Website-Icon e-hack

IoT-Sicherheit – Security im Internet der Dinge

Was ist IoT-Sicherheit?

Sicherheit in IoT-Systemen muss ernst genommen werden.

Was ist IoT-Security?

IoT-Sicherheit ist der technische Bereich, der sich mit dem Schutz von miteinander kommunizierenden Geräten und Netzwerken im Internet der Dinge (IoT) befasst.

Beim IoT geht es darum, einem System miteinander verbundener Computersysteme, mechanischer und digitaler Maschinen, Objekte, Tiere und/oder Menschen eine Internetverbindung hinzuzufügen. Jedes „Ding“ erhält eine eindeutige Kennung und die Möglichkeit, Daten automatisch über ein Netzwerk zu übertragen. Wenn man den Geräten erlaubt, sich mit dem Internet zu verbinden, öffnet man ihnen eine Reihe ernsthafter Schwachstellen, wenn sie nicht angemessen geschützt sind.

Die IoT-Sicherheit ist nach einer Reihe von öffentlichkeitswirksamen Vorfällen, bei denen ein gewöhnliches IoT-Gerät benutzt wurde, um ein größeres Netzwerk zu infiltrieren und anzugreifen, zum Gegenstand von Untersuchungen geworden. Die Umsetzung von Sicherheitsmaßnahmen ist von entscheidender Bedeutung, um die Sicherheit von Netzwerken mit daran angeschlossenen IoT-Geräten zu gewährleisten.

Herausforderungen für die IoT-Sicherheit

Eine Reihe von Herausforderungen verhindert die Sicherung von IoT-Geräten und die Gewährleistung der End-to-End-Security in einer IoT-Umgebung. Da die Idee der Vernetzung von Geräten und anderen Objekten relativ neu ist, wurde die Sicherheit während der Entwurfsphase eines Produkts nicht immer als oberste Priorität betrachtet. Da es sich beim IoT um einen im Entstehen begriffenen Markt handelt, sind viele Produktdesigner und Hersteller darüber hinaus eher daran interessiert, ihre Produkte schnell auf den Markt zu bringen, als die notwendigen Schritte zu unternehmen, um die Sicherheit von Anfang an zu gewährleisten.

Ein wichtiger Punkt, der im Zusammenhang mit IoT-Sicherheit wird, ist die Verwendung von hartkodierten oder Standardpasswörtern, welche zu Sicherheitsverletzungen führen können. Selbst wenn Passwörter geändert werden, sind sie oft nicht stark genug, um ein Eindringen zu verhindern.

Ein weiteres häufiges Problem bei IoT-Geräten ist, dass sie oft ressourcenbeschränkt sind und nicht die für die Implementierung einer starken Sicherheit erforderlichen Rechenressourcen enthalten. Daher bieten viele Geräte keine oder keine erweiterten Sicherheitsfunktionen. Zum Beispiel können Sensoren, die Feuchtigkeit oder Temperatur überwachen, nicht mit fortgeschrittener Verschlüsselung oder anderen Sicherheitsmaßnahmen umgehen. Und da viele IoT-Geräte „aufgestellt und vergessen“ werden – im Feld oder auf einer Maschine platziert und bis zum Ende ihrer Lebensdauer belassen – erhalten sie so gut wie nie Sicherheitsupdates oder Patches. Aus der Sicht eines Herstellers kann der Einbau von Sicherheit von Anfang an teuer sein, die Entwicklung verlangsamen und dazu führen, dass das Gerät nicht so funktioniert, wie es sollte.

Eine weiteres Problem in der IoT-Sicherheit ist die Verbindung von Legacy-Assets, die von Natur aus nicht für IoT-Konnektivität ausgelegt sind. Das Ersetzen der alten Infrastruktur durch vernetzte Technologie ist kostenintensiv, so dass viele Anlagen mit intelligenten Sensoren nachgerüstet werden. Dadurch erhalten Altanlagen, die wahrscheinlich nicht aktualisiert wurden oder jemals Sicherheit gegen moderne Bedrohungen besaßen, eine erweiterte Angriffsfläche.

