Internet of Things

So setzen Sie Ihre Smart-Home-Geräte sicher ein!

Wie sicher ist das Internet of Things?

Der Schwerpunkt liegt bei der Entwicklung der meisten Geräte auf einer kompakten und leichten Bauweise. So gibt es meist nur eine verhältnismäßig geringe CPU-Leistung. Auch die Speicherkapazität eines solchen Gerätes ist extrem gering. Das führt oft dazu, dass die Implementierung von Sicherheitsmechanismen auf dem jeweiligen Endgerät extrem schwierig bis unmöglich ist. Aber die Geräte fügen sich so perfekt in ihre Umgebung ein. Sensoren sind besonders klein und unauffällig, die Smart Watch bleibt klein und komfortabel am Handgelenk tragbar, und auch der Leuchtkörper hat die Maße einer klassischen Glühbirne und passt somit perfekt in vorhandene Fassungen. Die IP-Schnittstelle ist bei den meisten Geräten eine verhältnismäßig neue Funktion und soll bei Wahrung einer kleinen, leichten Bauweise die Kommunikation mit anderen Geräten ermöglichen. Dies führt dann beispielsweise zu unverschlüsselter Kommunikation der Geräte. Laut einer Studie werden zurzeit rund 90 % des Datenverkehrs zwischen IoT-Geräten unverschlüsselt ausgetauscht.


Aber nicht nur die IP-Schnittstelle an sich kann ein Problem darstellen. 

Neben der enorm großen Vielfalt an smarten Endgerätkategorien gibt es mindestens genauso viele Übertragungstechniken. Diese Techniken machen ein herkömmliches zu einem smarten Gerät. Hier kommen Protokolle wie WLAN, Bluetooth, und andere ins Spiel. Jedes Protokoll hat dabei seine ganz eigenen Schwachstellen und Sicherheitslücken. Viele davon werden schnell öffentlich bekannt. Doch stellt jeder Hersteller sofort einen Patch bereit? Und selbst wenn, wird dieser zeitnah installiert? In einigen Geräten findet man nicht änderbare Standard-Passwörter, die problemlos durch Ausprobieren der gängigsten Passwörter geknackt werden können.  Letztes Jahr wurde bekannt, dass in vielen namenhaften IP-Überwachungskameras die gleiche chinesische Hardware verbaut ist. Diese enthielt eklatante Sicherheitslücken, wie zum Beispiel nicht abgesicherte Server und die Möglichkeit, Standard-Passwörter unverändert zu lassen. So war es möglich, auf zahlreiche Überwachungsvideos zuzugreifen – weltweit.


Mittlerweile gibt es ganze Suchmaschinen, die das Aufspüren solcher Geräte vereinfachen und das Testen auf Standard-Sicherheitslücken ermöglichen. So kann jeder Einsicht in diverse Geräte erhalten. Hier wurden ebenfalls Sicherheitskameras, aber auch Onboard-Überwachungssysteme von LKWs, sowie Heizungs- und Sicherheitskontrollsysteme von Banken gefunden. Ein weiterer Punkt ist, dass viele Geräte Nutzerdaten lokal speichern. Bei einer Zurücksetzung auf Werkseinstellungen sollten diese gelöscht werden, was aber nicht immer der Fall ist. Das heißt, dass sich durch das Erwerben von gebrauchten IoT-Geräten unter Umständen viel über den ursprünglichen Besitzer herausfinden lässt. Diese genannten Schwachstellen beziehen sich hauptsächlich auf die Endgeräte. Ein weiterer wichtiger Faktor ist die App bzw. das Smartphone, mit dem viele Geräte gesteuert werden. Abgesehen von den ab und zu sehr fragwürdigen Berechtigungen, die beim Installieren der App bestätigt werden, stellt sich die Frage, ob jeder Nutzer die einzelnen Apps über Passwörter sichert. Ist Ihr Smartphone passwortgeschützt? Bei vielen ist dies nicht der Fall. Somit haben einfache Taschendiebe über das Smartphone bereits Zugriff auf sämtliche Geräte in Ihrem Haushalt.

Was kann schon passieren?

All diese Schwachstellen führen zu ganz neuen Bedrohungsszenarien, und das in allen erdenklichen Umgebungen. Smart-Home-Geräte sind meistens in das normale Heim-WLAN integriert. Das heißt: Hat ein Angreifer Zugriff auf ein unsicheres IoT-Gerät, hat er oft auch schnell Zugriff auf das gesamte Netz. Hierfür muss nur bei Erstinstallation das WLAN-Passwort im Klartext übertragen werden oder das IoT-Gerät die WLAN-Zugangsdaten unverschlüsselt lokal speicher. Das passiert häufig. Es reicht also lediglich ein unsicheres Gerät im Netzwerk aus. Wenn man dies jetzt in größerem Maßstab betrachtet – beispielsweise in smarten Bürogebäuden oder Industriehallen – können die Auswirkungen schon um einiges gravierender sein. Hier können sensible Daten abgegriffen werden, sobald sich ein entsprechend unsicheres Gerät im Netzwerk befindet und das Tor zu diesem öffnet. Unsichere smarte Geräte ermöglichen nicht nur Einlass zum restlichen Netzwerk, sondern können von Dritten gesteuert werden und Schaden verursachen. Dieser Schaden kann rein wirtschaftlich signifikant sein. 

Personen- oder Imageschäden sind vorstellbar.


In Finnland wurde im Jahr 2016 die Heizungsanlage von zwei Wohnblocks durch einen gezielten DDoS-Angriff auf die smarte Heizung zum Erliegen gebracht. Durch den Anschluss der Heizung ans Internet konnten die Bewohner ihre Heizung aus der Ferne steuern und die Wartung fiel deutlich kostengünstiger aus. So wurde allerdings auch das Tor für Hacker geöffnet. Durch den Angriff verbrachte die Anlage mehrere Tage mit vergeblichen Neustarts und konnte somit nicht heizen. In Finnland, wo es im Winter bis zu -30 °C kalt wird, eine fatale Situation.


In smarten Bürogebäuden, Industriehallen, in Flugzeugen etc. könnten die Manipulation von Licht oder die Ausgabe eines Signaltons schnell eine Massenpanik auslösen und sollten somit unbedingt verhindert werden. Und allein wenn ein Angreifer lediglich Zugriff auf Log-Dateien oder aktuelle Statusmeldungen der Geräte hat, können schon wichtige Informationen gesammelt werden.


Beispielsweise kann durch den lesenden Zugriff auf die Lichtsteuerung gut beobachtet werden, wann Häuser verlassen sind – und das ganz ohne zeitraubende Vor-Ort-Präsenz. Wie bereits erwähnt, ist auch das Smartphone eine große Schwachstelle. Die Haustür öffnet sich automatisch, wenn man mit dem Smartphone in die Nähe kommt, und das sowohl im Smart Home als auch im Bürogebäude. Was passiert, wenn das Smartphone gestohlen wird? Selbst mit aktivierter Displaysperre lassen sich viele Funktionen noch nutzen. Selbst einige Autos können mittlerweile entriegelt werden, sobald das registrierte Smartphone in der Nähe ist. Sogar das Fahren des Autos ist mit dem Smartphone als Schlüsselersatz mittlerweile möglich. Sollten weder das Smartphone noch die steuernde App durch eine PIN oder Ähnliches gesperrt sein, hat der Dieb sogar vollen Zugriff auf alle remote steuerbaren und in der Nähe befindlichen zugehörigen Geräte.


Noch viel einfacher wird es, wenn die smarte Sprachassistentin Arbeit übernimmt und sämtliche smarte Dienste vereint. 


Sie steuert die Türöffnung und die Heizung, schreibt Nachrichten an Freunde, Bekannte, Kollegen oder den Chef, auch sämtliche Online-Bestellungen können problemlos per Sprachbefehl initiiert werden. Es reicht also, wenn man vor dem gekippten Fenster höflich sein Anliegen äußert. Im Idealfall, wenn der Besitzer nicht zuhause ist. Gerade wegen der häufig auftretenden Schwachstellen stehen IoT-Geräte immer häufiger im Fokus von zielgerichteten Angriffen. Neben den Angriffen auf das eigene Gerät oder Netzwerk gibt es darüber hinaus noch die Möglichkeit, dass das eigene unsichere Gerät für Angriffe auf andere genutzt wird. Unsichere Geräte können zu einem gigantischen Netzwerk – einem Botnet – vereint und so gemeinsam für einen Angriff benutzt werden. Beispielsweise für DDoS-Angriffe in großem Maßstab wie im Jahr 2016, als zahlreiche Dienste wie Amazon, Github und Twitter für mehrere Stunden unerreichbar wurden. Das IoT hat sich somit durch die Masse unsicherer und leicht kompromittierbarer Geräte inzwischen als eine der größten Bedrohungen im Internet erwiesen.

Was ist zu tun?

Die genannten Bedrohungsszenarien sind natürlich auf die Spitze getrieben. Sie sind deshalb nicht unrealistisch. Korrekt und sicher genutzt, können die meisten Neuerungen, die das Internet of Things mit sich bringt, einen echten Mehrwert darstellen. IoT ermöglicht die sensorbasierte Vorhersage von Bauteildefekten, ohne dass ein Defekt überhaupt eintritt. 

Wie gelingt es, die Geräte sicher einzusetzen, um deren volles Potential nutzen zu können?

