Internet of Things
So setzen Sie Ihre Smart-Home-Geräte sicher ein!
Wie sicher ist das Internet of Things?
Der Schwerpunkt liegt bei der Entwicklung der meisten Geräte auf einer kompakten und leichten Bauweise. So gibt es meist nur eine verhältnismäßig geringe CPU-Leistung. Auch die Speicherkapazität eines solchen Gerätes ist extrem gering. Das führt oft dazu, dass die Implementierung von Sicherheitsmechanismen auf dem jeweiligen Endgerät extrem schwierig bis unmöglich ist. Aber die Geräte fügen sich so perfekt in ihre Umgebung ein. Sensoren sind besonders klein und unauffällig, die Smart Watch bleibt klein und komfortabel am Handgelenk tragbar, und auch der Leuchtkörper hat die Maße einer klassischen Glühbirne und passt somit perfekt in vorhandene Fassungen. Die IP-Schnittstelle ist bei den meisten Geräten eine verhältnismäßig neue Funktion und soll bei Wahrung einer kleinen, leichten Bauweise die Kommunikation mit anderen Geräten ermöglichen. Dies führt dann beispielsweise zu unverschlüsselter Kommunikation der Geräte. Laut einer Studie werden zurzeit rund 90 % des Datenverkehrs zwischen IoT-Geräten unverschlüsselt ausgetauscht.
Aber nicht nur die IP-Schnittstelle an sich kann ein Problem darstellen.
Neben der enorm großen Vielfalt an smarten Endgerätkategorien gibt es mindestens genauso viele Übertragungstechniken. Diese Techniken machen ein herkömmliches zu einem smarten Gerät. Hier kommen Protokolle wie WLAN, Bluetooth, und andere ins Spiel. Jedes Protokoll hat dabei seine ganz eigenen Schwachstellen und Sicherheitslücken. Viele davon werden schnell öffentlich bekannt. Doch stellt jeder Hersteller sofort einen Patch bereit? Und selbst wenn, wird dieser zeitnah installiert? In einigen Geräten findet man nicht änderbare Standard-Passwörter, die problemlos durch Ausprobieren der gängigsten Passwörter geknackt werden können. Letztes Jahr wurde bekannt, dass in vielen namenhaften IP-Überwachungskameras die gleiche chinesische Hardware verbaut ist. Diese enthielt eklatante Sicherheitslücken, wie zum Beispiel nicht abgesicherte Server und die Möglichkeit, Standard-Passwörter unverändert zu lassen. So war es möglich, auf zahlreiche Überwachungsvideos zuzugreifen – weltweit.
Mittlerweile gibt es ganze Suchmaschinen, die das Aufspüren solcher Geräte vereinfachen und das Testen auf Standard-Sicherheitslücken ermöglichen. So kann jeder Einsicht in diverse Geräte erhalten. Hier wurden ebenfalls Sicherheitskameras, aber auch Onboard-Überwachungssysteme von LKWs, sowie Heizungs- und Sicherheitskontrollsysteme von Banken gefunden. Ein weiterer Punkt ist, dass viele Geräte Nutzerdaten lokal speichern. Bei einer Zurücksetzung auf Werkseinstellungen sollten diese gelöscht werden, was aber nicht immer der Fall ist. Das heißt, dass sich durch das Erwerben von gebrauchten IoT-Geräten unter Umständen viel über den ursprünglichen Besitzer herausfinden lässt. Diese genannten Schwachstellen beziehen sich hauptsächlich auf die Endgeräte. Ein weiterer wichtiger Faktor ist die App bzw. das Smartphone, mit dem viele Geräte gesteuert werden. Abgesehen von den ab und zu sehr fragwürdigen Berechtigungen, die beim Installieren der App bestätigt werden, stellt sich die Frage, ob jeder Nutzer die einzelnen Apps über Passwörter sichert. Ist Ihr Smartphone passwortgeschützt? Bei vielen ist dies nicht der Fall. Somit haben einfache Taschendiebe über das Smartphone bereits Zugriff auf sämtliche Geräte in Ihrem Haushalt.
Was kann schon passieren?
All diese Schwachstellen führen zu ganz neuen Bedrohungsszenarien, und das in allen erdenklichen Umgebungen. Smart-Home-Geräte sind meistens in das normale Heim-WLAN integriert. Das heißt: Hat ein Angreifer Zugriff auf ein unsicheres IoT-Gerät, hat er oft auch schnell Zugriff auf das gesamte Netz. Hierfür muss nur bei Erstinstallation das WLAN-Passwort im Klartext übertragen werden oder das IoT-Gerät die WLAN-Zugangsdaten unverschlüsselt lokal speicher. Das passiert häufig. Es reicht also lediglich ein unsicheres Gerät im Netzwerk aus. Wenn man dies jetzt in größerem Maßstab betrachtet – beispielsweise in smarten Bürogebäuden oder Industriehallen – können die Auswirkungen schon um einiges gravierender sein. Hier können sensible Daten abgegriffen werden, sobald sich ein entsprechend unsicheres Gerät im Netzwerk befindet und das Tor zu diesem öffnet. Unsichere smarte Geräte ermöglichen nicht nur Einlass zum restlichen Netzwerk, sondern können von Dritten gesteuert werden und Schaden verursachen. Dieser Schaden kann rein wirtschaftlich signifikant sein.
