IoT-Sicherheit erklärt – TOP Empfehlungen und Schutz

Was ist IoT-Sicherheit?

Wenn eine intelligente RGB-Lampe mit integriertem Computer (Controller), Wifi und Bluetooth nur 7 € kostet, wo bleibt das Budget für die Sicherheit?

Was läuft hier falsch? Dieser Beitrag erklärt es dir!

Beginnen wir!

Was ist IoT?

Ein IoT-Gerät ist ein Computer mit einem Sensor oder Aktor, welches mit dem Internet verbunden ist. Die Informatik hat sich nicht auf eine einheitliche Definition geeinigt, weil der Begriff sehr schwammig ist. Beispiele für IoT-Gerät sind:

• Lichtschalter und Bewegungssensoren
• Lüftungsanlagen / Klimaanlagen
• Sensoren an Robotern

Wie funktionieren IoT-Geräte?

IoT-Geräte sind oft Kleinst-Computer mit einem Linux-Betriebssystem und einer energiesparenden Hardware-Architektur. Sie sind an das Internet häufig über Wlan, Zigbee ode Z-Wafe angebunden.

Die Bandbreiten und Mengen an Daten, die die Geräte pro Aktion bewegen ist beschränkt auf z. B.:

• Ist die Lampe an oder aus? (boolean)
• Welche Temperatur ist in diesem Raum? (Float)
• Ist es Tag oder Nacht? (boolean)
• Bewegt sich ein Objekt im Raum? (boolean)

IoT-Hacks in der Vergangenheit

Das Hacking von IoT-Geräten hat einen entscheidenden Unterschied:

Die Nutzer mit den gehackten IoT-Geräten merken keine persönlichen Auswirkungen, während andere Opfer die Auswirkungen zu spüren bekommen. Die gehackten Geräte sind selbst das Hacking-Tool (Botnet), was die Hacker gegen eine dritte Partei einsetzen.

Bekannte Botnets sind z. B. das Mirai-Botnet und Necrus.

Die Angreifer können mit einer Command-Conquer-Struktur die gehackten IoT-Geräte anweisen das gewünschte Opfer anzugreifen.

Steffen Lippke

Die gekaperten IoT-Geräte senden stundenlang unnütze Anfragen an den Opfer-Server, die nur schwer zu filtern sind. Große Cloud-Unternehmen müssen die riesigen Datenmengen Black-holen, damit der Opfer-Server für die echten Kunden verfügbar bleibt.

Wenn die Kunden nur wüssten …

Die meisten bisher verkauften IoT-Geräte nutzen nicht die Lösungen, die ich in diesem Beitrag vorschlage.

Deine smarte Klingel, Überwachungskamera oder Lichtschalter verursachen Tag für Tag Schäden bei unschuldigen Opfern. Die meisten Besitzer von diesen Geräten wissen nicht, dass sie in Straftaten wie DDoS-Angriffe verwickelt sind.

Die Käufer von IoT-Geräten wissen auch nicht, dass solche Geräte normale Hack-bare Computer sind. Heute kannst Du im Baumarkt die intelligenten Glühbirnen und Schalter kaufen, die die Hersteller immer billiger anbieten.

Der Preisdruck steigt mit den neuen Anbietern, die den Markt mit neuen Smart Home Geräten überschwemmen.

Steffen Lippke

Die Nutzer von jetzigen Smarthome Geräten müssten ihre Geräte mit dem notwendigen Fachwissen analysieren, um zu wissen, ob ein Hacker bereits Zugriff auf das Gerät hatte. Die Hacker stellen die ursprüngliche Funktion des Geräts sicher, damit der Nutzer nicht auf die Idee kommt, das ein Hacker im Spiel sein könnte.

Falls ein Hacker zu weit geht, ersetzt der Besitzer das ganze Gerät, weil dieser denkt, dass der Sensor (Hardware) defekt ist. Ein Hacker könnte sich Software technisch übernommen und die ursprüngliche Funktion deaktiviert haben.

Dein Nutzen für IoT-Sicherheit

…, wenn ich doch nicht betroffen bin.

Früher oder später kannst Du als Privatperson oder Unternehmen Opfer von eines DDoS-Angriffs sein.

Wir müssen weltweit zusammen Handeln, um diese Herausforderung anzugehen und den Angriffen effektiv vorzubeugen.

Steffen LIppke

Auf der anderen Seite kann Dein IoT-Gerät nicht nur ein Problem für ein anderes Opfer werden, sondern auch für Dich selbst. Die Hacker könnten über diese Lücke in Dein Netzwerk eindringen. Die Kriminellen können Kameras anzapfen und in Gebäude einbrechen, wenn keiner sich im Gebäude befindet.

Sie können in Kühlkammern die Kühlung ausschalten und verderbliche Ware zerstören.

Was ist bei der IoT-Sicherheit anders?

• Die Menge an Geräten: Große Unternehmen haben hunderte oder tausende Geräte im Einsatz. Selbst in den privaten Smart Homes können 100 Geräte zusammen kommen. Das Patching der Geräte ist mit einem großen Aufwand verbunden.
• Kunterbunte Software: Jedes System braucht seine Extra-Behandlung, funktioniert anders, nutzt ein anderes Betriebssystem und ist anders mit dem Internet verbunden.
• Die Erreichbarkeit: IoT-Geräte können ausfallen und tagelang nicht erreichbar sein. Ein vollständiges Patchen alle Geräte im Unternehmen kann Wochen dauern.
• Die Leistung: Jeder Patch bringt die Gefahr mit sich, dass das Gerät nicht mehr das erfüllt, was das Gerät ursprünglich erfüllen sollte.
• Die Hardware: Neue Software bringt meist höhere Hardware-Anforderungen mit sich. Die Hersteller wollen die Geräte so kostengünstig wie möglich produzieren neuen höheren Hardware-Anforderungen machen das System unbrauchbar.

Wie greifen Hacker IoT-Geräte an?

Weil IoT-Geräte Computer sind, können Hacker über Schwachstellen oder Fehlkonfigurationen in das Gerät eindringen. Ein häufiger Fehler ist, dass die Systeme mit Standardpasswörtern ausgestattet sind. Standard-Anwendungen wie ein Tomcat oder das Telnet haben von Werk aus das Standard-Passwort.

Die Hacker testen das Standard-Passwort aus, loggen sich ein und führen ihren Code auf dem IoT-Gerät aus, ohne auf weitere Barrieren zu stoßen.

Herausforderungen mit der IoT-Sicherheit

Eine große Herausforderung bei IoT-Geräten ist das Patch-Management.

Selbst wenn die Hersteller ihre Geräte richtig konfiguriert haben, kann eine Schwachstelle in der Zukunft dazu führen, dass das Gerät anfällig wird. Weil die meisten IoT-Geräte nicht regelmäßig gewartet werden, sind diese Geräte für Hacker ein einfaches Ziel.

Lösungen – Wie kann ich IoT sicher machen?

Die Hersteller müssen im ersten Schritt die Geräte von Werk ab richtig konfigurieren und eigene Passwörter setzen. Die Geräte sollen gehärtet sein:

1. nur die Programme installiert sein, die notwendig sind.
2. Ports schließen, die das Gerät nicht braucht.
3. Die (Sensor)-Software soll mit Nicht-Admin-Berechtigungen funktionieren z. B. Sensordaten auslesen und per W-LAN weiter senden

Im zweiten Schritt sollen die Hersteller eine Patch-Garantie für 2 Jahre geben, in der die Geräte bei aufkommenden Schwachstellen ein Patch rechtzeitig erhalten.

Der Hersteller muss dem Nutzer die Möglichkeit geben, Patches selbst zu installieren (- wer technisch affin ist). Die Otto-Normal-Verbraucher sollten die Möglichkeit haben einen erweiterten Patch-Service zu kaufen oder damit ein Dritt-Unternehmen beauftragen zu können.

Freie Marktwirtschaft nicht optimal für IT-Sicherheit

Auf dem freien Markt gewinnt immer der Hersteller, der am kostengünstigsten ein Produkt anbieten kann. Um Sicherheit zu gewährleisten, muss der Hersteller IT-ler anstellen, die Geld kosten. Diese Kosten erhöhen den Preis des Produkts.

Eine billigere Variante, die sich nur auf die Funktion konzentriert, kann ein Hersteller günstiger anbieten.

Die meisten Käufer gehen davon aus, dass Sicherheit „selbstverständlich“ ist. Sie schauen nicht nach den BSI-Standards, ob diese eingehalten werden, sondern nach der Funktion und dem Preis.

Steffen Lippke

• Welche Sensoren hat das Gerät?
• Ist mein Smartphone kompatibel?
• Was kostet es?

Und nicht…

• Wurde das Standard-Passwort von Telnet geändert?
• Wird das Gerät auch in 2 Jahren noch gepatcht?

Neben der Hardware-Garantie, sollte der Gesetzgeber eine Patch-Garantie forcieren, weil eine freie Marktwirtschaft aus ökonomischen Gesichtspunkte die IoT-Sicherheit nie ernst nehmen wird.