Albtraum IoT-Security

Aktuell sind über 26 Milliarden IoT-Geräte im Einsatz. Aus Sicht von Security-Verantwortlichen sind das 26.000.000.000 Sicherheitsbedrohungen. Steven J. Vaughan-Nichols von IDG nennt einige Gründe für dieses Schlamassel. [...]

Die Liste, warum IoT Sicherheitsverantwortlichen Kopfschmerzen verursachen kann, ist lang.
Die Liste, warum IoT Sicherheitsverantwortlichen Kopfschmerzen verursachen kann, ist lang. (c) Edler von Rabenstein / Adobe iStock

Alan Grau, Präsident und Mitbegründer von Icon Labs, einem Unternehmen für Embedded Security, bringt einen der Gründe, warum IoT als Security- Albtraum gilt, folgendermaßen auf den Punkt: „IoT-Geräte sind optimiert, um die Prozesszyklen und den Speicherverbrauch zu minimieren. Es stehen keine zusätzlichen Ressourcen zur Unterstützung traditioneller Sicherheitsmechanismen zur Verfügung.“ Ein weiterer, nicht-technischer Grund besteht darin, dass sich viele Hersteller überhaupt nicht um Sicherheit kümmern, um die kurzfristigen Kosten für IoT-Geräte möglichst niedrig zu halten. Wie Josh Corman, Chief Security Officer des industriellen IoT-Unternehmens PTC, kürzlich erklärte, erwirtschaften Consumer-IoT-Geräten keinen Gewinn, wenn die OEMs die Kosten für Sicherheitsupdates und -patches hineinrechnen. 

Matt Toomey vom IT-Research-Unternehmen Aberdeen bestätigt: „Hersteller von IoT-Geräten haben der Sicherheit bisher keine Priorität eingeräumt – hauptsächlich weil sie gewinnorientiert sind. Sie möchten viele dieser Geräte so schnell und so billig wie möglich auf den Markt bringen.“ Das Implementieren von Sicherheits-Checks sei teuer und zeitaufwendig, sodass Security nicht ausreichend gewährleistet ist. „Das heißt: Es wird noch mehr Sicherheitslücken geben.“ Ein weiterer Grund sind laut dem Sicherheitsexperten Bruce Schneier „dumme Design- Entscheidungen von Ingenieuren, die keine Ahnung haben, wie ein sicheres System erstellt werden kann“.

Fehlende Standards

Auch außerhalb des Consumer-Segments sei es Steven J. Vaughan-Nichols zufolge nicht viel besser: „Während wir von herkömmlicher Hardware langfristige Sicherheitsunterstützung erwarten, werden viele IoT-Geräte nicht oder nur wenige Jahre lang supportet.“ Einen weiteren Grund dafür, dass IoT-Sicherheit im Argen liegt, nennt Chris Lord, CTO und Mitbegründer der Sicherheitsfirma Armored Things: „Wenn es um IoT-Geräte geht, gibt es Tausende verschiedener Betriebssysteme und Varianten. Vielfalt schafft alle möglichen Herausforderungen – jeder stellt unterschiedliche Konfigurationen und unterschiedliche Möglichkeiten zum Patchen und Verwalten zur Verfügung.“ 

Erschwerend kommt hinzu, dass IoT-Produkte tief in der Infrastruktur verankert sind, wir sie nicht sehen, nicht an sie denken und sie daher häufig vergessen. Chris Lord: „Sie verschwinden vom Radar, aber bieten noch Oberflächen, die angegriffen werden können. „

Auch OEMs vergessen diese Geräte viel zu oft. Für jeden Tesla, der die Software seiner Elektroautos automatisch mit kabellosen Updates aktualisiert, gibt es hundert andere IoT-Unternehmen, die ihre Hardware niemals patchen.

Verwaiste Geräte

Über das Sicherheitsproblem hinaus haben OEMs die ärgerliche Angewohnheit, Consumer- IoT-Geräte in Abandonware zu verwandeln. So weist beispielsweise der Technologiejournalist Jason Perlow auf Aethers intelligenten Lautsprecher, den Cone, Google Revolv Smart Hub, die drahtlose Heimkamera von NetGear VueZone und die mit der Jibo-Cloud verbundenen Roboter hin: Sie sind alle unbrauchbar geworden, weil ihre Anbieter sie nicht mehr unterstützen.

Ältere IoT-Geräte, die nicht in die Cloud integriert sind, funktionieren möglicherweise noch, erhalten jedoch unter Umständen keine Sicherheitspatches, selbst dann wenn diese verfügbar wären.

IoT-Katastrophen

Stuxnet ist der bekannteste Fall, in dem fehlende IoT-Sicherheit eine Katastrophe auslöste. Hierbei handelte es sich um einen Computerwurm, der Überwachungs- und Datenerfassungssysteme (SCADA) angriff. Es zerstörte erfolgreich iranische Zentrifugen, die zur Herstellung von angereichertem Uran für Waffen verwendet wurden.

Der größte Schaden durch einen industriellen IoT-Angriff (IIoT) wurde durch den Black-Energy-Trojaner verursacht. 2015 wurde damit ein Teil der ukrainischen Kraftwerke kurzzeitig stillgelegt. Übrigens: IIoT-Angriffe auf das Stromnetz sind eines der Albtraumszenarien des IoT.

Derartige Attacken müssen möglicherweise nicht einmal auf Versorgungssysteme selbst gerichtet sein. Jüngste Forschungsergebnisse zeigen, dass das Hacken von IoT-fähigen HLK-Systemen (Heizung, Lüftung, Klimatechnik) zu Hause und im Büro ausreicht, um effektive, koordinierte Angriffe auf das lokale Stromnetz in großem Maßstab auszulösen. Die israelische Ben-Gurion-Universität des Negev berichtete im Jahr 2018, dass der einfachste Weg, Heim-IoT-Geräte zu knacken, darin besteht, nur die öffentlich verfügbaren Standardkennwörter zu verwenden. Es gibt zudem eine Suchmaschine namens Shodan, mit der sich Online-Geräte aufspüren lassen. Sie wird von Hackern und Script-Kiddie-Cyberkriminellen verwendet, um die lohnendsten Ziele zu identifizieren.


Mehr Artikel