Wie sicher sind die ganzen Dinge, die mit dem Internet verbunden werden?

Angriffsziel Internet of Things
Kommentare

Jedes Gerät, das mit dem Internet verbunden ist, kann nicht nur mit allen anderen mit dem Internet verbundenen Geräten kommunizieren, sondern von dort aus auch angegriffen werden. Und für einen Angreifer ist es erst einmal völlig egal, ob am anderen Ende der Verbindung ein Rechner, ein Kühlschrank, eine Heizung, ein Auto oder was auch immer sitzt.

Sie haben Anfang 2014 bestimmt vom spammenden Kühlschrank gehört? Der Security-as-a-Service-Provider Proofpoint gab am 16. Januar in einer Pressemitteilung bekannt, dass man das erste Botnet auf Basis von Home-Routern, Multimedia-Centern, Fernsehern und mindestens einem Kühlschrank entdeckt habe, das zum Versand von Spam genutzt wurde. Und das in homöopathischen Dosen: Jeweils zehn Spammails pro Gerät, was durch die Größe des Botnets aber ausgeglichen wurde und zu Spamwellen von jeweils 100 000 Mails dreimal am Tag führte.

Der Kühlschrank, der gar keiner war

Einen Beweis dafür blieb man aber schuldig, und etwas später stellte sich heraus, dass es sich beim Spam-versendenden Kühlschrank um einen ganz normalen Windows-Rechner hinter einem Router mit Network Address Translation (NAT) handelte. Denn von außen kann man nicht feststellen, welches Gerät hinter einem NAT-Router die Spammails verschickt hat. Wenn dann im Router noch das Port Forwarding aktiviert ist und Anfragen aus dem Internet an Port 80 an den Kühlschrank weitergeleitet werden, sieht es von außen so aus, als wäre unter der fraglichen Adresse (nur) dieser Kühlschrank zu erreichen. Die weiteren Rechner im lokalen Netz einschließlich des infizierten Windows-Rechners sind unsichtbar.

Alle Cyberkriminellen wollen nur das eine: Geld!

Cyberkriminelle sind nur hinter einem her: Geld. Wie sie da ran kommen, ist ihnen egal. Sie werden also sofort das IoT angreifen, wenn es ein für sie lohendes Geschäftsmodell gibt. Aber mit einem spammenden Kühlschrank lässt sich kaum Geld verdienen, es gibt genug Botnets auf Basis von Windows-PCs. Interessant würde der Kühlschrank vielleicht, wenn er seinen Inhalt überwachen und selbstständig Nachschub ordern würde, sobald bestimmte Bestandswerte unterschritten werden. Wenn Cyberkriminelle diese Bestellungen zum Beispiel an einen eigenen Webshop umleiten oder anderweitig zu ihrem Vorteil manipulieren können, werden sie diese Möglichkeit sicher irgendwann nutzen. Aber erst wenn es sich lohnt und nicht vorher.

Für einige Zeit werden die Geräte des IoT somit den gleichen Vorteil haben, den Macs vor einiger Zeit verloren haben: Es gibt zu wenige davon, um sie für großangelegte Angriffe interessant zu machen. Die Schonfrist sollten die Entwickler der „Dinge“ dringend nutzen, um ihre Produkte abzusichern, denn die enthalten zurzeit noch viel zu oft Schwachstellen. Meist im Zusammenhang mit der Authentifizierung und/oder Autorisierung, aber auch in allen anderen möglichen Bereichen. Und gerade Schwachstellen im Bereich der Authentifizierung/Autorisierung sind sehr gefährlich, denn im Allgemeinen bedeutet das ja, dass die Geräte frei zugänglich mit dem Internet verbunden sind. Mit einigen Beispielen dafür geht es daher weiter.

Heizung mit Hintertür

Wenn sich die Heizung aus dem Internet steuern lässt, hat das sicher Vorteile. Zum Beispiel kann man die Temperatur schon höher stellen, während man noch völlig durchfroren mitten in der Nacht auf dem Heimweg ist, und man kommt nicht in eine durch die Nachtabsenkung abgekühlte Wohnung.

