IoT-Schwachstellen und Sicherheitsstrategien

Fünf IoT-Sicherheitsschocker – und was sie uns lehren

, München, Tata Communications | Autor: Avinash Prasad

Fünf IoT-Sicherheitsschocker – und was sie uns lehren

Von Avinash Prasad, Vice President and Head for Managed Security Services and Content Delivery Network, Tata Communications

Avinash Prasad, VP and Head for Managed Security Services and Content Delivery Network, Tata Communications

Mit der zunehmenden Verbreitung des Internet der Dinge (IoT) wird die Sicherung der Netzwerke, der Infrastruktur und der Geräte immer wichtiger. Wir werfen einen Blick darauf, wie vernetzte Geräte von Hackern genutzt werden und wie wir das in Zukunft verhindern können.

Im Jahr 2016 zeigte ein Foto von Mark Zuckerberg, dass er die Kamera und das Mikrofon seines Laptops überklebt hatte. Es schien fast ironisch, dass gerade der Facebook-Gründer sich um seine Privatsphäre sorgte. Gleichzeitig warf das Foto aber die grundsätzliche Frage nach der Vertrauenswürdigkeit vernetzter Technik auf. Während das Internet der Dinge (IoT) sich immer mehr verbreitet, haben sich viele der intelligenten Geräte als nicht sehr sicher erwiesen.

Je mehr Daten diese Geräte erzeugen und sammeln, desto attraktiver werden sie für Hacker. Die prognostizierte Gesamtzahl der vernetzten "Dinge" liegt bei 20,4 Milliarden in diesem Jahr. Dabei können selbst die harmlosesten Produkte einen Zugang für Menschen mit bösen Absichten bieten.

Vorsicht vor den Fischen

Viele Menschen, die nach Vegas gehen, kommen mit weit weniger Geld zurück, als sie mitgenommen haben. Das liegt in der Regel nicht an einem Cyber-Angriff. Ein derartiger Angriff jedoch begann in einem Aquarium. Ein Kasino in Sin City wurde infiltriert, indem ein Aquarienthermometer, das zur Fernüberwachung und Fütterung verwendet wurde, den Zugang zum Netzwerk des Casinos öffnete. Die Hacker stahlen insgesamt 10 GB an Daten und schickten sie an einen Server in Finnland. Darunter eine Liste der ausgabenstärksten Besucher des Kasinos.

Wenn der Autopilot zurückschlägt

Da moderne Autos mehr und mehr zu Computern auf Rädern werden, muss man nicht unbedingt hinterm Lenkrad sitzen, um das Fahrzeug zu steuern. Im Jahr 2015 demonstrierten zwei befreundete Hacker eine Schwachstelle in der vernetzten Fahrzeugplattform eines Autoherstellers. Die versorgt die In-Car-Systeme der Fahrzeuge mit Strom. Während ein Journalist des Magazins Wired sein Auto durch die Innenstadt von St. Louis, USA, fuhr, schickten die Hacker Befehle durch das Unterhaltungssystem und übernahmen die Kontrolle über die Klimaanlage, die Stereoanlage und die Scheibenwischer des Autos. Zuletzt unterbrachen sie sogar die Stromzufuhr zu den Rädern brachten das Auto zum Stillstand.

Und der Takt hinkt

Im August 2017 wurden fast eine halbe Million Herzschrittmacher zurückgerufen. Eine Schwachstelle hätte es Hackern ermöglicht, den Herzschlag eines Patienten zu verändern. Keines der funkgesteuerten Geräte, die von einem führenden Unternehmen des Gesundheitswesens hergestellt und in den USA verkauft wurden, wurde als gefährdet eingestuft, aber der potenzielle Schaden war enorm. Firmware-Updates verhinderten schließlich, dass die Schwäche ausgenutzt wurde.

Lichter aus

Manchmal sind es nicht die Hacker, vor denen Sie auf der Hut sein müssen, sondern das Verhalten der IoT-Geräte selbst. Im Jahr 2018 hackte der Cyber-Sicherheitsblog Limited Results eine intelligente Glühbirne. Jeder, der physischen Zugang zu dem Produkt hatte, konnte das Wi-Fi-Passwort des Besitzers extrahieren, da es im Klartext auf dem Gerät gespeichert war, zusammen mit dem privaten RSA-Schlüssel und den Root-Passwörtern. Der Hersteller hat die Schwachstellen mit einem Firmware-Update behoben, aber der Vorgang wirft wichtige Fragen im Zusammenhang mit der Entsorgung unerwünschter oder defekter Smart-Geräte auf.

Schützen Sie Ihre Stimme

IoT-Produkte, die sich an Kinder richten, werden immer zusätzliche Sicherheitsfragen aufwerfen, insbesondere bei Geschichten wie die von CloudPets. Die Kuscheltiere wurden von Einzelhändlern, darunter Amazon und eBay, aus dem Verkauf genommen, nachdem entdeckt worden war, dass zwei Millionen Sprachnachrichten, die von Kindern aufgenommen und über die den Kuscheltieren beiliegende Smartphone-App hochgeladen wurden, in der Cloud gespeichert wurden, ohne dass eine Authentifizierung für den Zugriff erforderlich war. Die Datenbank enthielt auch E-Mail-Adressen und Passwörter der Eltern, die die Spielzeuge gekauft hatten.

Was sagen uns diese Vorfälle also über das Internet der Dinge?

Zunächst einmal haben sie unseren Blick auf neue Szenarien geschärft. Die Angriffe können von überall herkommen. Produkte wie diese sind anfällig, weil sich Unternehmen oft auf die neuen Funktionen des IoT-Geräts konzentrieren und der Sicherheitsaspekt ein eher nachgeordneter Gedanke ist. Mit jedem neu angeschlossenen Gerät entwickelt sich die Bedrohungslandschaft ein wenig weiter, so dass die Sicherheitswerkzeuge flexibel genug sein müssen, um an jedem Punkt zu reagieren.

IoT-Geräte werden in den verschiedensten Bereichen eingesetzt und können, wie das Beispiel des Aquariums in Las Vegas zeigt, Gateways zu anderen Teilen des Unternehmensnetzwerks sein. Angesichts der Tatsache, dass 80 Prozent der weltweiten Daten auf privaten Servern gespeichert sind und die Strafen für Verstöße gegen die GDPR-Regeln hart sein können, war es noch nie so wichtig wie heute, Hacker fernzuhalten. Das IoT wird wahrscheinlich auf absehbare Zeit ein attraktives Ziel für Hacker bleiben, aber die neuen Technologien können ein wirksames Mittel zu ihrer Abwehr werden.

Über den Autor

Avinash Prasad ist als Vice President und Leiter der Managed Security Services und des Content Delivery Networks bei Tata Communications für das globale Cyber-Sicherheitsportfolio des Technologieunternehmens verantwortlich. Tata Communication zählt zu den größten Telekommunikationsunternehmen und verfügt als globaler Netzbetreiber über umfangreiche Sicherheitsdienste sowohl für die eigene digitale Infrastruktur von über 500.000 km Unterwasser-Glasfaser sowie 210.000 km terrestrische Glasfaser, aber auch als Service für Kunden weltweit.

Avinash Prasad bringt Expertenwissen aus mehr als zwei Jahrzehnten Erfahrung in den Bereichen IT, Cyber Security, Kundenmanagement und Consulting ein. Vor seiner Tätigkeit bei Tata Communications hat Avinash mit Infosys, Wipro Technologies und Wipro Infotech zusammengearbeitet.