Personen- oder Imageschäden sind vorstellbar.
In Finnland wurde im Jahr 2016 die Heizungsanlage von zwei Wohnblocks durch einen gezielten DDoS-Angriff auf die smarte Heizung zum Erliegen gebracht. Durch den Anschluss der Heizung ans Internet konnten die Bewohner ihre Heizung aus der Ferne steuern und die Wartung fiel deutlich kostengünstiger aus. So wurde allerdings auch das Tor für Hacker geöffnet. Durch den Angriff verbrachte die Anlage mehrere Tage mit vergeblichen Neustarts und konnte somit nicht heizen. In Finnland, wo es im Winter bis zu -30 °C kalt wird, eine fatale Situation.
In smarten Bürogebäuden, Industriehallen, in Flugzeugen etc. könnten die Manipulation von Licht oder die Ausgabe eines Signaltons schnell eine Massenpanik auslösen und sollten somit unbedingt verhindert werden. Und allein wenn ein Angreifer lediglich Zugriff auf Log-Dateien oder aktuelle Statusmeldungen der Geräte hat, können schon wichtige Informationen gesammelt werden.
Beispielsweise kann durch den lesenden Zugriff auf die Lichtsteuerung gut beobachtet werden, wann Häuser verlassen sind – und das ganz ohne zeitraubende Vor-Ort-Präsenz. Wie bereits erwähnt, ist auch das Smartphone eine große Schwachstelle. Die Haustür öffnet sich automatisch, wenn man mit dem Smartphone in die Nähe kommt, und das sowohl im Smart Home als auch im Bürogebäude. Was passiert, wenn das Smartphone gestohlen wird? Selbst mit aktivierter Displaysperre lassen sich viele Funktionen noch nutzen. Selbst einige Autos können mittlerweile entriegelt werden, sobald das registrierte Smartphone in der Nähe ist. Sogar das Fahren des Autos ist mit dem Smartphone als Schlüsselersatz mittlerweile möglich. Sollten weder das Smartphone noch die steuernde App durch eine PIN oder Ähnliches gesperrt sein, hat der Dieb sogar vollen Zugriff auf alle remote steuerbaren und in der Nähe befindlichen zugehörigen Geräte.
Noch viel einfacher wird es, wenn die smarte Sprachassistentin Arbeit übernimmt und sämtliche smarte Dienste vereint.
Sie steuert die Türöffnung und die Heizung, schreibt Nachrichten an Freunde, Bekannte, Kollegen oder den Chef, auch sämtliche Online-Bestellungen können problemlos per Sprachbefehl initiiert werden. Es reicht also, wenn man vor dem gekippten Fenster höflich sein Anliegen äußert. Im Idealfall, wenn der Besitzer nicht zuhause ist. Gerade wegen der häufig auftretenden Schwachstellen stehen IoT-Geräte immer häufiger im Fokus von zielgerichteten Angriffen. Neben den Angriffen auf das eigene Gerät oder Netzwerk gibt es darüber hinaus noch die Möglichkeit, dass das eigene unsichere Gerät für Angriffe auf andere genutzt wird. Unsichere Geräte können zu einem gigantischen Netzwerk – einem Botnet – vereint und so gemeinsam für einen Angriff benutzt werden. Beispielsweise für DDoS-Angriffe in großem Maßstab wie im Jahr 2016, als zahlreiche Dienste wie Amazon, Github und Twitter für mehrere Stunden unerreichbar wurden. Das IoT hat sich somit durch die Masse unsicherer und leicht kompromittierbarer Geräte inzwischen als eine der größten Bedrohungen im Internet erwiesen.
Was ist zu tun?
Die genannten Bedrohungsszenarien sind natürlich auf die Spitze getrieben. Sie sind deshalb nicht unrealistisch. Korrekt und sicher genutzt, können die meisten Neuerungen, die das Internet of Things mit sich bringt, einen echten Mehrwert darstellen. IoT ermöglicht die sensorbasierte Vorhersage von Bauteildefekten, ohne dass ein Defekt überhaupt eintritt.
Wie gelingt es, die Geräte sicher einzusetzen, um deren volles Potential nutzen zu können?
Fazit
Der durchaus signifikante Aufwand zur Absicherung eines Netzwerks mit IoT-Geräten ist von vornherein einzuplanen. Doch dieser Aufwand lohnt sich, auch wenn die Vorteile nicht in jedem Fall sichtbar sind. Wenn ein Netzwerk samt IoT-Geräte ideal abgesichert ist, passiert – nichts. Bedenken Sie jedoch: Ein Angriff reicht, um in Ihre innerste Privatsphäre vorzudringen.
Auszeichnungen und Mitgliedschaften
Enter your text here...