Schwachstelle IoT
IoT-Geräte und Cybersecurity: Warum smart nicht gleich sicher ist
Von Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH
Das Internet of Things (IoT) hat sowohl industrielle als auch private Gebrauchsgegenstände verändert, indem es sie miteinander vernetzt und zu „Smart Devices“ gemacht hat.
Operative Technologie im IoT unterstützt die automatisierte Fertigung in der Industrie, während smarte Lautsprecher, Kühlschränke, Lampen oder Thermostate unseren Alltag erleichtern. Leider legen viele Hersteller und Softwareanbieter keinen Wert auf die Umsetzung von Sicherheitsanforderungen in ihren Produkten. Teils konzentrieren sie sich lieber auf die Verbesserung der funktionalen Fähigkeiten ihrer Produkte als diese mit Sicherheitsschichten zu versehen. Manchmal finden wir Produkte, denen grundlegende Sicherheitsfunktionen wie Benutzer-/Passwortverwaltung und verschlüsselte Kommunikation fehlen – ganz zu schweigen von Penetrationstests und Schwachstellen-management. All das spielt denen in die Karten, die diese Nachlässigkeit auszunutzen wissen.
Geringes Sicherheitsbewusstsein und ausbleibende Updates offenbaren Schwachstellen
Wie bei jeder Softwareentwicklung verwenden die Hersteller Open-Source-Pakete und Standardkomponenten von Drittanbietern. Dadurch kann das Gerät bekannten Problemen ausgesetzt sein, die von diesen Softwarepaketen ausgehen. Open-Source ist ein großer Vorteil für Entwickler, erfordert aber häufige Aktualisierungen, sobald eine Software-Schwachstelle veröffentlicht wird. Leider sorgen die IoT-Hersteller nicht unbedingt dafür, dass Sicherheits-Patches für ihre Geräte erstellt werden. Die Wahrheit ist: Das Bewusstsein ist unzureichend und die Nachfrage der Nutzer nach Sicherheit in diesen Geräten nicht stark genug. Und selbst in Szenarien, in denen Hersteller die Verantwortung für die Sicherheit ihrer Geräte übernehmen und regelmäßige Updates herausgeben, machen sich viele ihrer Kunden selten die Mühe, ihre Geräte überhaupt zu aktualisieren.
Dafür gibt es viele Gründe. Der erste hat mit der betrieblichen Effizienz und dem Aufwand für die Wartung verteilter Systeme zu tun. In vielen Fällen ist die Aktualisierung der Firmware eines IoT-Geräts komplizierter als die Aktualisierung von Computersoftware. Es gibt immer noch Geräte, die auf Updates über USB angewiesen sind. Es gibt sogar Fälle, in denen die Geräte an unzugänglichen Orten installiert sind (z. B. Kameras, die auf Zäunen oder hohen Masten installiert oder Hunderte von Kilometern vom Managementteam entfernt sind). Außerdem erfordern Software-Updates einen Neustart der Geräte, was aufgrund der kritischen Funktionen der Geräte problematisch sein kann. Auch die Angst vor bösartigen Updates ist immer präsent. Es gibt viele reale Beispiele für Angriffe, die auf Software-Updates zurückgehen, wie der berühmte Supply-Chain-Angriff auf Solar Winds. Was am Ende übrig bleibt, sind Geräte, auf denen die ursprüngliche Softwareversion läuft – und das jahrelang.
Wie Angreifer die Software-Schwachstellen ausnutzen
Angreifer gehen oft den Weg des geringsten Widerstands. Sie nutzen dabei sogenannte Bekannte Schwachstellen und Anfälligkeiten (CVE – Common Vulnerabilities and Exposures) Jede bekannte CVE wird für Cyber-Angreifer zu einer potenziellen Waffe, um in ein Unternehmen einzudringen. Naturgemäß werden Schwachstellen in der Regel erst entdeckt, nachdem die Angreifer sie aufgedeckt haben und der Schaden bereits entstanden ist. Im besten Fall gelingt es den Verantwortlichen, Schwachstellen in einer Laborumgebung im Rahmen eines Forschungsprojekts zu identifizieren. Die Forscher räumen den Herstellern eine Frist von 90 Tagen für die Freigabe eines Software-Updates ein, bevor sie die Informationen über die Schwachstelle öffentlich machen. Dies ist eine kurze Zeitspanne für die Hersteller – das heißt, sie müssen schnelle Aktualisierungen herausgeben, bevor die Schwachstelle veröffentlicht wird.
Die schwerwiegendsten CVEs beziehen sich auf die Möglichkeit, Code aus der Ferne auszuführen (RCE – Remote Code Execution). Diese Art des Angriffs ermöglicht dem Angreifer die vollständige Kontrolle über das Gerät von einem beliebigen entfernten Standort aus. Das erlaubt es ihm, Informationen zu stehlen, Ransomware auszuführen, Miner für digitale Währungen auf dem Gerät zu installieren, einen Bot einzuschleusen, um weitere Aktionen in der Folge zu ermöglichen, und vieles mehr. Wenn sie ein Gerät angreifen, das mit einem Unternehmensnetzwerk verbunden ist, können clevere Angreifer jedes Gerät im Netzwerk erreichen und Remote-Befehle ausführen. Angreifer dringen sogar in Unternehmen ein und bleiben monatelang inaktiv bis sie den richtigen Zeitpunkt für einen Angriff finden.
Welche Maßnahmen helfen dabei, IoT-Geräte abzusichern?
Es gibt mehrere Möglichkeiten, die von IoT-Geräten ausgehenden Cyberrisiken zu minimieren. Die Geräte können beispielsweise in verschiedene Kategorien eingeteilt werden, wobei jede Kategorie unterschiedliche Risikostufen enthält. Ganz oben auf der Liste stehen Geräte mit „Augen und Ohren" wie Kameras, Aufzüge, Drohnen und sogar Router. Die CISA-Agentur hat zudem kürzlich ein Dokument herausgegeben , das den Beteiligten helfen soll, bei der Anschaffung von IoT-Geräten Sicherheitsüberlegungen anzustellen. Unabdinglich ist zudem eine gründliche Recherche vor der Anschaffung der Smart Devices. Geräte sollten nur von anerkannten und zuverlässigen Herstellern gekauft werden, die Sicherheit „ab Werk“ garantieren.
In einem durchschnittlichen Unternehmen gibt es Hunderte oder sogar Tausende IoT-Geräte: Von smarten Druckern bis hin zu vernetzter Infrastruktur. Auch eine Softwarelösung, die direkt in die Gerätschaften eingebettet wird und Anomalien erkennt, bringt eine zusätzliche Verteidigungslinie. Denn keine Organisation möchte einen Datenleak oder Schaden an der eigenen Reputation durch einen Hack erleiden, der durch ein „smartes“ Eingangstor verursacht wurde.