Schlecht wäre es natürlich, wenn Unbefugte das Gleiche tun und zum Beispiel im Winter die Heizung aus- oder im Hochsommer einschalten könnten. Man sollte also annehmen, dass die Hersteller den Zugriff auf die Steuerung entsprechend gut absichern. Leider ist das nicht immer der Fall. Ein schönes Beispiel dafür, wie man die Authentifizierung nicht implementieren sollte, lieferte im Februar 2013 der Heizungshersteller Vaillant. In dessen stromerzeugenden Heizungen vom Typ ecoPOWER 1.0 wurde eine kritische Schwachstelle im mit dem Internet verbundenen Systemregler entdeckt. Über diesen Zugang können die Blockheizkraftwerke über eine Weboberfläche oder eine iPad-App konfiguriert werden. Die Schwachstelle erlaubt es einem Angreifer, sich über zwei Angriffsvektoren Zugriff auf die Steuerung zu verschaffen: Durch den Aufruf eines bestimmten URL sowie über einen nicht näher beschriebenen zweiten Vektor lassen sich aus dem Speicher des Systemreglers das aktuelle Kundenpasswort und alle zuvor vom Kunden verwendeten Passwörter, das Kundendienstpasswort, das Entwicklerpasswort, der Name des Heizungsbesitzers und der Standort der Anlage abfragen. Der Angreifer kann sich mit diesen Zugangsdaten also als Besitzer der Heizung, Vaillant-Kundendienst oder Entwickler bei der Heizung anmelden und mit entsprechenden Rechten auf die Konfiguration zugreifen. Diese kann er dann nach Belieben ändern.

Das hat unter Umständen gefährliche Folgen für Heizung und Gebäude. So könnte die Heizung komplett ausgeschaltet und die Frostschutzfunktion lahmgelegt werden, was bei entsprechenden Temperaturen im Winter schnell zu Frostschäden führen würde. Eine Erhöhung der Vorlauftemperatur könnte beim Einsatz von Fußbodenheizungen zu Schäden am Gebäude führen. Und durch die Manipulation von Geräteparametern könnte die Heizung selbst beschädigt oder auch zerstört werden.

Besonders heikel sind dabei die hohen Rechte, mit denen der Angreifer auf die Heizung zugreifen kann: Der Entwickleraccount kann Parameter manipulieren, deren Änderung Vaillant selbst den eigenen Technikern nicht erlaubt.

Per DynDNS-Dienst komfortabel Opfer finden

Verschlimmert wurde die Schwachstelle durch einen von Vaillant bereitgestellten DynDNS-Dienst, über den die betroffenen Anlagen leicht aufzufinden waren. Im April 2013 informierte Vaillant alle betroffenen Kunden und forderte sie auf, den Netzwerkstecker zu ziehen. Die Anlagen sollten erst wieder mit dem Internet verbunden werden, nachdem ein Kundendienstmitarbeiter ein Update installiert hat. Bei Kunden mit Wartungsverträgen, die den Anschluss der Heizung ans Internet zwingend nötig machen, wurde außerdem eine VPN-Appliance zur Absicherung der Verbindung installiert.

Schlimmer geht bekanntlich immer, Stufe 1

Die Installation der Updates dauerte länger als anfangs von Vaillant vermutet: Der Systemregler basiert auf einer Industriesteuerung des Herstellers Saia-Burgess, der sich mit der Entwicklung eines Patches schwer tat. Vaillant ließ deshalb im Juni ein selbst entwickeltes Interimsupdate installieren, das die Schwachstelle auf die denkbar einfachste Art und Weise behob: Der Netzwerkzugriff wurde grundsätzlich deaktiviert. Der Betreiber kann ihn für eine nötige Fernwartung über den Touchscreen der Heizung für die Dauer von einer Stunde manuell einschalten. Darüber hinaus wurde der Fernwartungszugang durch eine zusätzliche Passwortabfrage abgesichert. Das Ganze verhindert zwar Angriffe, aber auch die Nutzung der iPad-App.

Erst Ende August 2013 stand ein Update zur Verfügung, durch das die Schwachstelle korrekt behoben wurde. Zusätzlich wurden VPN-Appliances zur Absicherung der Kommunikation installiert. Die Steuerung über die Weboberfläche erfolgt wie zuvor über ein dafür eingerichtetes Webportal, die Verwendung der iPad-App ist aber nicht möglich.