  • Hersteller
    Es sollte schon bei der Entwicklung der Geräte anfangen. Das Stichwort Security by Design beschreibt den Ansatz, dass Geräte schon von Grund auf sicher konzipiert werden. Dieser Punkt liegt in der Hand der Hersteller. Als Nutzer der Geräte hat man wenig Einfluss auf deren Design.
  • Planung
    Es hilft schon, vor dem Kauf Informationen einzuholen und sich zu überlegen, welche Anforderungen es gibt, welche davon zwingend erfüllt werden müssen und welche vielleicht nur „nice to have“ sind. Das gilt sowohl bei der Anschaffung von Smart-Home-Geräten als auch im Umfeld von Smart Building, Smart Factory etc. Hier ist ein abgestimmter Anforderungskatalog nötig, der hilft, die eigenen Kriterien transparent zu kommunizieren und eine Vorauswahl zu treffen.
  • Inbetriebnahme
    Bei der Inbetriebnahme sollte sichergestellt werden, dass das jeweilige Gerät so sicher wie eben möglich betrieben wird. Das beginnt bei den Einstellungsmöglichkeiten, die jedes smarte Gerät mit sich bringt. Standardpasswörter sollten Sie in jedem Fall ändern, auch wenn nicht explizit darauf hingewiesen wird. Geht es um Geräte, die per Smartphone und App zu steuern sind, sollten Sie  auch hier Voreinstellungen beachten und anpassen. Zudem verwehrt eine einfache Bildschirmsperre einem Taschendieb zumindest schon den Zugang zur Steuerung. Im Idealfall sollte auch bei automatischen Funktionen, wie der oben erwähnten Türöffnung beim Nähern mit dem Smartphone, genau überlegt werden, wie sinnvoll diese sind und ob zusätzliche Sicherheitsmechanismen ausgewählt werden können. Bei den oben erwähnten Sprachassistenten, die mit dem Haustürschloss gekoppelt sind, ist es beispielsweise möglich, zusätzlich zum Türöffnungs-Befehl oder zum Online-Kauf eine PIN abzufragen. Leider lassen sich mit diesen Vorkehrungen nicht alle genannten Schwachstellen absichern. Dafür ist die Vielfalt an Geräten zu groß und die Möglichkeiten der Sicherheitszertifizierung smarter Geräte sind noch zu weit entfernt. Gehen Sie deshalb noch einen Schritt weiter und sichern Sie Ihr gesamtes Netzwerk ab.
  • Netzwerksicherheit
    Das Ziel der Netzwerksicherheit für IoT ist eine Umgebung, in der smarte Geräte ihre Funktionen beibehalten, aber abgesichert sind und im Falle eines Angriffs möglichst wenig Schaden anrichten können. Legen Sie für Ihre IOT-Geräte ein GAST-WLAN an. Das ist in wenigen Minuten erledigt.
  • Betrieb
    Die regelmäßige Überprüfung der bereits im Netzwerk befindlichen Geräte  sowie regelmäßige Scans nach Sicherheits-Updates/-Patches sind wichtige Aspekte. Für Geräte wie Heizungssteuerung, Fernseher und Kaffeemaschinen gibt es Patches, die oft manuell installiert werden müssen. Manche App informiert den Nutzer rechtzeitig, die meisten Geräte sind so eingestellt, dass viele Aufgaben automatisch erledigt werden und eine App-Nutzung in den seltensten Fällen notwendig ist. Wenn sie notwendig ist, sind wenige Nutzer bereit, einige Minuten auf die Installation von Patches zu warten und die Meldung wird weggeklickt. Die wenigsten Apps bleiben hier beharrlich.
  • Außerbetriebnahme
    Ein sehr wichtiger Punkt, der oft außer Acht gelassen wird, ist die Außerbetriebnahme von IoT-Geräten. Viele Geräte speichern lokale Daten wie Schlüsselmaterial, persönliche Daten der Nutzer oder Netzwerkdaten. Bei der Außerbetriebnahme sollten Sie diese Daten natürlich löschen – manuell oder durch Zurücksetzen auf Werkseinstellung. Prüfen Sie in jedem Fall, ob die Daten tatsächlich gelöscht sind, um eine Weitergabe der eigenen WLAN-Zugangsdaten oder Ähnliches zu vermeiden. Ansonsten können gebrauchte IoT-Geräte in falschen Händen zum Einfallstor ins Netzwerk werden.

Fazit

Der durchaus signifikante Aufwand zur Absicherung eines Netzwerks mit IoT-Geräten ist von vornherein einzuplanen. Doch dieser Aufwand lohnt sich, auch wenn die Vorteile nicht in jedem Fall sichtbar sind. Wenn ein Netzwerk samt IoT-Geräte ideal abgesichert ist, passiert – nichts. Bedenken Sie jedoch: Ein Angriff reicht, um in Ihre innerste Privatsphäre vorzudringen.

Auszeichnungen und Mitgliedschaften

Enter your text here...