Internet der Dinge: Alles andere als sicher

Triviale IoT-Angriffspunkte

Im Interview erklärt Raphael Labaca Castro, Sicherheitsanalyst bei Eset, wie leicht sich Geräte im Internet der Dinge manipulieren lassen. Dabei reichen die Spielarten von IoT-Angriffen von Man-in-the-Middle-Aktionen über Ransomware bis hin zu DDoS-Attacken.

Raphael Labaca Castro, Eset

Raphael Labaca Castro ist Analyst bei dem Sicherheitsspezialisten Eset.

IT-DIRECTOR: Herr Labaca Castro, welche großen Sicherheitslücken existieren aktuell im Internet der Dinge?
R. Labaca Castro:
Das wohl größte Problem des Internets der Dinge liegt darin, dass vernetzte Endgeräte vieler Hersteller nicht gemäß grundlegender Sicherheitsaspekte entwickelt werden. Ein höchstmögliches Maß an Benutzerfreundlichkeit sticht ein grundlegendes Maß an Sicherheit meist aus. Wichtig ist es daher, beide Dimensionen im Rahmen des Entwicklungsprozesses sinnvoll miteinander zu verbinden. Durch die Nachlässigkeiten bei der Datensicherheit beobachten wir in neuen Endgeräten eine zunehmende Anzahl von Schwachstellen, die meist schon durch triviale Angriffsszenarien ausgenutzt werden können.

IT-DIRECTOR: Wie lassen sich diese Lücken schließen?
R. Labaca Castro:
Um Schwachstellen möglichst schnell und nachhaltig schließen zu können, muss es möglich sein, die Firmware von vernetzten Geräten auf einfache Art und Weise zu patchen. Dies geschieht in der Regel durch ein Update. In einigen Fällen ist es notwendig, eine Update-Datei aus dem Internet herunterzuladen und über einen USB-Stick in das betroffene Informationssystem einzuspielen, wie es beispielsweise im vergangenen Jahr bei einer Schwachstelle in Fahrzeugen der Marke ‚Jeep‘ geschehen ist. Für Ungeübte war die Fahrt zum Händler eine Alternative.

Das Problem: In beiden Fällen war der Nutzer in der Pflicht, selbst aktiv zu werden – nicht sehr benutzerfreundlich und in vielen Fällen mit großer zeitlicher Verzögerung verbunden. Eine Lösung für dieses Dilemma wäre es, Geräte im Internet der Dinge als sogenannte ‚Endpoints‘ zu behandeln, die automatisch über das Internet aktualisiert werden können. Dies macht zwar einen Endpunktschutz für den Internet-Zugang notwendig, schafft dafür jedoch ein hohes Maß an Benutzerfreundlichkeit, Sicherheit und befindet sich im Rahmen des technisch Machbaren.

IT-DIRECTOR: DDoS-, Man-in-the-Middle- oder Ransomware-Attacken: Welche Methoden nutzen Cyber-Kriminelle bevorzugt zum Angriff auf IoT-Installationen?
R. Labaca Castro:
Normalerweise handelt es sich um sehr gezielte Attacken, bei denen das Opfer im Vorfeld ausgesucht wird. Man muss dazu sagen, dass diese gezielten Angriffsszenarien und -vektoren in Verbindung mit dem Internet der Dinge bisher zumeist nur theoretisch und unter Laborbedingungen durchgeführt wurden und es somit glücklicherweise gar nicht erst ins echte Leben geschafft haben. Man-in-the-Middle-Attacken sind eines der am einfachsten umsetzbaren Szenarien, da hierbei unverschlüsselte Kommunikation zwischen IoT-Installation und Internet-Endgerät abgehört wird.

