Die wahre Gefahr unsicherer Smart Devices

Sicherheit im Smarthome ist nicht nur Thema dieses Blogs und mein persönliches Steckenpferd, auch beruflich habe ich mit IT-Sicherheit zu tun. In diesem Zusammenhang ist nun ein Artikel erschienen, den ich in Zusammenarbeit mit River Publishers erstellt habe. Weil dieser nur in Englisch vorliegt, habe ich beschlossen, ihn auf Deutsch hier zu veröffentlichen – das Thema Sicherheit für smart devices beschränkt sich schließlich nicht nur auf das schlaue Zuhause, sondern auch auf die sogenannte Industrie 4.0. Hier daher der Artikel in der deutschen Übersetzung.

Einer der dominierenden IT-Trends in den nächsten Jahren – soviel kann man schon jetzt sagen – wird das Internet der Dinge (IoT) sein. Das IoT umfasst per Definition alle Geräte, die mit dem Internet verbunden werden können. Das könnte jedes Gerät sein, von Getränkeautomaten über Wearables bis hin zu intelligenten Smarthome-Geräten wie Lampen, Routern oder IP-Kameras. Der Begriff IoT wird häufig auch verwendet, wenn es um Komponenten einer Industriemaschine geht, wie z.B. Automotoren oder der Bohrer einer Ölplattform. Für Unternehmen könnte dieser Trend zu einer erheblichen Produktivitätssteigerung führen, da immer mehr Prozesse vollständig digitalisiert werden. Ebenso könnte das Smart Home zu einer signifikanten Veränderung der Interaktion der Verbraucher mit elektronischen Geräten führen. Während sich die meisten Experten darin einig sind, dass beide Trends den Weg zu einer neuen industriellen Revolution ebnen, zeigen jüngste Vorfälle auch, dass die Sicherheit ein großes Problem für diese intelligenten Geräte ist. Entgegen den meisten Medienberichten liegt die Bedrohung jedoch nicht darin, dass Angreifer Ihr Smart Home übernehmen oder die digitale Fabrik sabotieren. Obwohl diese Bedrohung nicht wegdiskutiert werden kann und darf, werden die wahren Probleme die meisten Verbraucher oder Unternehmen nicht direkt betreffen. Die wirtschaftliche Gefahr, die von diesen Problemen ausgeht, ist dagegen umso größer.

Smart Devices sind meist ungenügend gesichert

Das generelle Problem vieler Smart Devices ist, dass ihre Technologie oft auf veralteter Software, oder anfälligen Betriebssystemen basiert. Auch veraltete Kryptographie und schwache Authentifizierungsmechanismen werden in diesen Geräten oft implementiert. Dafür gibt es mehrere Gründe. Beispielsweise das zunehmende Tempo des technologischen Fortschritts. Anwendungen, die noch vor wenigen Jahren als sicher galten, sind heute von Schwachstellen durchdrungen. Zu berücksichtigen sind ebenso die Kosten für intelligente Geräte. Um die Produktivität wie erhofft steigern zu können, müssen Smart Devices in hohen Stückzahlen produziert werden – aus wirtschaftlicher Sicht ist es daher kaum sinnvolle, Sicherheitsupdates über einen längeren Zeitraum, wenn überhaupt, bereitzustellen. Last, but not least: Ein ausgeklügeltes Sicherheitskonzept ist für kritische Systeme wie Enterprise Resource Planning (ERP)-Systeme sinnvoll, aber ein Sensor sollte einfach zu verwalten sein. Betrachtet man diese Themen in Kombination, ist der Sicherheitsalbtraum vorprogrammiert.

Wird die Weltwirtschaft also in Gefahr geraten, wenn zukünftig Einbrecher einen Laptop und nicht mit mehr ein Brecheisen verwenden, um in unsere Häuser zu kommen? Oder wenn ein Industrieroboter dazu mißbraucht wird, um die Einnahmen eines Unternehmens auf ein Offshore-Konto zu übertragen? Das ist zwar durchaus möglich, aber die eigentliche Gefahr besteht darin, dass intelligente Geräte für andere Zwecke eingesetzt werden. Beispiel: das Mirai-Botnet, das im Oktober 2016 an der Ostküste der USA einen Großteil des Internets außer Gefecht setzte „Distributed Denial of Service“ (DDoS) Angriff dafür verantwortlich, dass viele der großen US-Websites nicht mehr erreichbar waren. Technisch gesehen bombardierten Tausende, ja sogar Millionen von Computern gleichzeitig diese Websites – was dazu führte, dass die Server überfordert waren und vor der unerwarteten Menge an Traffic kapitulierten. Die überraschende Tatsache an diesem speziellen Botnetz war, dass es eben genau aus solchen „Smart Devices“ bestand und nicht aus „normalen“ PCs oder Servern. Mit anderen Worten, es waren Verkaufsautomaten, Sicherheitskameras und Babyphones, die Google, Facebook und andere an diesem sonnigen Oktobertag im Jahr 2016 zu Fall brachten.

Cyberkriminelle werden das IoT ausnutzen

Das Mirai Botnet-Beispiel zeigt die tatsächliche Gefahr in Bezug auf IoT-Sicherheit auf. Die meisten Menschen betrachten IoT-Geräte nicht als Computer, aber sie haben dennoch eine gewisse (wenn auch oft kleine) Rechenleistung und sind mit dem Internet verbunden. Da Sicherheitsupdates aus den oben genannten Gründen für diese Art von Geräten selten sind, werden sie für Botnet-Builder zu einem willkommenen Ziel. Werfen wir einen Blick auf die Zahlen: 2017 waren schätzungsweise 8,4 Milliarden dieser Geräte online, wobei sich die Zahl bis 2020 fast verdreifachen wird und mehr als 20 Milliarden erreichen soll. Setzen Sie diese Zahlen nun in Bezug zu weiteren kriminellen Cyberaktivitäten. Denken Sie an Klickbetrug, bei denen Botnets falsche Einnahmen für Internetwerbung generieren, oder Krypto-Mining, wo Botnet-Geräte zur Generierung von digitalem Geld eingesetzt werden. Cyberkriminelle sind kreativ, und sie werden sicherlich einen Weg finden, die enormen Ressourcen, die ihnen zur Verfügung stehen, zu nutzen.

Das Wachstum des Internet of Things in den nächsten Jahren

Quelle: https://hackernoon.com/internet-of-everything-the-iot-market-is-projected-to-expand-12x-from-2017-2023-175f845c2bcf 

Wie können nun diese kriminellen Aktivitäten verhindert und ein höherer Sicherheitsstandard durchgesetzt werden? Die Antwort liegt auf der Hand Sicherheitsstandards und Sicherheitsupdates für IoT-Geräte müssen sich durchsetzen. Ich bin zuversichtlich, dass dies langfristig der Fall sein wird, andererseits wird bis dahin viel Wasser den Rhein entlangfließen, wie man bei uns so schön sagt. Ein Beispiel aus der Vergangenheit verdeutlicht die Problematik: HTTPS (Hypertext Transfer Protocol Secure) wurde 1994 von Netscape eingeführt. Aber erst jetzt, 24 Jahre später, im Juli 2018, mit der Veröffentlichung von Chrome 68, hat Google damit begonnen, alle Nicht-HTTPS-Seiten als „nicht sicher “ zu markieren. Hoffentlich werden sich die IoT-Sicherheitsstandards schneller durchsetzen.

Patrick Boch

Patrick beschäftigt sich beruflich schon länger mit Sicherheit - allerdings für eine andere Zielgruppe. Privat sorgt er lieber für ein smartes - und sicheres - Zuhause.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen