Internet der Dinge und Security Steigende Sicherheitsrisiken durch vernetzte Geräte

Autor / Redakteur: Laurence Pitt / Peter Schmitz |

Vor knapp drei Jahren war das Internet der Dinge (Internet of Things, IoT) noch ein neues Konzept und Verbraucher investierten in Geräte, weil sie cool waren oder die Lebensqualität verbesserten. Dieser Markt hat in den letzten Jahren ein starkes Wachstum gesehen, gleichzeitig hat sich das Internet der Dinge rasant weiterentwickelt. Fast jedes Gerät lässt sich mittlerweile vernetzen – Sicherheitskameras, Smartphones, Tablets und Server wie auch Roboter, Kühlschränke und Espressomaschinen.

Anbieter zum Thema

Das Internet der Dinge wächst und bringt neue innovative Produkte hervor. Allerdings wird es auch anfälliger, denn die Marge ist für viele Hersteller wichtiger als die Sicherheit.
Das Internet der Dinge wächst und bringt neue innovative Produkte hervor. Allerdings wird es auch anfälliger, denn die Marge ist für viele Hersteller wichtiger als die Sicherheit.
(© zapp2photo - stock.adobe.com)

Die generelle Erwartungshaltung im Hinblick auf das Internet der Dinge hat dazu geführt, dass immer mehr Geräte mit Chips ausgestattet sind und vernetzt werden können. Das Thema Sicherheit kam dabei häufig zu kurz. Wer würde schon eine Waschmaschine oder einen Toaster hacken wollen? Darüber hinaus sollten die Geräte trotz aller Vernetzung einfach zu handhaben und weiterhin kostengünstig sein. Security-Belange sind dabei ein Faktor, dessen Kosten nicht einkalkuliert sind und den viele Hersteller nicht verstehen. Selbst solche Geräte, die über Sicherheitsfunktionen verfügen, sind häufig nicht korrekt konfiguriert oder werden nicht kontinuierlich aktualisiert.

Die hohe Nachfrage drückt den Preis zusätzlich, Security ist von geringerer Bedeutung als die Marge. Manche Hersteller erlauben einen Remote-Zugriff für Firmware-Updates oder setzen Sicherheitsstandards ein, die nur sehr wenig Schutz bieten. Die Implementierung von traditionellen Anti-Virus-Funktionalitäten erfordert zusätzliche Hardware und Vernetzungsfunktionen, die die Produktionskosten erhöhen. Gleichzeitig schützt diese Art der Software nicht zuverlässig vor Cyber-Angriffen. 2015 wurden mehr als 430 Millionen neue Malwares entdeckt, was 13 neuen Malware-Applikationen pro Sekunde entspricht. Um gegen Angriffe auf das Internet der Dinge gewappnet zu sein, ist ein komplett neues Security-Modell notwendig. Dieses muss Malware nicht nur entdecken und verstehen, sondern quasi antizipieren – eine Art prediktives Sicherheitsmodell. Damit wäre gewährleistet, dass die Bedrohung ausgeschaltet werden kann, bevor sie das Gerät infiziert oder es als Einfallstor für weitere vernetzte Devices nutzen kann. Traditionelle Security-Modelle für das IoT sind diesen Anforderungen nicht gewachsen.

Dabei hat das Internet der Dinge das Leben bereits signifikant verändert: Virtual Reality (VR) Headsets, Wearables, die Fitness und Ernährungsgewohnheiten aufzeichnen, Kameras und Thermostate, die per App geregelt werden. Digitale TV-Set-Top-Boxen, Heizungen und bald vielleicht auch Lampen oder Türklingeln – die Möglichkeiten sind fast unendlich. Besonders kritisch aus Security-Perspektive sind beispielsweise Herzschrittmacher, Diabetes-Monitore oder OP-Roboter.

Alle diese Geräte speichern Identitäts- und Nutzungsdaten sowie in manchen Fällen auch Finanzdaten. Manche verfügen außerdem über Telemetrie-Informationen, die in der Cloud gespeichert werden, oder ortsbezogene Daten – für Cyber-Kriminelle eine wahre Schatztruhe an Daten. Momentan gibt es keine Sicherheitsstandards, die in vernetzte Geräte implementiert werden müssen, daher werden Angriffe bald zur Tagesordnung gehören. Identitätsdaten wie Kreditkarten, Informationen zum Bankkonto etc. lassen sich im Dark Web gewinnbringend verkaufen. Viel gefährlicher ist aber der Diebstahl von Zugriffsdaten für Unternehmensnetzwerke, mit denen Hacker Zugang zum geistigen Eigentum einer Organisation erhalten. Dazu müsste beispielsweise nur die App gehackt werden, mit der sich die Heizung kontrollieren lässt –schon ist das Smartphone oder Tablet kompromittiert, mit dem Mitarbeiter auch ihre geschäftlichen E-Mails checken. Loggen sie sich das nächste Mal ein, erhält der Cyber-Kriminelle die Identitätsdaten und das Passwort und kann darüber weiter in das Netzwerk vordringen.

Denn: Vernetzte Geräte sind einfach gestaltete Computer die über die dazugehörige Software – in diesem Fall Apps, die die Daten oftmals unverschlüsselt in die Cloud senden und dort abspeichern – mit dem Internet verbunden sind und sich so aus der Ferne neu programmieren lassen. Der Mirai Wurm beispielsweise hat sich über DDoS (Distributed Denial of Service)-Angriffe öffentlicher Websites und Service Provider verbreitet. Mittlerweile gibt es auch „Botnet for Sale“-Services, die bis zu 600.000 mit Mirai infizierte Geräte anbieten, die entsprechend programmiert und angriffsbereit sind. Solche Geräte habe keine (oder nur sehr wenige) integrierte Sicherheitsfunktionen. Ihre Kommunikation zu kontrollieren, Bedrohungen zu identifizieren oder sie abzuschalten sind enorm wichtige Funktionen, die Security erfüllen muss. Dazu gehören aber nicht nur Sicherheitsfunktionen oder -Geräte, sondern auch die Netzwerkebene, damit nicht nur das Gerät selbst, sondern die gesamte Infrastruktur geschützt ist. Damit ist eine aktive Sicherheitskontrolle und -Anwendung möglich.

Dies ist aber nur die Spitze des Eisbergs – in der Realität können vernetzte Geräte bald zu digitalen Spionen werden, die Daten und Informationen aus Heimnetzwerken abziehen und diese auch als Einfallstore in Unternehmen nutzen, zum Beispiel, wenn das kompromittierte Smartphone oder Tablet sich mit dem Firmennetzwerk verbindet. Dank Technologie kann fast jeder heute im Home Office arbeiten und hat remote Zugriff auf sensible Daten. Virtual Private Network (VPN) Lösungen erschweren es Datendieben, Informationen direkt abzuzapfen, daher werden diese sich das schwächste Glied in der Kette suchen. Dies kann das ungesicherter Telefon, der leicht zu hackende Router oder das ungesicherte Smart-TV-Gerät sein.

Unternehmen haben die Verantwortung, Anwenderdaten und die Netzwerkinfrastruktur abzusichern. Das Internet der Dinge ist aus Unternehmen ebenso wenig wegzudenken wie der Einsatz von Smartphones und Laptops. Dazu gehört der Schutz gegen die unterschiedlichen Malware-Arten, die teilweise bereits heute IoT-Geräte penetrieren können. Sicherheit muss daher eine End-to-End-Lösung sein, wozu beispielsweise eine Firewall gehört, die auf Basis von Machine Learning nicht nur die offensichtlichen Malware-Varianten erkennt, sondern Rückschlüsse auf die möglichen nächsten Varianten zulässt und gleichzeitig kontinuierlich den Netzwerkverkehr kontrolliert. Damit ist eine schnellere und präzisere Erkennung und Behebung von unbekannten und versteckten Bedrohungen möglich als mit Standalone-Firewalls. Die gesamte Security muss aufeinander abgestimmt sein und idealerweise schon bei der Planung berücksichtigt werden. Nur dann ist sie kein Stückwerk, sondern eine ganzheitliche Lösung.

Das Internet der Dinge wird weiterhin kontinuierlich wachsen und innovative neue Produkte hervorbringen. Allerdings wird es auch anfälliger: Mehr Unternehmen werden ausspioniert, Daten gestohlen und Netzwerke gehackt – weil Geräten die einfachsten Sicherheitsvorkehrungen fehlen. IoT-Geräte benötigen deutlich höhere Sicherheitsstandards, egal, ob es sich um Verbraucher oder Unternehmen handelt. Nicht bei allen Geräten, die sich vernetzen lassen, macht dies auch Sinn. Firmen, die Geräte entwickeln und produzieren, sollten hinterfragen, wann Verbraucher und Organisationen einen Mehrwert davon erhalten – und bei einer Entscheidung für Vernetzung in entsprechende Sicherheitsfunktionen implementieren. Denn einige IoT-Entwicklungen sind nützlich für Unternehmen,mache sind einfach nur cool.

Über den Autor: Laurence Pitt ist Security Strategist EMEA bei Juniper Networks.

(ID:44783633)