Cyberbedrohung Heizung
Cyberbedrohung: Check Point deckt Schwachstellen bei Wärmepumpen auf
Internetfähige Wärmepumpen können zur Cyberbedrohung werden
Von Thomas Boele, Regional Director Sales Engineering, CER / DACH bei Check Point Software Technologies
Die Diskussion um Wärmepumen hat auch eine Cyberkomponente. Ende Februar machten Sicherheitsforscher auf Schwachstellen in Wärmepumpen aufmerksam. Problem bei gleich zwei Herstellern waren hartkodierte Passwörter in der Firmware. Bislang ist noch kein Fall publik geworden, der eine Ausnutzung belegt und die Security-Forscher haben den responsible Disclosure-Weg eingehalten.
Inzwischen haben beide Anbieter die Probleme behoben. Allerdings hat einer der beiden Entdecker auch darauf hingewiesen, dass er über die Suchmaschine für mit dem Internet verbundenen Systeme Shodan mehr 47 Wärmepumen offen im Internet ansteuern hätte können. Sofern die Updates der Hersteller nicht richtig eingespielt wurden, besteht für die Betreiber noch immer eine Gefahr einer bösartigen Übernahme. Letztlich müssen Wärmepumen, wenn sie mit dem Internet verbunden werden, als Internet of Things (IoT) Systeme betrachtet werden. Die Absicherung von IoT im eigenen Heim oder aber über ein Netzwerk bei mehreren Gebäuden und mehreren Wärmepumpen ist keine Zauberkunst. Es gibt eine Reihe von bewährten IoT-Sicherheitspraktiken, die sowohl Firmen als auch Verbraucher umsetzen können. Hierfür ist das Ausrollen der IT-Sicherheit sowohl auf die Geräte selbst als auch auf ihre Verbindungen zum Netzwerk erforderlich. Die folgenden drei Best Practices geben Hinweise, wie sich diese Empfehlungen umsetzen lassen:
Geräte-Discovery und Risikoanalyse
Unternehmen wie Verbraucher haben oft keinen Einblick in die IoT, die mit ihren Netzwerken verbunden sind. Eine vollständige Bestandsaufnahme der vernetzten Geräte ist für die Absicherung von IoT-Systemen im Netzwerk daher unerlässlich.
Zero Trust-Netzwerkzugang
IoT-Geräte, die in demselben Netzwerk wie andere Unternehmenssysteme eingesetzt werden oder über das Internet zugänglich sind, sind ein potenzieller Angriffsvektor. Zunächst sollten IoT vom Rest des Unternehmensnetzes abgetrennt werden. Hier empfiehlt sich eine Mikro-Segmentierung. Anschließend können in einem weiteren Schritt Experten oder versierte Verbraucher die Angriffsfläche mit Zero Trust-Richtlinien, die Geräteattribute und -daten berücksichtigen, weiter minimieren. Dies ermöglicht die Durchsetzung von Präventionsmaßnahmen in Echtzeit, um zu verhindern, dass über die IoT auch noch andere Geräte kompromittiert werden. Oder aber versucht wird über das Geräte mit bösartigen Websites und Command-and-Control-Servern zu kommunizieren. So wird verhindert, dass die Wärmepumpe Teil eines Bot-Netzes wird.
IoT-Bedrohungsprävention stets aktuell halten
Wie PCs und Telefone können auch IoT über anfällige Software und Firmware verfügen, das Beispiel der Wärmepumpen belegt dies eindrucksvoll. Die meisten IoT-Geräte sind geschlossene Systeme, so dass sie nicht ständig aktualisiert werden, um vor bekannten Schwachstellen zu schützen. Oftmals können diese – insbesondere ab einem höheren Gerätealter – auch gar nicht aktualisiert werden. Anstatt die Gerätesoftware zu ändern, können Verbraucher wie Unternehmen IoT-Angriffe an dem Punkt blockieren, an dem das Gerät mit dem Netzwerk verbunden ist. In aller Regel wird dies mit Hilfe einer Netzwerk-Firewall bewerkstelligt, die gibt es in unterschiedlichen Größen und Durchsatzstärken. Zusätzlich ergibt sich für Hersteller, Entwickler und Betreiber die Möglichkeit, die Firmware über einen Nano-Agent zu erweitern und damit diverse Management-, Logging- und Schutzfunktionen auszulagern und stets aktuell zu halten.
Fazit
Hersteller wie auch Betreiber sollten von Anfang an proaktiv handeln, um die Sicherheit von IoT-Devices wie Wärmepumpen zu gewährleisten. Dies erfordert die Implementierung von angemessenen Sicherheitsmaßnahmen wie regelmäßigen Software-Updates, robusten Passwortrichtlinien und physischen Sicherheitsvorkehrungen. Sie sollten nicht auf die Ergebnisse von Sicherheitsforschern warten, denn bis dahin könnte es zu spät sein – und dann wird es entweder ungewollt kalt oder ungewollt warm. Und natürlich auch teuer, ganz egal, welchen Stromtarif der Verbraucher oder der Gebäudebetreiber abgeschlossen hat.
