte offenbar noch in einer mentalen Grauzone. Erst, wenn Nutzern und Unternehmen die Risiken wirklich bewusst werden, können die Geräte flächendeckend gesichert oder Angriffe zumindest stark erschwert werden.
Über den Autor: Thomas Haase ist Security Experte bei T-Systems Multimedia Solutions.
(ID:44767856)