Schlimmer geht immer, Stufe 2

Die Industriesteuerungen von Saia-Burgess werden nicht nur in Vaillant-Heizungen eingesetzt, sondern auch in vielen Industrie- und Gebäudesteuerungen. Die Entdecker der Schwachstelle in den Vaillant-Heizungen haben bei der Aufdeckung der Schwachstelle mit Heise Security zusammengearbeitet, und bei weiteren Untersuchungen fand man dort „hunderte, öffentlich erreichbare IP-Adressen von virtuellen Schaltzentralen, die ohne effektive Authentifizierung sperrangelweit offen standen“. Das eingeschaltete Bundesamt für Sicherheit in der Informationstechnik (BSI) konnte rund 500 betroffene Anlagen in Deutschland aufspüren. Darunter befanden sich auch ziemlich große „Dinge“, zum Beispiel die Glocken- und Lichtsteuerung einer Kirche in Beckum.

Im August 2013 wurde für diese Industriesteuerungen ein Firmwareupdate veröffentlicht, das die Schwachstelle beseitigt. Darauf basiert auch das finale Update von Vaillant.

Gar nicht smarte Thermostate

Eine von außen durch Dritte steuerbare Heizung ist sehr unschön, aber auch eine Nummer kleiner ist noch reichlich Platz für Schwachstellen. Die Nest Labs stellen intelligente Raumthermostate und Rauchmelder her, und die sind so gut, dass Google sie unbedingt haben wollte. Der Einfachheit halber gleich samt Unternehmen.

Im Juni 2014 wurde bekannt, dass sich die Nest-Thermostate in kürzester Zeit kompromittieren lassen. Die GTV-Hacker haben den Angriff in einem Blog-Post und einem zugehörigen Video vorgestellt. Außerdem war der Angriff Teil eines umfangreicheren Vortrags auf der DefCon 22 im August 2014, mit dem (un)schönen Titel „Hack All The Things: 20 Devices in 45 Minutes“. Um auf alle zwanzig Devices näher einzugehen, fehlt hier der Platz. Angegriffen wurden zum Beispiel der Multifunktionsdrucker Epson Artisan 700/800, Belkin-Wemo-Geräte, der Amazon Fire TV, LG LFX31995ST (ein smarter Kühlschrank), und mehr. Weitere Informationen finden Sie in der Präsentation.

Aber zurück zum Angriff auf Google Nest: Dessen CPU enthält einen Device-Firmwareupdate-(DFU-)Modus, der durch Drücken auf den Bildschirm des ausgeschalteten Thermostats aktiviert wird. Zuvor muss das Thermostat über USB mit einem Rechner verbunden werden, von dem aus dann die neue Firmware installiert wird.

Sie sehen also schon: Der Angriff erfordert den direkten Zugriff auf die Geräte. Was Angriffe nicht unmöglich macht, denn ein Krimineller könnte sich zum Beispiel als Heizungsableser, Kundendienstmonteur oder Ähnliches ausgeben und sich mittels Social Engineering Zugang zu den Thermostaten verschaffen. Und im Allgemeinen vertraut man auch nicht jedem, der sich legal im Gebäude aufhält, so weit, dass man ihm einen Remote-Root-Zugriff auf die Thermostate gewähren möchte. Denn genau der lässt sich über die Firmwareupdatefunktion erlangen.

Ein gerootetes Thermostat

Über einen modifizierten Boot-Loader wird ein Linux-Kernel geladen, über den das Dateisystem des Thermostats manipuliert und ein als Root laufender SSH-Server installiert wird, samt Reverse-SSH-Tunnel zu einem externen Host, von dem aus dann auf das Thermostat zugegriffen werden kann. Dabei werden sämtliche Schutzfunktionen einschließlich der Signatur der Firmware unterlaufen, der neue Boot-Loader schert sich nicht um die Signatur.

Das ist natürlich formal ein Angriff, gleichzeitig aber auch eine Möglichkeit, wie der Benutzer die vollständige Kontrolle über das Gerät erlangen kann. Auf der parallel zur DefCon 22 stattfindenden Black Hat USA 2014 wurde ein weiterer Angriff auf die Nest-Thermostate vorgestellt, bei dem es auch darum ging, den Geräten das Weitergeben von Daten zu verbieten.

Der von Grant Hernandez, Orlando Arias, Daniel Buentello und Yier Jin vorgestellte Angriff nutzt genau wie der Angriff der GTV-Hacker die Firmwareupdatefunktion, um über einen modifizierten Boot-Loader die Kontrolle über das System zu übernehmen. Parallel zur Entwicklung des Angriffs wurde von den Forschern die vorhandene Firmware analysiert und so zum Beispiel der Versuch der Firmware, einen eigenen (aber nicht vorhandenen) SSH-Server zu starten, entdeckt.

Welche Folgen hat der Angriff?

Ein Angreifer, der sich in einem Nest-Thermostat häuslich eingerichtet hat, kann von dort aus beispielsweise weiter ins lokale Netz vorstoßen oder die auf dem Thermostat vorhandenen Daten wie in Klartext gespeicherte Zugangsdaten (zum Beispiel zum WLAN) oder gesammelte Informationen über die Nutzung der Heizung ausspähen.

Genauso gut kann sich der Benutzer auf diesem Weg aber auch die vollständige Kontrolle über sein eigenes Thermostat verschaffen und die normalerweise nicht ausschaltbare Speicherung von Logfiles und damit im Grunde Nutzungsprofilen in der Cloud unterbinden.

Möglichkeit 1: Spione in der Google Glass

Kommen wir von Google Nest zu Google Glass. Eine Brille mit eingebautem Computer und einer damit verbundenen Kamera – was könnte ein Angreifer damit anstellen? Richtig: Spyware entwickeln, die die Kameradaten abgreift und quasi „mit den Augen des Opfers“ sieht. Im März 2014 haben zwei Studenten der California Polytechnic San Luis Obispo als Proof of Concept eine Spyware-App für die Google Glass vorgestellt. Die App macht bei ausgeschaltetem Glass-Display alle zehn Sekunden ein Foto und lädt es auf einen Server der Entwickler, ohne dass der Benutzer davon etwas merkt.

Googles Regeln für Glass-Apps verbieten zwar Apps, die bei ausgeschalteten Display Fotos machen, einen wirksamen technischen Schutz davor gibt es aber nicht. Zwar können mit dem Camera-API Fotos nur dann gemacht werden, wenn ein SurfaceHolder-Objekt mit einem Preview des Fotos auf dem Display dargestellt wird, das API verlangt aber weder eine Mindestgröße für das Vorschaubild noch dass das Display überhaupt eingeschaltet sein muss.

Diese oder eine vergleichbar bösartige App würde zwar sehr wahrscheinlich nicht im Glass-App-Store zugelassen, aber das ist kein wirklicher Schutz. Die Benutzer können ja auch Apps aus anderen Quellen installieren, und die meisten bösartigen Android-Apps werden bekanntlich über andere Quellen als Googles offiziellen App Store angeboten. Außerdem könnte die Spyware installiert werden, wenn die ungeschützte Glass zum Beispiel in einem Hotelzimmer zurückgelassen wird (was im Grunde dem „Evil-Maid“-Angriff auf Notebooks entspricht). Ganz davon zu schweigen, dass Forscher von Lookout Security schon 2013 gezeigt haben, wie sich über einen QR-Code Schadsoftware auf einer Google Glass installieren lässt.

Die dabei ausgenutzte Schwachstelle wurde natürlich inzwischen von Google behoben, aber es wäre wohl ein Wunder, wenn es keine weiteren ausnutzbaren Schwachstellen gäbe. Der Glass-Benutzer muss also im Ernstfall nur einmal einen bösartigen QR-Code scannen, der ihn auf eine Webseite mit einem Exploit für die Glass führt und schon können die Cyberkriminellen zum Beispiel zusehen, wie er seine Zugangsdaten für Social Networks oder Onlineshops eingibt. Das ist doch ziemlich beängstigend, oder? Wenn Sie deshalb lieber auf die Glass verzichten, schützt Sie das aber nicht unbedingt vor einem Angriff, denn es gibt ja auch noch:

Möglichkeit 2: Spione mit der Google Glass

Schon 2011 haben Forscher auf der Sicherheitskonferenz Black Hat Abu Dhabi demonstriert, wie ein Angreifer durch reines Beobachten seines Opfers dessen Eingaben auf einem Touchscreen ausspähen kann. Damit wurde das „Shoulder Surfing“ automatisiert und zwar mit beachtlichem Erfolg. Eine auf den Touchscreen des Opfers gerichtete Kamera zeichnet die Bewegungen des Benutzers und das Feedback des Touchscreens auf, aus denen dann die Tastendrücke ermittelt werden. Dabei konnten bis zu 97,07 Prozent der Tastendrücke erkannt werden, die Fehlerrate lag bei 1,15 Prozent.

Auf der Black Hat USA 2014 haben andere Forscher diesen Angriff verbessert und unter anderem an die Google Glass angepasst. Der nette Herr mit der Google Glass auf der Nase am Nebentisch im Cafe könnte also gar nicht so nett sein, wie er aussieht, und Sie bei der Eingabe ihres Smartphone-Passcodes oder noch sensiblerer Daten beobachten.

Kommen wir von der Brille zu dem, was man dadurch sieht. Zum Beispiel fern. Heutzutage oft nicht mehr mit einem normalen Fernseher, sondern einem Smart-TV. Aber:

Smarte Fernseher sind gar nicht so smart

Jedenfalls nicht, wenn es um die Sicherheit geht. Einige Beispiele dazu: Auf der Black Hat USA 2013 wurden sowohl Rootkits für Smart-TV allgemein als auch Schwachstellen in und Angriffe auf Samsungs Smart-TV vorgestellt. Ein Angreifer kann zum Beispiel Spyware auf dem Gerät installieren und die eingebaute Kamera und das eingebaute Mikrofon benutzen, um die Zuschauer auszuspähen. Oder nach der Kompromittierung des Smart-TV von diesem aus andere Geräte im lokalen Netz angreifen. Der Smart-TV selbst kann beispielsweise über seine Netzwerkanbindung, die vorhandenen Apps wie Skype oder Webbrowser, oder eine eingeschleuste bösartige App angegriffen werden.

Im März 2014 wurde eine Schwachstelle im Smart-TV von Philips bekannt. Das Feature „WiFi Miracast“ ist per Default aktiviert und nur durch ein fest vorgegebenes Passwort „gesichert“. Ein sich neu mit dem Smart-TV verbindendes WiFi-Gerät muss sich auch nicht über eine PIN autorisieren, bevor es alle auf dem Smart-TV vorhandenen Funktionen nutzen und zum Beispiel die Daten von mit dem Smart-TV verbundenen Massenspeichern ausspähen kann. Die Entdecker der Schwachstelle hatten zuvor bereits einige Schwachstellen in Samsungs Smart-TVs gefunden, die zusammen mit der Philips-Schwachstelle auf den PHDays IV 2014 präsentiert wurden.

Im Mai 2014 hat die NCC Group vor Spyware in Smart-TVs gewarnt und sich bei der Entwicklung eines Proof of Concepts etwas ungeschickt angestellt. Ich fürchte, die Cyberkriminellen werden schneller zum Ziel kommen, die kennen sich mit der Entwicklung von Spyware nämlich aus.

Einiges im Schnelldurchlauf …

Was gibt es denn sonst noch so im Internet of Things? Zum Beispiel Ampeln. Die leuchten so, wie es ihnen ihr Programm vorgibt. Oder ein Angreifer, der die Kontrolle über ihre Steuerung übernommen hat. Und weil ich gerade „leuchten“ geschrieben habe: Womit beleuchten Sie denn Ihre Wohnung? Vielleicht mit netzwerkfähigen Hue-Leuchten von Philips? Dann passen Sie besser auf, dass Sie nicht plötzlich im Dunkeln sitzen, denn diese Leuchten wiesen in der Vergangenheit mehrere inzwischen behobene Schwachstellen auf. Über eine davon ließen sie sich zum Beispiel von Schadsoftware auf einem lokalen Rechner oder einer bösartigen App ausschalten. Oder ziehen Sie Lampen von LIFX vor? Kein Problem, auch die enthielten inzwischen behobene Schwachstellen und ließen sich von jedem steuern, der in ihre WiFi-Reichweite kam.

