Home » News » Cybersecurity » Kommentar: IoT – warum smart nicht gleich sicher ist

Kommentar: IoT – warum smart nicht gleich sicher ist

Das Internet of Things (IoT) hat sowohl industrielle als auch private Gebrauchsgegenstände verändert, indem es sie miteinander vernetzt und zu „Smart Devices“ gemacht hat. Operative Technologie im IoT unterstützt die automatisierte Fertigung in der Industrie, während smarte Lautsprecher, Kühlschränke, Lampen oder Thermostate unseren Alltag erleichtern. Leider legen viele Hersteller und Softwareanbieter keinen Wert auf die Umsetzung von Sicherheitsanforderungen in ihren Produkten.

4 Min. Lesezeit
Foto: ©AdobeStock/Sashkin

IoT-Hersteller konzentrieren sich größtenteils immer noch lieber auf die Verbesserung der funktionalen Fähigkeiten ihrer Produkte, als darauf, diese mit Sicherheitsschichten zu versehen. So sind Produkte, denen grundlegende Sicherheitsfunktionen wie Benutzer-/Passwortverwaltung und verschlüsselte Kommunikation fehlen, keineswegs die Ausnahme. Die wenigsten sind für Penetrationstests und Schwachstellen-Management vorbereitet. All das spielt denen in die Karten, die diese Nachlässigkeit auszunutzen wissen.

Das Internet of Things (IoT) hat sowohl industrielle als auch private Gebrauchsgegenstände verändert, indem es sie miteinander vernetzt und zu „Smart Devices“ gemacht hat. Operative Technologie im IoT unterstützt die automatisierte Fertigung in der Industrie, während smarte Lautsprecher, Kühlschränke, Lampen oder Thermostate unseren Alltag erleichtern. Leider legen viele Hersteller und Softwareanbieter keinen Wert auf die Umsetzung von Sicherheitsanforderungen in ihren Produkten.

Wie bei jeder Softwareentwicklung verwenden die Hersteller Open-Source-Pakete und Standardkomponenten von Drittanbietern. Dadurch kann das Gerät bekannten Problemen ausgesetzt sein, die von diesen Softwarepaketen ausgehen. Open-Source ist ein großer Vorteil für Entwickler, erfordert aber häufige Aktualisierungen, sobald eine Software-Schwachstelle veröffentlicht wird. Leider sorgen die IoT-Hersteller nicht unbedingt dafür, dass Sicherheits-Patches für ihre Geräte erstellt werden. Die Wahrheit ist: Das Bewusstsein ist unzureichend und die Nachfrage der Nutzer nach Sicherheit in diesen Geräten nicht stark genug. Und selbst in Szenarien, in denen Hersteller die Verantwortung für die Sicherheit ihrer Geräte übernehmen und regelmäßige Updates herausgeben, machen sich viele ihrer Kunden selten die Mühe, ihre Geräte überhaupt zu aktualisieren.

Dafür gibt es viele Gründe. Der erste hat mit der betrieblichen Effizienz und dem Aufwand für die Wartung verteilter Systeme zu tun. In vielen Fällen ist die Aktualisierung der Firmware eines IoT-Geräts komplizierter als die Aktualisierung von Computersoftware. Es gibt immer noch Geräte, die auf Updates über USB angewiesen sind. Es gibt sogar Fälle, in denen die Geräte an unzugänglichen Orten installiert sind (etwa Kameras, die auf Zäunen oder hohen Masten installiert oder Hunderte von Kilometern vom Managementteam entfernt sind). Außerdem erfordern Software-Updates einen Neustart der Geräte, was aufgrund der kritischen Funktionen der Geräte problematisch sein kann. Auch die Angst vor bösartigen Updates ist immer präsent. Es gibt viele reale Beispiele für Angriffe, die auf Software-Updates zurückgehen, wie der berühmte Supply-Chain-Angriff auf Solar Winds. Was am Ende übrig bleibt, sind Geräte, auf denen die ursprüngliche Softwareversion läuft – und das jahrelang.

Wie Angreifer die Software-Schwachstellen ausnutzen

Angreifer gehen oft den Weg des geringsten Widerstands. Sie nutzen dabei sogenannte Bekannte Schwachstellen und Anfälligkeiten (CVE – Common Vulnerabilities and Exposures) Jede bekannte CVE wird für Cyber-Angreifer zu einer potenziellen Waffe, um in ein Unternehmen einzudringen. Naturgemäß werden Schwachstellen in der Regel erst entdeckt, nachdem die Angreifer sie aufgedeckt haben und der Schaden bereits entstanden ist. Im besten Fall gelingt es den Verantwortlichen, Schwachstellen in einer Laborumgebung im Rahmen eines Forschungsprojekts zu identifizieren. Die Forscher räumen den Herstellern eine Frist von 90 Tagen für die Freigabe eines Software-Updates ein, bevor sie die Informationen über die Schwachstelle öffentlich machen. Dies ist eine kurze Zeitspanne für die Hersteller – das heißt, sie müssen schnelle Aktualisierungen herausgeben, bevor die Schwachstelle veröffentlicht wird.

Die schwerwiegendsten CVEs beziehen sich auf die Möglichkeit, Code aus der Ferne auszuführen (RCE – Remote Code Execution). Diese Art des Angriffs ermöglicht dem Angreifer die vollständige Kontrolle über das Gerät von einem beliebigen entfernten Standort aus. Das erlaubt es ihm, Informationen zu stehlen, Ransomware auszuführen, Miner für digitale Währungen auf dem Gerät zu installieren, einen Bot einzuschleusen, um weitere Aktionen in der Folge zu ermöglichen, und vieles mehr. Wenn sie ein Gerät angreifen, das mit einem Unternehmensnetzwerk verbunden ist, können clevere Angreifer jedes Gerät im Netzwerk erreichen und Remote-Befehle ausführen. Angreifer dringen sogar in Unternehmen ein und bleiben monatelang inaktiv, bis sie den richtigen Zeitpunkt für einen Angriff finden.

Welche Maßnahmen helfen dabei, IoT-Geräte abzusichern?

Es gibt mehrere Möglichkeiten, die von IoT-Geräten ausgehenden Cyberrisiken zu minimieren. Die Geräte können beispielsweise in verschiedene Kategorien eingeteilt werden, wobei jede Kategorie unterschiedliche Risikostufen enthält. Ganz oben auf der Liste stehen Geräte mit „Augen und Ohren“ wie Kameras, Aufzüge, Drohnen und sogar Router. Die CISA-Agentur hat zudem kürzlich ein Dokument herausgegeben, das den Beteiligten helfen soll, bei der Anschaffung von IoT-Geräten Sicherheitsüberlegungen anzustellen. Unabdinglich ist zudem eine gründliche Recherche vor der Anschaffung der Smart Devices. Geräte sollten nur von anerkannten und zuverlässigen Herstellern gekauft werden, die Sicherheit „ab Werk“ garantieren.

In einem durchschnittlichen Unternehmen gibt es Hunderte oder sogar Tausende IoT-Geräte: Von smarten Druckern bis hin zu vernetzter Infrastruktur. Auch eine Softwarelösung, die direkt in die Gerätschaften eingebettet wird und Anomalien erkennt, bringt eine zusätzliche Verteidigungslinie. Denn keine Organisation möchte einen Datenleak oder Schaden an der eigenen Reputation durch einen Hack erleiden, der durch ein „smartes“ Eingangstor verursacht wurde.

 

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH

 

Andere interessante News

Kommentar: Top-Themen 2023: Cyberresilienz und Ransomware-Gesetzgebung

Viele fragen sich derzeit, was das Jahr 2023 für die IT-Sicherheit bringt. Illumio geht davon aus, dass vor allem zwei Themen eine wichtige Rolle spielen werden. Der erste Trend ist, dass Cyberresilienz zum alleinigen Maßstab für den Erfolg von IT-Sicherheitsprogrammen wird, der zweite, dass Regierungen und Unternehmen beginnen werden, effektivere Maßnahmen zur Eliminierung von Ransomware zu ergreifen.

Black Friday – ein Fest für Schnäppchenjäger und für Cyberkriminelle

Auch dieses Jahr könnten wieder gehäuft kriminelle Cybervorfälle verzeichnet werden. Ian McShane, Vice President of Strategy bei Arctic Wolf, teilt seine Gedanken zum Thema „Cybersecurity am Black Friday: Damit Sie bei der Schnäppchenjagt nicht draufzahlen“.

Der Trend geht deutlich in Richtung gezielte Cyberattacken

Der Schein trügt: Trotz rückläufiger Angriffszahlen sind Cyberkriminelle gerade sehr aktiv. Das belegt der neue Bedrohungsreport von G DATA CyberDefense. Zurzeit setzen kriminelle Akteure insbesondere Berbew, Neojitt und FormBook ein, um PrivatanwenderInnen und Unternehmen zu infiltrieren.