Was Aktualisierungen betrifft, so beinhalten viele Systeme nur Unterstützung für einen festgelegten Zeitrahmen. Bei Alt- und Neusystemen kann die Sicherheit hinfällig werden, wenn keine zusätzliche Unterstützung hinzugefügt wird. Und da viele IoT-Geräte viele Jahre lang im Netzwerk bleiben, kann das Hinzufügen von Sicherheits-Features eine Herausforderung darstellen.

IoT-Sicherheit wird auch durch einen Mangel an branchenweit akzeptierten Standards beeinträchtigt. Es gibt zwar viele Frameworks für die IoT-Sicherheit, aber es gibt keinen einzigen vereinbarten Standard. Große Unternehmen und Industrieorganisationen haben möglicherweise ihre eigenen spezifischen Standards, während bestimmte Segmente, wie z.B. das industrielle IoT, proprietäre, nicht kompatible Standards von Branchenführern haben. Die Vielfalt dieser Standards macht es schwierig, nicht nur Systeme zu sichern, sondern auch die Interoperabilität zwischen ihnen zu gewährleisten.

Die Konvergenz von IT- und operationellen Technologienetzwerken (OT) hat eine Reihe von Herausforderungen für Sicherheitsteams geschaffen, insbesondere für diejenigen, die mit dem Schutz von Systemen und der Gewährleistung von End-to-End-Sicherheit in Bereichen außerhalb ihres Zuständigkeitsbereichs betraut sind. Es ist eine Lernkurve erforderlich, und IT-Teams mit den entsprechenden Fähigkeiten sollten für die Sicherheit des Internet der Dinge zuständig sein.

Unternehmen müssen lernen, Sicherheit als ein gemeinsames Thema zu betrachten, vom Hersteller über den Dienstleister bis zum Endbenutzer. Hersteller und Dienstanbieter sollten der Sicherheit und dem Datenschutz ihrer Produkte Priorität einräumen und z.B. auch Verschlüsselung und Autorisierung standardmäßig anbieten. Aber damit ist die Verantwortung noch nicht erschöpft, denn die Endbenutzer müssen sicher sein, dass sie ihre eigenen Vorkehrungen treffen können. Dazu gehören die Änderung von Passwörtern, die Installation von Patches, wenn verfügbar, und die Verwendung von zusätzlicher Sicherheitssoftware.

IoT-Sicherheitsverletzungen und IoT-Hacks

Es gab schon Angriffe auf IoT-Infrastruktur und es werden mehr.

Sicherheitsexperten warnen schon seit langem vor dem potentiellen Risiko einer großen Anzahl ungesicherter Geräte, die mit dem Internet verbunden sind, seit das IoT-Konzept in den späten 1990er Jahren seinen Anfang nahm. In der Folge gerieten eine Reihe von Angriffen in die Schlagzeilen, von Kühlschränken und Fernsehern, die zum Versenden von Spam verwendet wurden, bis hin zu Hackern, die in Babyphone eindrangen und mit Kindern sprachen. Es ist wichtig, darauf hinzuweisen, dass viele der IoT-Hacks nicht auf die Geräte selbst abzielen, sondern IoT-Geräte als Einstiegspunkt in das größere Netzwerk nutzen.

Im Jahr 2010 haben Forscher zum Beispiel herausgefunden, dass der Stuxnet-Virus zur physischen Beschädigung iranischer Zentrifugen eingesetzt wurde, wobei die Angriffe 2006 begannen, der Hauptangriff jedoch 2009 stattfand. Stuxnet, das oft als eines der frühesten Beispiele für einen IoT-Angriff angesehen wird, richtet sich gegen SCADA-Systeme (Supervisory Control and Data Acquisition) in industriellen Steuerungssystemen (ICS) und nutzt Malware, um Befehle zu infizieren, die von speicherprogrammierbaren Steuerungen (SPS) gesendet werden.

Angriffe auf Industrienetzwerke wurden nur fortgesetzt, wobei Malware wie CrashOverride/Industroyer, Triton und VPNFilter auf anfällige OT- und industrielle IoT-Systeme abzielten.

Im Dezember 2013 entdeckte ein Forscher des Sicherheitsunternehmens Proofpoint Inc. das erste IoT-Botnet. Nach Angaben des Forschers bestand das Botnet zu mehr als 25 % aus anderen Geräten als Computern, darunter Smart-Fernseher, Babyphone und Haushaltsgeräte.

Im Jahr 2015 führten die Sicherheitsforscher Charlie Miller und Chris Valasek einen drahtlosen Hack an einem Jeep durch, wobei sie den Radiosender im Medienzentrum des Autos wechselten, die Scheibenwischer und die Klimaanlage einschalteten und das Gaspedal blockierten. Sie sagten, sie könnten auch den Motor abstellen, die Bremsen betätigen und die Bremsen ganz abschalten. Miller und Valasek waren in der Lage, über das fahrzeuginterne Verbindungssystem Uconnect von Chrysler in das Netzwerk des Autos einzudringen.

Mirai, eines der bisher größten IoT-Botnets, griff erstmals im September 2016 die Website des Journalisten Brian Krebs und den französischen Webhost OVH an. Die Angriffe erfolgten mit 630 Gigabit pro Sekunde (Gbps) bzw. 1,1 Terabit pro Sekunde (Tbps). Im darauf folgenden Monat wurde das Netzwerk des Domain-Name-System (DNS)-Dienstanbieters Dyn ins Visier genommen, wodurch eine Reihe von Websites, darunter Amazon, Netflix, Twitter und The New York Times, für Stunden nicht erreichbar waren. Die Angriffe infiltrierten das Netzwerk über IoT-Geräte für Verbraucher, darunter IP-Kameras und Router.

Inzwischen sind eine Reihe von Mirai-Varianten aufgetaucht, darunter Hajime, Hide ‚N Seek, Masuta, PureMasuta, Wicked Botnet und Okiru, um nur einige zu nennen.

In einer Mitteilung vom Januar 2017 warnte die Food and Drug Administration (FDA) der USA davor, dass die eingebetteten Systeme in hochfrequenzfähigen implantierbaren Herzgeräten von St. Jude Medical, darunter Herzschrittmacher, Defibrillatoren und Resynchronisationsgeräte, anfällig für Sicherheitseinbrüche und Angriffe auf IoT-Sicherheit sein könnten.

IoT-Sicherheitsinstrumente und Gesetzgebung

Es gibt viele Rahmenbedingungen für die IoT-Sicherheit, aber es gibt bis heute keinen einzigen von der Industrie akzeptierten Standard. Die bloße Einführung eines IoT-Sicherheits-Frameworks kann jedoch helfen; sie bieten Tools und Checklisten, die Unternehmen bei der Erstellung und dem Einsatz von IoT-Geräten unterstützen. Solche Frameworks wurden von der GSM Association, der IoT Security Foundation, dem Industrial Internet Consortium und anderen veröffentlicht.

Im September 2015 veröffentlichte das Federal Bureau of Investigation eine öffentliche Bekanntmachung, FBI Alert Number I-091015-PSA, die vor den potenziellen Schwachstellen von IoT-Geräten warnte und Empfehlungen zum Verbraucherschutz und zur Verteidigung gab.

Im August 2017 führte der Kongress den IoT Cybersecurity Improvement Act ein, der von jedem IoT-Gerät, das an die US-Regierung verkauft wird, verlangen würde, keine Standardpasswörter zu verwenden, keine bekannten Schwachstellen zu haben und einen Mechanismus zum Patchen der Geräte anzubieten. Das Gesetz zielt zwar auf Hersteller ab, die Geräte herstellen, die an die Regierung verkauft werden, aber es legt eine Grundlinie für Sicherheitsmaßnahmen fest, die alle Hersteller übernehmen sollten.

Ebenfalls im August 2017 wurde das Gesetz über die Entwicklung von Innovationen und das Wachstum des Internet der Dinge (DIGIT) vom Senat verabschiedet, wartet aber noch immer auf die Zustimmung des Repräsentantenhauses. Dieses Gesetz würde das Handelsministerium verpflichten, eine Arbeitsgruppe einzuberufen und einen Bericht über das Internet der Dinge, einschließlich Sicherheit und Datenschutz, zu erstellen.