Sie möchten nicht mit Lampen spielen? Wie wäre es dann mit ein bisschen Doom? Auf dem PC ist das uralt? Wie wäre es denn mit einem Canon-Drucker als Spielkonsole? Auf dem lässt sich über eine präparierte Firmware auch Doom installieren.

Wie schwierig sind Angriffe?

Dass es Schwachstellen gibt, bedeutet ja noch nicht, dass sie auch ausgenutzt werden. Wie schwierig ist es also, die Schwachstellen des IoT auszunutzen? Eigentlich ist das gar nicht schwierig, vor allem nicht, soweit es sich um eine fehlende oder fehlerhafte Authentifizierung handelt. Dazu gibt es drei schöne Beispiele:

Beispiel Nummer 1 ist der Sicherheitsforscher Jesús Molina, der 2013 einige Tage in einem Hotel in der chinesischen Stadt Shenzen verbracht hat. Da ihm langweilig war, hat er sich die Kommunikation der über eine App auf dem hoteleigenen iPad steuerbaren Systeme in seinem Zimmer mal genauer angesehen. Dabei hat er herausgefunden, dass er über das veraltete KNX/IP-Protokoll nicht nur die Geräte in seinem Zimmer, sondern die in allen Zimmern steuern kann. Er hatte die vollständige Kontrolle über die Thermostate, die Beleuchtung, das Fernsehen und die Fensterblenden und konnte auch die elektronischen „Bitte-nicht-stören“-Schilder ein- und ausschalten. Er hat aber darauf verzichtet, die Geräte außerhalb seines Zimmers verrücktspielen zu lassen und stattdessen die Verantwortlichen informiert. Seine Untersuchungsergebnisse hat er auch in einen Vortrag auf der Black Hat USA 2014 einfließen lassen.

Beispiel Nummer 2 ist David Jacoby von den Kaspersky Labs, der mal sehen wollte, wie angreifbar sein Haus ist. Das Ergebnis seiner ersten Untersuchungen war ernüchternd: Alle Geräte sind auf die eine oder andere Weise angreifbar, durch Default-Zugangsdaten oder unverschlüsselt übertragene Daten, aber auch verschiedene Schwachstellen. Zum Beispiel war es ihm nach kurzer Recherche im Internet möglich, seine beiden NAS von unterschiedlichen Herstellern zu kompromittieren.

Beispiel Nummer 3 ist Forbes-Autor Kashmir Hill, der im Sommer 2013 über Google eine Liste mit „Smart Homes“ entdeckt hat, die ein Heimautomationssystem des Herstellers Insteon verwenden und deren Steuerung über das Internet erreichbar ist. Und das ohne jede Authentifizierung. Mindestens drei der Häuser gaben so viele Informationen preis, dass sie identifiziert werden konnten. Einen der identifizierbaren Hausbesitzer hat Kashmir Hill dann angerufen und ihm demonstriert, dass er die Geräte des Hauses über das Internet steuern kann. Auslöser seiner Suche bei Google waren Untersuchungen von Trustwave, die im August 2013 auf zwei Konferenzen vorgestellt wurden.

Gab es bereits Schadsoftware?

Bisher bleibt festzustellen, dass die Geräte des IoT angreifbar sind und ein Missbrauch ungeschützt mit dem Internet verbundener Geräte kein Problem ist. Aber gab es bereits Angriffe von Schadsoftware? Leider ja, es gibt beispielsweise mindestens zwei Linux-Würmer, die versuchen, das IoT zumindest teilweise zu erobern:

Linux.Aidra oder Lightaidra ist ein 2012 entdeckter Wurm, der sich über Telnet-Zugänge mit festen oder sogar fehlenden Passwörtern verbreitet und die infizierten Embedded-Devices in ein Botnet für DDoS-Angriffe integriert. Linux.Darlloz wurde 2013 entdeckt und nutzt eine bereits 2012 gepatchte Schwachstelle in PHP zur Verbreitung. Es wurden nur Intel-basierte Systeme angegriffen, obwohl auf dem Server der Cyberkriminellen auch Code für verschiedene andere Architekturen bereitgehalten wird. Der Wurm versucht unter anderem, auf neu infizierten Geräten vorhandene Installationen von Linux.Aidra zu löschen. Im Februar 2014 waren mehr als 31 000 Computer und IoT-Devices mit dem Wurm infiziert, der nun auch seinen eigentlichen Auftrag preisgab: das Schürfen von Kryptowährungen (Mincoins und Dogecoins) – aufgrund der benötigten Rechenleistung allerdings nur auf normalen Rechnern und nicht auf IoT-Geräten. Die werden weiterhin nur genutzt, um nach weiteren potenziellen Opfern zu suchen.

Das waren eher zaghafte Versuche nach dem Motto „Gucken wir doch mal, ob da was geht“. Im Frühjahr 2014 gab es die ersten ernsthaften Angriffe auf NAS-Systeme von Synology: Erst ein Schädling, der Bitcoins schürfte, dann eine Ransomware, die die gespeicherten Dateien verschlüsselte. Die Angriffe auf das IoT haben also bereits begonnen.

Fazit

Die Geräte des IoT weisen viele Schwachstellen auf. Das dringendste Problem ist die oft fehlende oder fehlerhafte Authentifizierung. Wenn die Geräte ungeschützt mit dem Internet verbunden sind, kann jeder darauf zugreifen, der sie findet. Und finden lassen sie sich über Google oder die spezialisierte Suchmaschine Shodan sehr leicht. Die Angriffe müssen dabei nicht einmal von Kriminellen ausgehen; auch „Spaßvögel“ können für reichlich Ärger und womöglich sogar Schaden sorgen. Früher mussten die „Skriptkiddies“ zumindest noch passende Skripte aus dem Internet laden, bevor sie damit Webserver verunstalten konnten, beim IoT können sie nach dem Aufruf der Weboberfläche des Geräts sofort munter drauf los klicken und sämtliche Einstellungen verstellen.

Aber auch alle anderen Schwachstellen dürfen nicht ignoriert werden. Die Angriffe auf die Synology NAS haben gezeigt, wo die Reise hin geht. Wie oben schon erwähnt, schützt die IoT-Geräte noch ihre relativ geringe Verbreitung im Vergleich zu Windows-Rechnern. Aber irgendwann werden die Cyberkriminellen auch das IoT im großen Maßstab ins Visier nehmen. Wahrscheinlich nicht schon 2015, aber vielleicht 2017 oder 2018. Und dann sind alle jetzt ausgelieferten, ungeschützten und von Schwachstellen geplagten Geräte leichte Opfer der Angriffe. Hier gilt es, zum einen die vorhandenen Schwachstellen zu finden und zu beheben, zum anderen bereits während der Entwicklung dafür zu sorgen, dass die neuen Geräte möglichst wenige Schwachstellen enthalten. Microsoft hat mit dem SDL vorgemacht, dass das möglich ist und wie es geht. Die Entwickler der IoT-Geräte müssen in der Hinsicht noch viel lernen und sie haben dafür nicht mehr viel Zeit.

Weitestgehend ausgeklammert habe ich die Frage nach dem Datenschutz und dem Schutz der Privatsphäre. Die Geräte liefern einfach zu viele Daten an die Hersteller, die daraus umfangreiche Profile des Nutzungsverhaltens erstellen können. Oft hat der Benutzer keine Möglichkeit, die Datenübertragung zu unterbinden oder zumindest einzugrenzen, ohne gleichzeitig zumindest auf einen Teil der Gerätefunktionen zu verzichten. Auch dafür müssen Lösungen gefunden werden. Zumindest teilweise werden das keine technischen Lösungen sein können, denn damit lassen sich bekanntlich keine sozialen Probleme lösen.

Aufmacherbild: Cloud computing security for internet of things technology visualized by cloud, devices and lock von Shutterstock.com / Urheberrecht: a-image

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -