Wie ist es um die Sicherheit bestellt?

Internet of Things: Vorsicht vor Attacken

Bereits über acht Milliarden vernetzte Geräte tummeln sich im Internet of Things (IoT) – Tendenz steigend. Doch wie ist es hierbei um die Sicherheit bestellt?

Die Angriffe im Internet of Things folgen in der Regel immer einem simplen Prinzip...

Die Angriffe im Internet of Things folgen in der Regel immer einem simplen Prinzip...

Neben den Vorteilen der stärkeren Vernetzung, wie mehr Effizienz bei Produktionsabläufen oder eine schnellere Informationsgewinnung, birgt dieser Trend auch Risiken. Angreifer haben zahlreiche Zugriffsmöglichkeiten, können Geräte infizieren und diese für kriminelle Zwecke missbrauchen. Oftmals haben es Hacker nur allzu leicht durch ein mangelndes Verständnis der Risiken und eine fehlende Qualitätssicherung.

Ob es nun vernetzte Uhren, Brillen oder Produkte aus dem Smart Home, wie Heizungs-, Licht- oder Kühlsysteme, sind – das Internet of Things erfährt bereits heute zunehmende Verbreitung im täglichen Leben. Der Hard- und Software-Hersteller Dell EMC prognostiziert eine Nutzung von mehr als 200 Milliarden IoT-Clients bis zum Jahr 2031 – also weit mehr als die aktuelle Weltbevölkerung. Neben den Annehmlichkeiten, die diese Entwicklung mit sich bringt, kursieren allerdings auch immer mehr Meldungen und Nachrichten über Schwachstellen, gehackte Systeme und daraus resultierende Schäden für Endnutzer und Unternehmen.

IoT-Geräte kaum gesichert


Die Angriffe folgen in der Regel immer einem simplen Prinzip, das durch die Ausdehnung des IoT im großen Maßstab begünstigt oder sogar erst ermöglicht wird. Das Bot-Netz Mirai griff z.B. das US-Unternehmen DYN an, wodurch Netflix und Spotify kurzzeitig ausfielen. Bei einer solchen DDoS-Attacke (Distributed Denial of Service) kapern Hacker viele verschiedene Endgeräte und lassen diese dann eine große Anzahl von Anfragen an ein bestimmtes Ziel aussenden. Unter der Last der Anfragen bricht das Ziel zusammen und reguläre Anfragen können nicht mehr wie gewohnt bearbeitet werden. Das Unternehmen, das Ziel des Angriffs wurde, erfährt dadurch oftmals einen großen wirtschaftlichen Schaden und gleichzeitig einen Imageverlust.

Die zunehmende Anzahl der Geräte spielt Hackern also in die Hände. Darüber hinaus ist ein weiteres Problem, dass viele dieser Geräte nur schlecht bis gar nicht gesichert sind und Angreifer dadurch allzu oft ein leichtes Spiel haben. Selbst grundlegende Maßnahmen wie möglichst sichere Passwörter lassen viele Geräte vermissen. Entweder verwenden die Nutzer Standardeinstellungen, stellen gar nicht erst Passwörter ein oder nutzen viel zu schwache. Hier sind auch die Anbieter von IoT-Lösungen gefragt, die Starteinstellungen möglichst sicher aufzusetzen. Gleich nach der Anmeldung eines Geräts sollten die Einstellungen vorsehen, dass der Nutzer das werkseitig vergebene Passwort ändern und ein neues, mit einem Mindestmaß an Länge und verschiedenen Zeichen, festlegen muss.

Kriminelles Hacking leichter denn je


Das Vorgehen eines Penetrationstests, wie sie Dienstleister wie T-Systems Multimedia Solutions realisieren, zeigt, dass Angriffe heute einfach durchgeführt werden können. Genauso wie legale Hacker diese Methode nutzen, um Systeme vor einem Launch auf Schwachstellen zu prüfen und diese dann rechtzeitig zu beheben, verwenden Kriminelle das Vorgehen, um Schwachstellen für ihre Zwecke zu nutzen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) definiert den Penetrationstest, und damit auch einen möglichen Angriff, in fünf aufeinander aufbauenden Phasen. Drei davon seien hier in Kürze beschrieben:

1. Zunächst beginnt ein Angriff mit der Vorbereitung. Kriminelle Hacker machen sich ausführlich mit ihrem eigentlichen Ziel vertraut, analysieren im Vorfeld die Schwachstellen und entscheiden sich auf Basis dessen für das aussichtsreichste Angriffswerkzeug.

2. Der nächste Schritt ist ein passiver Penetrationstest, wodurch Hacker mögliche Opfer ausfindig machen, bei denen der spätere Einsatzzweck berücksichtigt wird. IoT-Geräte sind in der Regel mit kleineren Speichern und weniger Rechenleistung ausgestattet als stationäre Computer. Um z.B. ein Bot-Netz für eine DDoS-Attacke zu erstellen, können diese Informationen wichtig sein. Genauso sind die Gerätespezifikationen für das bewusste Streuen von Malware oder den Missbrauch vertraulicher Daten von größter Bedeutung für Hacker. Allerdings ist es mehr als einfach, die passenden Geräte für einen Angriff zu finden. Es existieren Suchmaschinen, die Hackern genau diese Aufgabe abnehmen. Über Shodan etwa können Hacker über die IP-Adresse alle möglichen Geräte im IoT aufspüren und sogar die Art und die Betriebsversion bestimmen. Es spielt keine Rolle, ob es sich hierbei um eine Fritz Box, ein Kassensystem oder einen Herzschrittmacher handelt – quasi jedes Gerät lässt sich per Knopfdruck finden und mit ein wenig Know-how auch ansteuern. Die Geräte, die beim passiven Penetrationstest die größten Schwachstellen aufweisen, fügen die Hacker ihrer Datenbank aus IP-Adressen hinzu, um sie für einen späteren Angriff nutzen zu können.

3. Die Datenbank kommt in der dritten Phase zum Einsatz. Hacker kompromittieren die IP-Adressen, „kapern“ sie quasi. Manchmal brechen dadurch gleichzeitig viele Geräte des gleichen Typus zusammen, wodurch der Angriff bemerkbar wird. In vielen Fällen jedoch versuchen Hacker alles, um ihr Vorgehen im Stillen und unbemerkt durchzuführen, während die ursprüngliche Funktion der Geräte weiterhin unbeeinträchtigt bleibt. Websites wie „Satan“ bieten Anleitungen und vorgefertigte Baukästen, mit denen Kriminelle völlig problemlos und nahezu automatisch schädliche Software erstellen können.

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Das IoT ist eine Entwicklung, die sowohl im privaten als auch im geschäftlichen Bereich Vorteile mit sich bringen kann. Dennoch ist es gerade durch die zunehmende Verbreitung und die einfache Vorgehensweise der Angreifer wichtig, eine flächendeckende Qualitätssicherung für IoT-Geräte zu etablieren, um Hackern ihre Arbeit so schwer wie möglich zu machen.

Tipps zur Absicherung von IoT-Geräten

Passwort: Jedes Gerät sollte ein eigenes Passwort erhalten, das zufällig ist und aus möglichst vielen Buchstaben, groß und klein, sowie Sonderzeichen besteht. Auch zu Hause müssen Mitarbeiter ihre Geräte gut sichern, wenn sie auf das Arbeitssystem zugreifen können. Ein gekapertes Gerät eines Mitarbeiters ermöglicht den Zugriff auf das gesamte Netzwerk am ­Arbeitsplatz.
Identifikations-Software: Mit der richtigen Software, die Malware oder eine Fremdeinwirkung sofort identifiziert und warnt, kann einem Angriff schnell entgegengewirkt werden.
Sicherheitstests: Regelmäßige Test durch Profis auf Schwachstellen hin vermeiden im Vorfeld erfolgreiche Angriffe.
Integration Consulting: Hard- und Software sowie Updates sollten vor der Installation immer von einem internen Admin oder aber einem externen Dienstleister geprüft und abgesegnet werden.

Quelle: T-Systems Multimedia Solutions


Bildquelle: Thinkstock/Moodboard

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok