Sicherheit im Internet der Dinge

So leicht ist es, ein IoT-Gerät zu hacken!

| Autor / Redakteur: Michal Salat / Peter Schmitz

Millionen vernetzter Geräte sind inzwischen rund um die Uhr über das Internet erreichbar und oft brauchen Cyberkriminelle nur Minuten um tausende Systeme unter ihre Kontrolle zu bringen.
Millionen vernetzter Geräte sind inzwischen rund um die Uhr über das Internet erreichbar und oft brauchen Cyberkriminelle nur Minuten um tausende Systeme unter ihre Kontrolle zu bringen. (Bild: Pixabay / CC0)

Die Digitalisierung schreitet voran und mit ihr auch das Internet der Dinge (IoT). Smarte Geräte kommunizieren miteinander und vernetzen selbst die sensibelsten Bereiche, um das Leben der Nutzer einfacher zu gestalten. Doch die Technologie hat auch eine Kehrseite, denn zahlreiche Cyberangriffe haben in den letzten Monaten gezeigt, welche Gefahr von der allumfassenden Vernetzung ausgehen kann. Doch wie leicht ist es tatsächlich, ein IoT-Gerät zu hacken?

In unserer modernen Welt sind smarte Geräte, die mit dem Internet der Dinge (IoT) verbunden sind, praktisch allgegenwärtig. Hersteller statten ganz gewöhnliche Gegenstände wie Spielzeug, Möbel, Autos und medizinische Geräte mit smarten Features aus, um sie attraktiver und wettbewerbsfähiger zu machen. Selbst Hersteller von Wasserflaschen fangen an, ihre Flaschen zu vernetzen. Das ist alles schön und gut, und der Trend ist nicht mehr aufzuhalten. Aber eines darf nicht zu kurz kommen: die Sicherheit. Avast hat in einer aktuellen Studie herausgefunden, dass hunderttausende IoT-Geräte Schwachstellen aufweisen. In Deutschland wurden mehr als 820.000 Netzwerke überprüft. Von den fast drei Millionen darin registrierten IoT-Geräten, sind über 175.500 Geräte unsicher. Außerdem weisen fast 140.000 Router (knapp 17 Prozent), mehr als 8.000 Drucker (5 Prozent) und über 1.000 Webcams (13 Prozent) Schwachstellen auf. Die Sicherheitsexperten warnen: Hacker benötigen nur ein einziges ungeschütztes Gerät, um eine Vielzahl von Geräten in ein riesiges Botnet zu verwandeln und für kriminelle Aktivitäten fernzusteuern.

Deswegen geraten Hersteller von IoT-Geräten zunehmend unter Druck, ihre Geräte mit Intelligenz auszustatten und sie immer schneller auf den Markt zu bringen; und kostengünstig sollen sie auch noch sein. Kein Wunder, dass die Sicherheit dabei häufig auf der Strecke bleibt. Ein Hersteller von Küchengeräten, der jetzt plötzlich smarte Toaster herstellt, hat sich nie zuvor mit Hackerangriffen und diesbezüglichen Sicherheitsvorkehrungen auseinandersetzen müssen und ist deshalb in dieser Hinsicht besonders verletzlich. Hinzu kommt, dass es in dieser Industrie bisher keinerlei Auflagen oder Anforderungen gibt, die die Hersteller bezüglich der Sicherheit ihrer smarten Geräte einhalten müssen. Stattdessen sind sie sich selbst überlassen, Kommunikationsstandards zu entwickeln, und da ist Sicherheit nicht unbedingt die oberste Priorität. Es überrascht also nicht, dass die intelligenten Geräte oft ohne Sicherheitsmechanismen auf den Markt kommen.

Webcam in 98 Sekunden durch Botnet infiziert

Ungeschütztes IoT-Gerät in Minuten gehackt!

Webcam in 98 Sekunden durch Botnet infiziert

01.12.16 - Wie gefährdet sind IoT-Geräte mit Internetzugang? Ein Sicherheitsexperte wollte es herausfinden, kaufte sich eine günstige IP-Kamera und schloss sie unter Beobachtung am Internet an. Innerhalb von Minuten hatte ein Bot das Gerät gefunden, innerhalb von Sekunden war es gehackt und infiziert. lesen

Wie verletzlich sind IoT-Geräte?

Da es den smarten Geräten an Sicherheitsfunktionen fehlt, sind sie ein richtiger Glücksfall für Hacker und können mit verschiedenen Methoden angegriffen werden, angefangen von rudimentären Bruce-Force-Methoden zum Knacken der Logindaten bis zu ausgeklügeltem Reverse Engineering. Oder es werden empfindliche Stellen und so genannte Zero-Day-Lücken im Betriebssystem ausgenutzt. Serviceleistungen und Angriffsmöglichkeiten zum Hacken von IoT-Geräten werden im Darknet angeboten, wo man sich leicht bedienen kann. Außerdem sind die Cyberkriminellen ständig damit beschäftigt, neue Arten von Netzwerken sowie Kommunikationsformen zu infiltrieren und die Kontrolle über diese an sich zu reißen.

Cyberkriminelle machen sich auch Shodan zunutze, um einen Überblick über verletzliche IoT-Geräte zu erhalten. Mit dieser Suchmaschine sucht man nicht nach Internetseiten, sondern nach Geräten, die mit dem Internet der Dinge verbunden sind und möglicherweise Schwachstellen aufweisen – von Systemen für das vernetzte Zuhause über Ampelanlagen und Sicherheitskameras. Dadurch ist die Suchmaschine nicht nur unter Sicherheitsforschern mit guten Intentionen beliebt, sondern auch bei Cyberkriminellen, da mögliche Angriffsziele einfach aufgespürt werden können. Shodan scannt das Internet, analysiert die Ergebnisse und speichert die Informationen in einer Datenbank ab. So sammelt die Suchmaschine jeden Monat Informationen von mehr als 500 Millionen mit dem Internet verbundenen Geräten und Diensten. Shodan verdeutlicht das Grundproblem des wachsenden IoT und zeigt, welche Folgen die mangelnde Sicherheit vieler vernetzter Geräte nach sich ziehen kann.

Kriminelle greifen IoT-Geräte an

Linux im Visier

Kriminelle greifen IoT-Geräte an

19.10.17 - Smarte Geräte locken nicht nur Käufer, sondern auch Kriminelle an. Neue Malware versucht die Geräte zu übernehmen und anschließend die Ressourcen zu missbrauchen. lesen

Wie schwierig ist es, ein IoT-Gerät zu hacken?

Nachdem Cyberkriminelle verletzliche IoT-Geräte entdeckt haben, müssen sie nur noch wissen, wie das Gerät gehackt werden kann – und das ist erstaunlich leicht. Der einfachste Weg, ein smartes Gerät zu hacken, ist die Bruce-Force-Methode zum Ermitteln des Kennworts oder die Verwendung der ab Werk vorgegebenen Logindaten. Botnets, die man sich im Darknet ausleihen kann, ermöglichen es den Hackern, mühelos Tausende von Geräten auf einen Schlag zu infizieren. Viele Hersteller verwenden aus Kostengründen dieselben Standard-Logindaten für all ihre Geräte, statt für jedes ein eigenes Kennwort zu definieren.

Eine der schlimmsten Bedrohungen im Internet der Dinge des letzten Jahres war das Mirai Botnet, das Tausende von smarten Geräten infizierte, indem es mithilfe von Standard-Logins massive DDoS-Angriffe auslöste. Da der Quellcode von Mirai veröffentlicht wurde, kann praktisch jeder sein eigenes IoT-Botnet betreiben oder den Programmiercode beliebig umschreiben – deshalb sind zahlreiche Mutationen von Mirai aufgetaucht.

Andere Arten zur Infizierung eines IoT-Geräts sind sehr viel komplexer und nur gegen teures Geld zu haben - und deshalb weniger häufig. Das Reverse-Engineering von Firmware oder eines Betriebssystems erfordern fundierte technische Kenntnisse und zeitliche Investitionen. Sogenannte „Zero-Day-Lücken“, die Schwachstellen ausnutzen, kosten Tausende von Dollar.

Schwachstellensuche im Internet of Things

IoT Security Scanner

Schwachstellensuche im Internet of Things

09.12.16 - IT-Sicherheit ist die große Schwachstelle des Internet of Things. Das IoT steckt voller Sicherheitslücken, so warnen viele aktuelle Studien, doch wie findet man diese Schwachstellen und wie sichert man sie ab? lesen

Was ist zu tun, um IoT-Geräte besser zu schützen?

Eine mögliche und wirkungsvolle Lösung zur Verbesserung der Sicherheit im IoT bestünde darin, den Anwendern die Möglichkeit zu geben, die Logindaten für ihre smarten Geräte auf einfache Weise zu ändern. Beispielsweise könnten Hersteller ihre Kunden dazu „zwingen“, die Logindaten ihrer Geräte zu ändern, indem sie die Eingabe eines eindeutigen und „starken“ Kennworts zu einem obligatorischen Schritt bei der ersten Inbetriebnahme des Geräts machen. Selbstverständlich lässt sich dies nicht immer umsetzen. Aber tatsächlich würde das Ändern der Logindaten die Zahl der „sicherheitsgefährdeten“ Geräte um ein Vielfaches reduzieren und Hackern, Möchtegern-Hackern und einfachen Such-Bots das Eindringen in IoT-Geräte erheblich erschweren. Alternativ könnten IoT-Gerätehersteller jedem Gerät ein eindeutiges, zufällig generiertes Kennwort zuweisen und dieses zusammen mit dem Gerät an den Kunden senden.

Die Ausgabe von Patch-Updates zum Schließen von Schwachstellen könnte helfen, smarte Geräte gegen derartige Angriffe immun zu machen. Hersteller verwenden heute oft überholte Versionen verschiedener Bibliotheken und Betriebssysteme, für die bereits erfolgreiche Angriffsmethoden entwickelt worden sind. Deshalb sind diese Geräte äußerst empfindlich. Außerdem gibt es sehr viele Geräte, deren Firmware nicht aktualisiert werden kann. Wenn also ein Hacker eine Schwachstelle nutzt, bleibt keine andere Möglichkeit als das Gerät für immer vom Netz zu trennen und es durch ein sichereres zu ersetzen.

Gigantische Botnetze aus dem Internet of Things

DDoS der Dinge (DoT)

Gigantische Botnetze aus dem Internet of Things

17.05.17 - Es wird erwartet, dass es bis zum Jahr 2020 24 Milliarden vernetzte IoT-Geräte weltweit geben wird. Die smarten Alltagsbegleiter schaffen allerdings neue Risiken für manipulative Eingriffe. Unternehmen, die sich bislang größtenteils auf analoge Geräte wie Kaffeemaschinen oder Kühlschränke konzentriert hatten, werden plötzlich zum IT-Anbieter. Massive Sicherheitsrisiken sind die Folge. lesen

Das Absichern von smarten Geräten würde nicht nur die persönliche Sphäre der Konsumenten schützen und DDoS-Angriffe verhindern, sondern könnte auch weit schlimmeren Dingen einen Riegel vorschieben. Es gab schon Proof-of-Concept-Attacken, die bewiesen haben, wie ganze IoT-Netze über ein einziges anvisiertes Gerät infiziert werden können, etwa eine Glühbirne oder ein Verkehrssensor. Solche Proof-of-Concept-Angriffe beweisen, was für ein massives Problem verletzliche smarte Geräte darstellen, und welche Schäden entstehen können, wenn die falschen Leute sie unter ihre Kontrolle bekommen. Man kann sich leicht vorstellen, wie Hacker den Verkehr durcheinanderbringen oder die Lichter einer ganzen Stadt ausschalten könnten. Hersteller von smarten Geräten müssen deswegen mit Sicherheitsexperten zusammenarbeiten und dafür sorgen, dass die Geräte mit den notwendigen Sicherheitsvorkehrungen ausgestattet und entsprechenden Tests unterzogen werden.

Über den Autor: Michal Salat arbeitet seit 2010 für die Avast Threat Labs und leitet heute als Threat Intelligence Director ein Team von zehn Analysten. Mit seinem Team konzentriert er sich auf die Identifizierung und Analyse neuer Malware-Arten. Zuvor war er als Programmierer und Networkadministrator tätig. Er hat einen Master-Abschluss für Systemprogrammierung von der Tschechischen Technischen Universität in Prag.

„IoT-Security ist auf dem Niveau von PCs der 90er-Jahre“

Interview

„IoT-Security ist auf dem Niveau von PCs der 90er-Jahre“

04.11.16 - Ein einzelner konzentrierter DDoS-Angriff konnte vergangenen Freitag einen Großteil des Internets lahmlegen. Der IT-Sicherheitsexperte Professor Hans-Joachim Hof spricht im Interview darüber, welche Rolle IoT-Geräte bei dem Hackerangriff spielten, mahnt das Gefahrenpotential unsicherer IoT-Devices an – und legt dar, welche Konsequenzen Unternehmen, Anwender und Hersteller daraus ziehen müssen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44993706 / Hacker und Insider)