Die Allgemeine Datenschutzverordnung (DSGVO), die im Mai 2018 veröffentlicht wurde, ist zwar nicht IoT-spezifisch, vereinheitlicht aber die Datenschutzgesetze in der gesamten Europäischen Union. Dieser Schutz erstreckt sich auf IoT-Geräte und ihre Netzwerke, und die Hersteller von IoT-Geräten sollten diese berücksichtigen.

Im Juni 2018 stellte der Kongress den State of Modern Application, Research and Trends of IoT Act (SMART IoT Act) vor, um dem Handelsministerium vorzuschlagen, eine Studie über die IoT-Industrie durchzuführen und Empfehlungen für ein sicheres Wachstum von IoT-Geräten zu geben.

Im September 2018 verabschiedete die kalifornische Legislative den SB-327 Information Privacy: Connected Devices, ein Gesetz, mit dem Sicherheitsanforderungen für im Land verkaufte IoT-Geräte eingeführt wurden.

Alle diese Regelungen sollen helfen große Angriffe auf IoT-Sicherheit in Zukunft zu verringern.

Welche Branchen sind anfällig für IoT-Sicherheitsrisiken?

IoT-Sicherheitslücken können in jeder Branche auftreten, vom Smart Home über eine Fertigungsanlage bis hin zu einem vernetzten Auto. Die Schwere der Auswirkungen hängt stark vom einzelnen System, den gesammelten Daten und/oder den darin enthaltenen Informationen ab.

Ein Angriff, bei dem beispielsweise die Bremsen eines angeschlossenen Autos deaktiviert werden, oder auf ein angeschlossenes Gesundheitsgerät, z.B. eine Insulinpumpe, die gehackt wird, um einem Patienten zu viele Medikamente zu verabreichen, kann lebensbedrohlich sein. Ebenso kann ein Angriff auf ein Kühlsystem, das Medikamente enthält und von einem IoT-System überwacht wird, bei Temperaturschwankungen die Lebensfähigkeit eines Medikaments ruinieren. Ebenso kann ein Angriff auf eine kritische Infrastruktur – eine Ölquelle, ein Energienetz oder eine Wasserversorgung – katastrophale Folgen haben.

Andere Angriffe dürfen aber nicht unterschätzt werden. Beispielsweise könnte ein Angriff auf intelligente Türschlösser es einem Einbrecher ermöglichen, in ein smartes Haus einzudringen. Oder in anderen Szenarien wie dem Hackerangriff auf Target 2013 oder anderen Sicherheitsverletzungen könnte ein Angreifer Malware durch ein angeschlossenes System – im Fall von Target durch ein HVAC-System – schleusen, um persönlich identifizierbare Informationen zu vernichten, was für die Betroffenen verheerende Folgen haben könnte.

Wie können IoT-Systeme und -Geräte geschützt werden

IoT-Sicherheit sollte schon bei der Entwicklung Beachtung finden.

Die Methoden zur IoT-Sicherheit variieren je nach Ihrer spezifischen IoT-Anwendung und Ihrem Platz im IoT-Ökosystem. Zum Beispiel sollten sich IoT-Hersteller – von Produktherstellern bis hin zu Halbleiterfirmen – von Anfang an darauf konzentrieren, Sicherheit einzubauen, Hardware manipulationssicher zu machen, sichere Hardware zu bauen, sichere Upgrades zu gewährleisten, Firmware-Updates/Patches bereitzustellen und dynamische Tests durchzuführen.

Der Schwerpunkt Softwareentwicklers sollte auf sicherer Softwareentwicklung und sicherer Integration liegen. Für diejenigen, die IoT-Systeme einsetzen, sind Hardware-Sicherheit und Authentifizierung kritische Maßnahmen. Ebenso sind für Betreiber die Aktualisierung der Systeme, die Eindämmung von Malware, Audits, der Schutz der Infrastruktur und die Sicherung der Berechtigungsnachweise von entscheidender Bedeutung.

Zu den üblichen Maßnahmen der IoT-Sicherheit gehören:

Exit mobile version