Ist hingegen Ransomware im Spiel, so handelt es sich um einen Angriff, der ein Opfer auch innerhalb eines Autos oder in den eigenen vier Wänden treffen kann. Die Folgen eines solchen Angriffes können rasch eskalieren: Man muss sich nur einmal vorstellen was passieren könnte, wenn Ransomware beispielsweise während der Fahrt eines kompromittierten Kraftfahrzeuges aktiv wird. Denn dadurch könnte der Fahrer bei hoher Geschwindigkeit nur wenige Sekunden vom Straßenverkehr abgelenkt, die Bremse betätigt oder beschleunigt werden, wenn einer Lösegeldzahlung, z.B. durch Erpressung der Kreditkartendaten über eine bestehende Telefonverbindung, nicht umgehend nachgekommen wird. Das alles mag surreal klingen, ist mit Verweis auf den ‚Jeep‘-Hack aber keinesfalls Zukunftsmusik: So konnten die Forscher von der Couch aus viele wichtigen Fahrzeugfunktionen steuern, darunter Klimaanlage, Scheibenwischer und eben auch Bremse sowie Beschleunigung.

Zuletzt sind auch DDoS-Attacken bei Endgeräten des Internet der Dinge denkbar. Diese setzen voraus, dass das Endgerät einen Zugriff von außen erlaubt, sodass endlose Zugriffsversuche zum Zusammenbruch der Funktionalität führen. Auch existiert heute schon Schadsoftware, die ein brachliegendes Endgerät nach einer DDoS-Attacke infiziert und im Anschluss sensible Informationen ausspäht.

IT-DIRECTOR: Stichwort „Internet der Dinge“: Werden Connected Cars oder Industrie-4.0-Anlagen gehackt, ist großer Schaden vorprogrammiert. Wie sollte eine umfassende Sicherheitsstragie für die Geräte im Internet der Dinge aussehen?
R. Labaca Castro:
Für die Sicherheit von Connected Cars steht wie bereits erwähnt die Nutzerfreundlichkeit im Fokus: So sollte ein ausgeklügeltes Sicherheitskonzept die Basis bilden, während Sicherheits-Updates ohne Zutun des Nutzers über WLAN oder das Mobilfunknetz eingespielt werden können. Für Industrie-4.0-Anlagen gibt es keine Immunitätsgarantie für Angriffe von außen. Dies liegt schon darin begründet, dass das Grundprinzip von Industrie 4.0 die Verfügbarkeit großer Datenmengen vorsieht, um verschiedenste Systeme miteinander zu verbinden. Diese Informationen können für Cyberkriminelle sehr wertvoll sein.

Wenn wir allgemein über Sicherheit im Internet der Dinge und folglich auch Industrie 4.0 sprechen, müssen wir unser Paradigma bei der Konzeption von Sicherheitskonzepten überdenken: Zusätzliche Sicherheitsschichten in Verbindung mit implementierten Sicherheitsvorkehrungen am Endpunkt bilden in der Zukunft den Leitgedanken im Rahmen der Konzeption von Großanlagen und Connected Devices. Verschlüsselung und sichere Ablageorte für Passwörter werden für die Sicherheit von Infrastrukturen ebenfalls wichtig.

IT-DIRECTOR: Welche Rolle spielt dabei Verschlüsselung?
R. Labaca Castro:
Schon heute spielen Verschlüsselungsalgorithmen eine essentielle Rolle, wenn es um Datensicherheit geht. Aus diesem Grund ist ein robustes Kodierungssystem ein wichtiges Tool des kunterbunten Security-Werkzeugkastens, selbstverständlich auch in Bezug auf Industrie 4.0 und das Internet der Dinge.

IT-DIRECTOR: Was spricht für die Nutzung von Verschlüsselung im Internet der Dinge (z.B. Schutz, Verfügbarkeit) und was dagegen (z.B. erforderliche Bandbreiten, Performance)?
R. Labaca Castro:
Im Grunde sollte es während der Konzeption eines neuen verbundenen Endgeräts nicht viele Gründe geben, die gegen eine solide Verschlüsselung sprechen. Security-by-Design ist hier die Zukunft. Technologie entwickelt sich in der Regel konsequent weiter, hier müssen Security-Merkmale aufschließen. Erforderliche Bandbreiten und Performance-Einbußen müssen sich dabei immer so weit im Rahmen halten, dass sie den Betrieb nicht beeinflussen – hier besteht in jedem Fall ein Zielkonflikt, der abgewogen und ausgeglichen werden muss.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok