Home » News » Cybersecurity » Kommentar: IoT – warum smart nicht gleich sicher ist

Kommentar: IoT – warum smart nicht gleich sicher ist

Das Internet of Things (IoT) hat sowohl industrielle als auch private Gebrauchsgegenstände verändert, indem es sie miteinander vernetzt und zu „Smart Devices“ gemacht hat. Operative Technologie im IoT unterstützt die automatisierte Fertigung in der Industrie, während smarte Lautsprecher, Kühlschränke, Lampen oder Thermostate unseren Alltag erleichtern. Leider legen viele Hersteller und Softwareanbieter keinen Wert auf die Umsetzung von Sicherheitsanforderungen in ihren Produkten.

4 Min. Lesezeit
Foto: ©AdobeStock/Sashkin

IoT-Hersteller konzentrieren sich größtenteils immer noch lieber auf die Verbesserung der funktionalen Fähigkeiten ihrer Produkte, als darauf, diese mit Sicherheitsschichten zu versehen. So sind Produkte, denen grundlegende Sicherheitsfunktionen wie Benutzer-/Passwortverwaltung und verschlüsselte Kommunikation fehlen, keineswegs die Ausnahme. Die wenigsten sind für Penetrationstests und Schwachstellen-Management vorbereitet. All das spielt denen in die Karten, die diese Nachlässigkeit auszunutzen wissen.

Das Internet of Things (IoT) hat sowohl industrielle als auch private Gebrauchsgegenstände verändert, indem es sie miteinander vernetzt und zu „Smart Devices“ gemacht hat. Operative Technologie im IoT unterstützt die automatisierte Fertigung in der Industrie, während smarte Lautsprecher, Kühlschränke, Lampen oder Thermostate unseren Alltag erleichtern. Leider legen viele Hersteller und Softwareanbieter keinen Wert auf die Umsetzung von Sicherheitsanforderungen in ihren Produkten.

Wie bei jeder Softwareentwicklung verwenden die Hersteller Open-Source-Pakete und Standardkomponenten von Drittanbietern. Dadurch kann das Gerät bekannten Problemen ausgesetzt sein, die von diesen Softwarepaketen ausgehen. Open-Source ist ein großer Vorteil für Entwickler, erfordert aber häufige Aktualisierungen, sobald eine Software-Schwachstelle veröffentlicht wird. Leider sorgen die IoT-Hersteller nicht unbedingt dafür, dass Sicherheits-Patches für ihre Geräte erstellt werden. Die Wahrheit ist: Das Bewusstsein ist unzureichend und die Nachfrage der Nutzer nach Sicherheit in diesen Geräten nicht stark genug. Und selbst in Szenarien, in denen Hersteller die Verantwortung für die Sicherheit ihrer Geräte übernehmen und regelmäßige Updates herausgeben, machen sich viele ihrer Kunden selten die Mühe, ihre Geräte überhaupt zu aktualisieren.

Dafür gibt es viele Gründe. Der erste hat mit der betrieblichen Effizienz und dem Aufwand für die Wartung verteilter Systeme zu tun. In vielen Fällen ist die Aktualisierung der Firmware eines IoT-Geräts komplizierter als die Aktualisierung von Computersoftware. Es gibt immer noch Geräte, die auf Updates über USB angewiesen sind. Es gibt sogar Fälle, in denen die Geräte an unzugänglichen Orten installiert sind (etwa Kameras, die auf Zäunen oder hohen Masten installiert oder Hunderte von Kilometern vom Managementteam entfernt sind). Außerdem erfordern Software-Updates einen Neustart der Geräte, was aufgrund der kritischen Funktionen der Geräte problematisch sein kann. Auch die Angst vor bösartigen Updates ist immer präsent. Es gibt viele reale Beispiele für Angriffe, die auf Software-Updates zurückgehen, wie der berühmte Supply-Chain-Angriff auf Solar Winds. Was am Ende übrig bleibt, sind Geräte, auf denen die ursprüngliche Softwareversion läuft – und das jahrelang.

Wie Angreifer die Software-Schwachstellen ausnutzen

Angreifer gehen oft den Weg des geringsten Widerstands. Sie nutzen dabei sogenannte Bekannte Schwachstellen und Anfälligkeiten (CVE – Common Vulnerabilities and Exposures) Jede bekannte CVE wird für Cyber-Angreifer zu einer potenziellen Waffe, um in ein Unternehmen einzudringen. Naturgemäß werden Schwachstellen in der Regel erst entdeckt, nachdem die Angreifer sie aufgedeckt haben und der Schaden bereits entstanden ist. Im besten Fall gelingt es den Verantwortlichen, Schwachstellen in einer Laborumgebung im Rahmen eines Forschungsprojekts zu identifizieren. Die Forscher räumen den Herstellern eine Frist von 90 Tagen für die Freigabe eines Software-Updates ein, bevor sie die Informationen über die Schwachstelle öffentlich machen. Dies ist eine kurze Zeitspanne für die Hersteller – das heißt, sie müssen schnelle Aktualisierungen herausgeben, bevor die Schwachstelle veröffentlicht wird.

Die schwerwiegendsten CVEs beziehen sich auf die Möglichkeit, Code aus der Ferne auszuführen (RCE – Remote Code Execution). Diese Art des Angriffs ermöglicht dem Angreifer die vollständige Kontrolle über das Gerät von einem beliebigen entfernten Standort aus. Das erlaubt es ihm, Informationen zu stehlen, Ransomware auszuführen, Miner für digitale Währungen auf dem Gerät zu installieren, einen Bot einzuschleusen, um weitere Aktionen in der Folge zu ermöglichen, und vieles mehr. Wenn sie ein Gerät angreifen, das mit einem Unternehmensnetzwerk verbunden ist, können clevere Angreifer jedes Gerät im Netzwerk erreichen und Remote-Befehle ausführen. Angreifer dringen sogar in Unternehmen ein und bleiben monatelang inaktiv, bis sie den richtigen Zeitpunkt für einen Angriff finden.

Welche Maßnahmen helfen dabei, IoT-Geräte abzusichern?

Es gibt mehrere Möglichkeiten, die von IoT-Geräten ausgehenden Cyberrisiken zu minimieren. Die Geräte können beispielsweise in verschiedene Kategorien eingeteilt werden, wobei jede Kategorie unterschiedliche Risikostufen enthält. Ganz oben auf der Liste stehen Geräte mit „Augen und Ohren“ wie Kameras, Aufzüge, Drohnen und sogar Router. Die CISA-Agentur hat zudem kürzlich ein Dokument herausgegeben, das den Beteiligten helfen soll, bei der Anschaffung von IoT-Geräten Sicherheitsüberlegungen anzustellen. Unabdinglich ist zudem eine gründliche Recherche vor der Anschaffung der Smart Devices. Geräte sollten nur von anerkannten und zuverlässigen Herstellern gekauft werden, die Sicherheit „ab Werk“ garantieren.

In einem durchschnittlichen Unternehmen gibt es Hunderte oder sogar Tausende IoT-Geräte: Von smarten Druckern bis hin zu vernetzter Infrastruktur. Auch eine Softwarelösung, die direkt in die Gerätschaften eingebettet wird und Anomalien erkennt, bringt eine zusätzliche Verteidigungslinie. Denn keine Organisation möchte einen Datenleak oder Schaden an der eigenen Reputation durch einen Hack erleiden, der durch ein „smartes“ Eingangstor verursacht wurde.

 

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH

 

Andere interessante News

Post Quantum Kryptografie

Statement: Post-Quantum-Kryptografie als Bollwerk gegen Angriffe mit Quanten-Computern

Können kryptografische Verfahren wie RSA auch dann noch sicher sein, wenn extrem leistungsfähige Quantencomputer attackieren? Um sicher verschlüsselte Daten zu gewährleisten, ist es entscheidend, die Stärke der verwendeten Verschlüsselungsalgorithmen zu überprüfen.

Ransomware favorisiert IT- und Baubranche

Ein neuer Bericht bietet einen Einblick in die aktuelle Bedrohungslage im Cyberspace und zeigt auf, welche Branchen besonders oft von Hackerattacken betroffen sind. Eine wichtige Erkenntnis des Berichts ist, dass die IT- und Baubranche am häufigsten von Ransomware-Angriffen betroffen sind.

Geld für Cybersecurity

Wie Cybersicherheit mit ihren Kosten korrespondiert

Cyberangriffe sind eine große Gefahr für Unternehmen, Regierungen und Personen. Im letzten Jahr wurden die Kosten von Cyberangriffen weltweit auf 8 Billionen US-Dollar geschätzt. Doch ob mehr Geld in Cybersicherheit wirklich zu mehr Sicherheit führt, ist fraglich. Ein internationaler Vergleich verrät mehr darüber.