IoT-Sicherheit – Wie Dich Smart Home Geräte in eine Straftat verwickeln!

https://lippke.li/wp-content/uploads/2021/12/IoT-Sicherheit-Hacking-Series-Steffen-Lippke.png

IoT-Sicherheit? Was soll der Begriff?

Die Hersteller von Smart Home Geräte und Industrie Sensoren nehmen das mit der IT-Sicherheit nicht so ernst…

… während diese verantwortlich für Straftaten sind (DDoS).

Was läuft hier falsch? Dieser Beitrag erklärt es dir!

Beginnen wir!

Was ist IoT?

00 Smarthome Zigbee - IoT Sicherheit erklärt Hacking Series Steffen Lippke
00 Smarthome Zigbee – IoT Sicherheit erklärt Hacking Series Steffen Lippke

Ein IoT-Gerät ist ein Computer mit einem Sensor oder Aktor, welches mit dem Internet verbunden ist. Die Informatik hat sich nicht auf eine einheitliche Definition geeinigt, weil der Begriff sehr schwammig ist. Beispiele für IoT-Gerät sind:

  • Lichtschalter und Bewegungssensoren
  • Lüftungsanlagen / Klimaanlagen
  • Sensoren an Robotern

Wie funktionieren IoT-Geräte?

IoT-Geräte sind oft Kleinst-Computer mit einem Linux-Betriebssystem und einer energiesparenden Hardware-Architektur. Sie sind an das Internet häufig über Wlan, Zigbee ode Z-Wafe angebunden.

Die Bandbreiten und Mengen an Daten, die die Geräte pro Aktion bewegen ist beschränkt auf z. B.:

  • Ist die Lampe an oder aus? (boolean)
  • Welche Temperatur ist in diesem Raum? (Float)
  • Ist es Tag oder Nacht? (boolean)
  • Bewegt sich ein Objekt im Raum? (boolean)

IoT-Hacks in der Vergangenheit

Das Hacking von IoT-Geräten hat einen entscheidenden Unterschied:

Die Nutzer mit den gehackten IoT-Geräten merken keine persönlichen Auswirkungen, während andere Opfer die Auswirkungen zu spüren bekommen. Die gehackten Geräte sind selbst das Hacking-Tool (Botnet), was die Hacker gegen eine dritte Partei einsetzen.

Bekannte Botnets sind z. B. das Mirai-Botnet und Necrus.

Die Angreifer können mit einer Command-Conquer-Struktur die gehackten IoT-Geräte anweisen das gewünschte Opfer anzugreifen.

Steffen Lippke

Die gekaperten IoT-Geräte senden stundenlang unnütze Anfragen an den Opfer-Server, die nur schwer zu filtern sind. Große Cloud-Unternehmen müssen die riesigen Datenmengen Black-holen, damit der Opfer-Server für die echten Kunden verfügbar bleibt.

03 DDoS Schutz ist nicht einfach - IoT Sicherheit erklärt Hacking Series Steffen Lippke
03 DDoS Schutz ist nicht einfach – IoT Sicherheit erklärt Hacking Series Steffen Lippke

Wenn die Kunden nur wüssten …

Die meisten bisher verkauften IoT-Geräte nutzen nicht die Lösungen, die ich in diesem Beitrag vorschlage.

Deine smarte Klingel, Überwachungskamera oder Lichtschalter verursachen Tag für Tag Schäden bei unschuldigen Opfern. Die meisten Besitzer von diesen Geräten wissen nicht, dass sie in Straftaten wie DDoS-Angriffe verwickelt sind.

02 DDoS Angriffe - IoT Sicherheit erklärt Hacking Series Steffen Lippke
02 DDoS Angriffe – IoT Sicherheit erklärt Hacking Series Steffen Lippke

Die Käufer von IoT-Geräten wissen auch nicht, dass solche Geräte normale Hack-bare Computer sind. Heute kannst Du im Baumarkt die intelligenten Glühbirnen und Schalter kaufen, die die Hersteller immer billiger anbieten.

Der Preisdruck steigt mit den neuen Anbietern, die den Markt mit neuen Smart Home Geräten überschwemmen.

Steffen Lippke

Die Nutzer von jetzigen Smarthome Geräten müssten ihre Geräte mit dem notwendigen Fachwissen analysieren, um zu wissen, ob ein Hacker bereits Zugriff auf das Gerät hatte. Die Hacker stellen die ursprüngliche Funktion des Geräts sicher, damit der Nutzer nicht auf die Idee kommt, das ein Hacker im Spiel sein könnte.

Falls ein Hacker zu weit geht, ersetzt der Besitzer das ganze Gerät, weil dieser denkt, dass der Sensor (Hardware) defekt ist. Ein Hacker könnte sich Software technisch übernommen und die ursprüngliche Funktion deaktiviert haben.

Dein Nutzen für IoT-Sicherheit

…, wenn ich doch nicht betroffen bin.

Früher oder später kannst Du als Privatperson oder Unternehmen Opfer von eines DDoS-Angriffs sein.

Wir müssen weltweit zusammen Handeln, um diese Herausforderung anzugehen und den Angriffen effektiv vorzubeugen.

Steffen LIppke

Auf der anderen Seite kann Dein IoT-Gerät nicht nur ein Problem für ein anderes Opfer werden, sondern auch für Dich selbst. Die Hacker könnten über diese Lücke in Dein Netzwerk eindringen. Die Kriminellen können Kameras anzapfen und in Gebäude einbrechen, wenn keiner sich im Gebäude befindet.

Sie können in Kühlkammern die Kühlung ausschalten und verderbliche Ware zerstören.

Was ist bei der IoT-Sicherheit anders?

01 RFC nehmen die Geräte unter die Lupe - IoT Sicherheit erklärt Hacking Series Steffen Lippke
01 RFC nehmen die Geräte unter die Lupe – IoT Sicherheit erklärt Hacking Series Steffen Lippke
  • Die Menge an Geräten: Große Unternehmen haben hunderte oder tausende Geräte im Einsatz. Selbst in den privaten Smart Homes können 100 Geräte zusammen kommen. Das Patching der Geräte ist mit einem großen Aufwand verbunden.
  • Kunterbunte Software: Jedes System braucht seine Extra-Behandlung, funktioniert anders, nutzt ein anderes Betriebssystem und ist anders mit dem Internet verbunden.
  • Die Erreichbarkeit: IoT-Geräte können ausfallen und tagelang nicht erreichbar sein. Ein vollständiges Patchen alle Geräte im Unternehmen kann Wochen dauern.
  • Die Leistung: Jeder Patch bringt die Gefahr mit sich, dass das Gerät nicht mehr das erfüllt, was das Gerät ursprünglich erfüllen sollte.
  • Die Hardware: Neue Software bringt meist höhere Hardware-Anforderungen mit sich. Die Hersteller wollen die Geräte so kostengünstig wie möglich produzieren neuen höheren Hardware-Anforderungen machen das System unbrauchbar.

Wie greifen Hacker IoT-Geräte an?

Weil IoT-Geräte Computer sind, können Hacker über Schwachstellen oder Fehlkonfigurationen in das Gerät eindringen. Ein häufiger Fehler ist, dass die Systeme mit Standardpasswörtern ausgestattet sind. Standard-Anwendungen wie ein Tomcat oder das Telnet haben von Werk aus das Standard-Passwort.

Die Hacker testen das Standard-Passwort aus, loggen sich ein und führen ihren Code auf dem IoT-Gerät aus, ohne auf weitere Barrieren zu stoßen.

Herausforderungen mit der IoT-Sicherheit

Eine große Herausforderung bei IoT-Geräten ist das Patch-Management.

Selbst wenn die Hersteller ihre Geräte richtig konfiguriert haben, kann eine Schwachstelle in der Zukunft dazu führen, dass das Gerät anfällig wird. Weil die meisten IoT-Geräte nicht regelmäßig gewartet werden, sind diese Geräte für Hacker ein einfaches Ziel.

Lösungen – Wie kann ich IoT sicher machen?

Die Hersteller müssen im ersten Schritt die Geräte von Werk ab richtig konfigurieren und eigene Passwörter setzen. Die Geräte sollen gehärtet sein:

  1. nur die Programme installiert sein, die notwendig sind.
  2. Ports schließen, die das Gerät nicht braucht.
  3. Die (Sensor)-Software soll mit Nicht-Admin-Berechtigungen funktionieren z. B. Sensordaten auslesen und per W-LAN weiter senden

Im zweiten Schritt sollen die Hersteller eine Patch-Garantie für 2 Jahre geben, in der die Geräte bei aufkommenden Schwachstellen ein Patch rechtzeitig erhalten.

Der Hersteller muss dem Nutzer die Möglichkeit geben, Patches selbst zu installieren (- wer technisch affin ist). Die Otto-Normal-Verbraucher sollten die Möglichkeit haben einen erweiterten Patch-Service zu kaufen oder damit ein Dritt-Unternehmen beauftragen zu können.

Freie Marktwirtschaft nicht optimal für IT-Sicherheit

Auf dem freien Markt gewinnt immer der Hersteller, der am kostengünstigsten ein Produkt anbieten kann. Um Sicherheit zu gewährleisten, muss der Hersteller IT-ler anstellen, die Geld kosten. Diese Kosten erhöhen den Preis des Produkts.

04 Duden Definition von Ökonmisch - IoT Sicherheit erklärt Hacking Series Steffen Lippke
04 Duden Definition von Ökonmisch – IoT Sicherheit erklärt Hacking Series Steffen Lippke

Eine billigere Variante, die sich nur auf die Funktion konzentriert, kann ein Hersteller günstiger anbieten.

Die meisten Käufer gehen davon aus, dass Sicherheit „selbstverständlich“ ist. Sie schauen nicht nach den BSI-Standards, ob diese eingehalten werden, sondern nach der Funktion und dem Preis.

Steffen Lippke
  • Welche Sensoren hat das Gerät?
  • Ist mein Smartphone kompatibel?
  • Was kostet es?

Und nicht…

  • Wurde das Standard-Passwort von Telnet geändert?
  • Wird das Gerät auch in 2 Jahren noch gepatcht?

Neben der Hardware-Garantie, sollte der Gesetzgeber eine Patch-Garantie forcieren, weil eine freie Marktwirtschaft aus ökonomischen Gesichtspunkte die IoT-Sicherheit nie ernst nehmen wird.


Danke fürs Lesen! Erhalte weitere Tutorials in meinem kostenlosen Newsletter.
Jeden Monat teile ich mit Dir 4 neue praxisnahe Tutorials.
Trage Deine Mail zum kostenlosen Empfang des Newsletters* ein.




Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA
*) Mit dem Abonnement des Newsletters erklären Sie sich mit der Analyse des Newsletters durch individuelle Messung, Speicherung und Analyse von Öffnungsraten und der Klickraten in Profilen zu Zwecken der Gestaltung künftig besserer Newsletter einverstanden. Sie können die Einwilligung in den Empfang des Newsletters und die Messung mit Wirkung für die Zukunft widerrufen. Mehr in der Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


Jeden Monat teile ich mit den Mitgliedern
4 neue praxisnahe ausführliche Tutorials (je 1000+ Wörter).


Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Website nutzt nur technisch notwendige Cookies.