BASTA!-Nightschool zu Sicherheitsrisiken im Internet of Things

IoT und Industrie 4.0 (In-)Security
Keine Kommentare

Die Digitalisierung hat unser Leben in wenigen Jahren tief greifender verändert als alle Innovationen zuvor. Zurzeit erleben wir unter anderem einen Wandel hin zur Industrie 4.0, also der Vernetzung intelligenter Maschinen. In rasantem Tempo werden immer mehr Dinge und Personen vernetzt und vor allem Smart-Home-Systeme treten den Siegeszug an. Doch was passiert, wenn alles vernetzt ist? Welche Sicherheitsrisiken gibt es?

Industrie 4.0 und das Internet of Things führen dazu, dass die Anzahl der vernetzten Systeme im alltäglichen Leben immer weiter ansteigt. Der Begriff Industrie 4.0 beschreibt die Informatisierung der Fertigungstechnik und der Logistik bei der Maschine-zu-Maschine-Kommunikation (M2M). Ziel der Industrie 4.0 ist die intelligente Fabrik, die sich durch Wandlungsfähigkeit, Ressourceneffizienz, ergonomische Gestaltung sowie der Integration von Kunden und Geschäftspartnern in Geschäfts- und Wertschöpfungsprozesse auszeichnet. Technologische Grundlage sind cyber-physische Systeme und das Internet of Things.

Im Mittelpunkt stehen bei der Industrie 4.0 Technologien zur Einsparung von Strom oder zur komfortablen Bedienung von Gebäudeanlagen, die auch in immer mehr Bauprojekten eingesetzt werden. Nicht nur in Eigenheimen kommen diese Technologien zum Einsatz, sondern auch in Firmengebäuden und kommunalen Immobilien. Dominik Schneider und Wojtek Przibylla von ERNW, unabhängiger IT-Security Dienstleister, erläuterten auf der BASTA! 2015 in der Night School: IoT und Industry 4-0 (In-)Security die Sicherheitsaspekte von KNX-Smart-Home-Umgebungen.

Security und Safety – ein kleiner, aber feiner Unterschied

Die beiden Sicherheitsexperten machten direkt zu Anfang darauf aufmerksam, dass es im IoT-Bereich einen großen Unterschied zwischen Security und Safety gebe. Um das zu verdeutlichen, solle man sich am besten ein medizinisches Gerät mit Internetanbindung vorstellen, beispielsweise einen EKG-Monitor. Dieser überwacht die Funktionen des angeschlossenen Patienten und gibt bei Unregelmäßigkeiten oder Ausfällen des Herzschlags Alarm – das ist das Safety-Feature. Allerdings wird das Device mit ziemlicher Sicherheit offen ans Netzwerk angebunden sein, ohne Firewall, Antivirenprogramm etc. – diesen Teil bezeichnet man als Security.

IoT-(In)Security

Screenshot: Software & Support Media

Attacks in the wild

Zu welchen Problemen die Vernachlässigung oder Ignoranz von Sicherheitsaspekten im Internet of Things führen kann, sieht man derzeit Tag für Tag in den Schlagzeilen. Vor allem von Hackangriffen auf smarte Autos liest mehr momentan fast täglich: Beispielsweise wurde die drahtlose Verbindung der OnStar RemoteLink-App von Samy Kamkar lokalisiert und so Fahrzeuge aufgeschlossen und gestartet. Auch die Verschlüsselung des Megamos Crypto Transponders stellt für Hacker schon lange kein Hindernis mehr da: Per Wi-Fi lässt sich der Schlüssel stehlen und so die Wegfahrsperre knacken. Für das meiste Aufsehen hat aber wohl der Selbstversuch eines Journalisten von Wired gesorgt, der bei voller Fahrt sein Auto hacken ließ: Zwei Sicherheitsexperten konnten nicht nur die Stereo- und Klimaanlage fernsteuern, sondern hatten Zugriff auf Lenkrad und Bremsen des Autos. Diese Schwachstellen sind natürlich besonders gefährlich, wie auch einer der Akteure selbst sagt:

If consumers don’t realize this is an issue, they should, and they should start complaining to carmakers. This might be the kind of software bug most likely to kill someone.

hackable cars

Infografik zu „hackable cars“ – zum Vergrößern klicken (Quelle: Screenshot http://www.ptclwg.com/resources/Hackable-Cars_8-19.png)

Allerdings sind auch Hackangriffe auf vermeintlich uninteressante smarte Devices von großer Relevanz: Denn wie bereits oben kurz angedeutet, sind vor allem auch medizinische Geräte und Systeme anfällig für Hackerangriffe, da diese nicht oder nur unzureichend gesichert sind. So weisen beispielsweise Medikamentenpumpen der Firma Hospira eine kritische Schwachstelle auf, die es Kriminellen ermöglicht, per Fernsteuerung Medikamentendosierungen zu verabreichen. Eine Studie in den USA zeigte, dass mehrere tausend medizinische Systeme anfällig für Hackerangriffe sind. Darunter befinden sich unter anderem Magnetresonanztomographen, Herzschrittmacher, Infusionssysteme und nuklearmedizinische Systeme.

potential iot attacks

Screenshot: Software & Support Media

Aber auch Schwachstellen wie zum Beispiel bei Philips-Hue-Lampen zählen zu potenziell gefährlichen Angriffszielen, auch wenn man das auf den ersten Blick vielleicht nicht denkt. Ist nämlich erst einmal ein Zugriffspunkt gehackt, ist es für Angreifer oft ein Leichtes, sich Zugriff auf den Rest des Smart-Home-Systems zu verschaffen – und dann sieht die Lage schon ganz anders aus.

It is common sense that connected safety and security devices such as door locks and security cameras require a high level of protection against hacking. But because hackers want access to the home network any device connected to a smart home or building automation network can serve as a gateway to this network.

Smart-Home-Standard KNX

Schneider und Przibylla zogen im weiteren Verlauf auf den Smart-Home-Standard KNX als Beispiel heran, um potenzielle Schwachstellen in Smart Homes zu verdeutlichen: KNX ist weltweiter Standard für Haus- und Gebäudesystemtechnik, der auf einem Bussystem basiert. Mit KNX lassen sich alle Aspekte eines intelligenten Zuhauses integriert zusammenschalten, so zum Beispiel Beleuchtung, Klima, Alarm, Fernzugriff und zentrale Steuerung. In Deutschland nutzen knapp dreiviertel aller Smart-Home-Haushalte diesen Standard; über 7000 Devices sind mit ihm kompatibel. Auch große Firmen wie die Deutsche Telekom und die Deutsche Börse AG in Frankfurt nutzen KNX.

BASTA! Spring 2020

Dr. Holger Schwichtenberg

Von .NET Framework zu .NET Core migrieren oder nicht migrieren, das ist hier (nicht die einzige) Frage!

mit Dr. Holger Schwichtenberg (www.IT-Visions.de/5Minds IT-Solutions)

Rainer Stropek

C#-8- und .NET-Core-3-Workshop

mit Rainer Stropek (software architects/www.IT-Visions.de)

Adrienne Tacke

Azure Automation: The Good Parts

mit Adrienne Tacke (Adrienne Tacke)

Allerdings sind diese Systeme oftmals so schwach gesichert, dass man sich ganz leicht aufschalten kann. Dazu bedarf es noch nicht einmal besonders großer Hackerfähigkeiten: Viele Lichtsysteme, die ja wiederum mit dem gesamten Smart-Home-System verbunden sind, sind einfach auf den Bus aufgesteckt, wie Schneider zeigt. Zieht man die Lichtschalterabdeckung ab, kann man sich ganz einfach ins System hacken. Googelt man außerdem nach Visualisierungen von Smart-Home-Systemen, bekommt man unzählige Treffer – oft mit vollständigem Gebäudeplan und Infos zum Alarmstatus des Hauses. Da ein Bussystem quasi nicht gesichert ist, reicht es aus, einen logischen Zugriff über Web-Interfaces zu erlangen. Es genügen ein Raspberry Pi, ein UMTS-Stick, Cloud, Server und der eigene Laptop.

IoT (In-)Security?

Können Angreifer also Ihr trautes Heim (oder gar Ihr Firmengelände) kontrollieren? Die Antwort lautet ganz klar: Ja! Die Sicherheitsstandards von KNX sind dieselben wie noch vor 20 Jahren und aus diesem Grund völlig veraltet. Es wird davon ausgegangen, dass Angreifer einen lokalen Zugriff auf das Netzwerk haben müssen, um ins System einzudringen – allerdings reicht mittlerweile auch der logistische Fernzugriff. Ein neuer Standard wird verlangt – mit KNX Secure soll dieser auch folgen, allerdings lassen sich die alten Systeme trotzdem nicht updaten. Auch über den neuen Standard sollte gut nachgedacht werden, denn der Ausfall der Qivicon-Systeme am 29. September 2015 zeigte, vor welchen Problemen Nutzer stehen, sobald selbst cloudbasierte Dienste versagen: Kunden sitzen im Dunkeln oder kommen überhaupt nicht mehr ins Gebäude, weil sich die Alarmanlage nicht ausschalten lässt.

Dominik Schneider und Wojtek Przibylla gaben uns allen – vor allem den Herstellern von intelligenten Devices – folgenden Rat mit auf den Weg:

Don’t put things on the internet that are not properly secured!

ML Conference 2019

Workshop: Machine Learning 101++ using Python

mit Dr. Pieter Buteneers (Chatlayer.ai)

Honey Bee Conservation using Deep Learning

mit Thiago da Silva Alves, Jean Metz (JArchitects)

Python Summit 2019

Daten analysieren und transformieren mit Python

mit Doniyor Jurabayev (Freelancer)

Advanced Flow Control

mit Oz Tiram (noris network AG)

Aufmacherbild: Smart home concept von Shutterstock / Urheberrecht: Horoscope

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -