Das IoT – ein El Dorado für Hacker

Das IoT – ein El Dorado für Hacker
04 Sep 2019

Das IoT (Internet of Things) bietet viele Einfallstore für Hacker – vom Endgerät über den Übertragungsweg bis hin zum Backend. Eugene Kaspersky, der Chef von Kaspersky Lab, nennt das IoT daher „Internet of Threats“ – „Internet der Gefahren“. IoT-Sicherheit beginnt daher schon in der Design-Phase und bezieht Update-Strategien mit ein.

Das IoT hat viele Gesichter. Aufzüge oder Klimaanlagen kommunizieren über das Internet mit der Wartungszentrale, (teil)autonome Autos treten mit Leitsystemen in Kontakt und liefern ein Bild der jeweiligen Verkehrssituation oder Container ermitteln in Echtzeit ihren Standort. Im Smart Home sind viele Geräte intern oder über das Internet of Things vernetzt: Beleuchtung, Thermostate, Türschlösser, Überwachungskameras, Spielkonsolen oder das TV-Gerät. Inzwischen verbindet das Internet der Dinge Milliarden von Endgeräten miteinander oder mit der Cloud.

Die Kehrseite: Milliarden vernetzte Geräte bedeuten auch Milliarden potenzielle Sicherheitslücken. IoT-Geräte sind daher mittlerweile zum wichtigsten Angriffsziel von Cyberkriminellen geworden, noch vor E-Mail-Servern und Webservices. Das zeigt die Studie „The Hunt for IoT“ von F5 Labs. Doch wie sieht es mit der Sicherheit der Geräte und Daten aus? Es gibt unzählige Berichte über Sicherheitslücken in smarten Geräten. Das Problem: Viele Hersteller vernachlässigen bei der Entwicklung ihrer IoT-Geräte das Thema Sicherheit, weil sie ihr Produkt möglichst schnell und kostengünstig auf den Markt bringen wollen. Security kostet Zeit und Geld, steht daher oft im Hintergrund. Das ist fatal, da die Gefahren und die Komplexität durch die zunehmende Vernetzung weiter steigen.

Die Gefahren für das IoT nehmen zu

Das IoT bietet grundsätzlich vier Einfallstore für Hacker und andere Cyberkriminelle: die Endgeräte, die App auf dem mobilen Gerät, das Backend und die Übertragungswege. Ungesichert wird das TV-Gerät schnell zum Spion, der Gespräche mithört. IT-affine Einbrecher manipulieren den elektronischen Türöffner und deaktivieren die Alarmanlage, oder Hacker bauen mit manipulierten vernetzten IoT-Geräten ein Botnetz für DDoS-Attacken auf. Die Gefahren sind vielfältig, auch für IoT-Anwendungen in Unternehmen oder in der Industrie.

Industrie 4.0, sprich das industrielle Internet der Dinge, treibt die Vernetzung von Systemen über IoT-Gateways und das Internet voran. Industrieanlagen übertragen über Sensoren permanent Daten zu ihrem aktuellen Status an eine Cloud-Plattform, und Ingenieure steuern Maschinen über eine App auf ihrem Smartphone. Der Haken: Das IoT öffnet diese bislang meist abgeschlossenen Maschinen, Anlagen und Steuerungssysteme und macht sie anfälliger für Manipulationen und Hackerangriffe.

Tatsächlich steigt die Zahl der IoT-Malware exponentiell an. Der Security-Spezialist Avira registrierte im Jahr 2017 beispielsweise „nur“ etwa 25.000 Malware-Samples, 2018 waren es bereits 100.000. Die meisten Attacken (73 Prozent) laufen laut Avira über das Netzwerkprotokoll Telnet, da es die meisten IoT-Geräte unterstützen und Telnet als nativ unverschlüsseltes Protokoll relativ einfach auszuhebeln ist. Zweithäufigster Angriffsvektor ist das verschlüsselte Secure-Shell (SSH)-Protokoll (17 Prozent), die restlichen zehn Prozent der IoT-Malware entfallen auf HTTP, die  Android-Schnittstelle ADB (Android Debug Bridge) oder das Remote Desktop Protocol (RDP).

Sicherheit beginnt bereits beim Design

Die Sicherheit von IoT-Anwendungen beginnt grundsätzlich bereits beim Design und der Architektur des Systems, Stichwort Security by Design. Das heißt: Entwickler sollten Sicherheit bereits von Anfang an integrieren und nicht erst hinzufügen, wenn die Anwendung fertig ist. Im ersten Schritt der Entwicklung steht daher immer eine Analyse der Risiken: Wie handelt der Angreifer und was wird er machen? Wie hoch ist die Eintrittswahrscheinlichkeit? Welche Daten werden übertragen, und welche Risiken sind für diese Daten ertragbar?

Sind diese grundsätzlichen Fragen geklärt, werden im Idealfall die passenden Maßnahmen für die sichere Entwicklung definiert und die Anwendungsentwickler entsprechend geschult. Unternehmen sollten hier Richtlinien und Best Practices für die sichere Entwicklung von IoT-Anwendungen festlegen, etwa zur Anbindung des Backends oder der Art der Verschlüsselung.

Update-Strategie

Natürlich darf auch eine Update-Strategie für die Behebung von Sicherheitslücken nicht fehlen. IoT-Sicherheit ist kein einmaliges Ereignis, sondern ein permanenter Prozess, da sich die Bedingungen stetig verändern. Ein Beispiel: Durch die jährlich steigende Rechenleistung können Hacker ältere Verschlüsselungsmethoden schneller knacken. Daher müssen Entwickler schon beim Design der Anwendung darauf achten, dass sich die ursprünglich eingesetzten Kryptografie-Schlüssel im Laufe der Zeit durch komplexere Schlüssel ersetzen lassen. Zudem muss es möglich sein, Patches zur Behebung von Sicherheitslücken einfach auf die vernetzten Geräte zu verteilen.

Firmen sollten ihre IoT-Anwendungen grundsätzlich mit vielschichtigen Security-Maßnahmen absichern. Dazu gehören die physische Sicherheit von Geräten über Zugangskontrollen, verschlüsselte Datenübertragung, die Segmentierung des Netzwerks, ein Intrusion-Prevention-System (IPS) oder eine granulare Kontrolle der Anwendungen und Benutzeraktivitäten im Netzwerk.

Hier noch weitere Tipps für eine höhere Sicherheit von IoT-Anwendungen:

  • Security by Design und sichere Entwicklung gemäß die ISO 27034, den Microsoft Security Development Lifecycle oder den OWASP Top 10-Listen
  • Einsatz stärkerer Passwörter am Endgerät, Verzicht auf Default-Passwörter wie 1234 oder 0000
  • Passwörter niemals im Klartext im Backend speichern (Hash und und Salt)
  • Nur moderne WLAN-Sicherheitsverfahren nutzen (WPA2 als Standard, kein WEP)
  • Langfristige Update-Strategie zum Schließen von Sicherheitslücken auf den Endgeräten und im Backend
  • Kryptografie-Schlüssel nicht im Code ablegen, sondern in spezieller Hardware wie TPM- oder Crypto-Chips
  • Verschlüsselte Verbindung zum Backend mit Key Exchange und Verifizierung über Passwort und Zertifikate, um Man-in-the-Middle-Attacken zu verhindern
  • Bewährte Standards, Frameworks und Bibliotheken benutzen (Verschlüsselung nicht selbst programmieren)
  • Least Privilege: Rechte auf die zentrale(n) Funktion(en) beschränken

 


Juergen Mauerer