Das Internet der Dinge – eine lockende Spielwiese für Hacker

Datensicherheit Das Internet der Dinge – eine lockende Spielwiese für Hacker

05.06.2015Autor / Redakteur: Frank Melber * / Nico Litzel

Was bedeutet es für die Sicherheit im Alltag, wenn alle Systeme miteinander verbunden sind? Welche Auswirkungen hat das auf die Sicherheit von Unternehmen? Ein Plädoyer für einen Paradigmenwechsel.

Anbieter zum Thema

TÜV Rheinland AG

TIBCO Software GmbH

Fujitsu Technology Solutions GmbH

Insider Research

Das Smart Home mit dem Tablet steuern: Bei aller Bequemlichkeit – über das Internet ansteuerbare Geräte sind im Wesentlichen Computer, die gehackt werden können. Die Gefahr, die in solchen Geräten steckt, wird derzeit noch unterschätzt.
(Bild: © Denys Prykhodov/Fotolia)

3,8 Milliarden: Das ist die Anzahl der Geräte, die bereits heute mit dem Internet kommunizieren. Allein 1,8 Milliarden davon stammen aus dem Verbraucher-Sektor – mit dem Ziel, unser Leben komfortabler, angenehmer, sicherer und energieeffizienter zu gestalten. Bis 2020 wird die Zahl der Smart Devices explosionsartig steigen. Rund 25 Milliarden Geräte weltweit sehen die Marktforscher von Gartner voraus.

Die schlechte Nachricht: Die meisten der Geräte, die heute bereits in ständigem Austausch mit dem Internet stehen, verfügen nicht über konventionelle oder erweiterte Schutzmechanismen wie Malware-Schutz oder Sensoren zur Erkennung von Angriffen.

Ergänzendes zum Thema

Hacker setzen auf Guerilla-Taktiken

Unternehmen müssen davon ausgehen, dass die Zahl von Cyber-Angriffen im Zuge des Internets der Dinge (IoT) und der Industrie 4.0 deutlich wächst. Ob wir immer davon erfahren, sei dahingestellt. Denn um größtmöglichen Schaden anzurichten, setzen Hacker erfahrungsgemäß oft auf die Guerilla-Taktik der kleinen Nadelstiche: Cyber-Attacken werden als harmlose Funktionsausfälle getarnt, die immer mal wieder vorkommen können, aber im Rahmen der statistischen Toleranz liegen und deshalb keinen IT-Forensiker auf den Plan rufen.

Bis jemand im Unternehmen Verdacht schöpft und die richtigen Schlüsse aus immer wieder entstehenden Problemen entlang der Produktionsstraße zieht, können Monate oder Jahre vergehen. Welchen Erfolg man mit dieser Taktik auch in anderen sensiblen Branchen haben kann, zeigt nicht zuletzt der Milliarden-Raubzug von Carbanak, den Kaspersky vor Kurzem aufgedeckt hat.

Es wird also dringend Zeit, dass Industrie und Betreiber von kritischen Infrastrukturen ihre IT-Sicherheitsstandards auf allen Ebenen nachhaltig erhöhen, wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) und wir auch immer wieder fordern. Die Standards sind vorhanden, sie müssen nur auch konsequent angewendet werden – und zwar im Interesse von Wirtschaft und Gesellschaft. Dazu zählt neben der systematischen Steuerung von Cyber-Sicherheit die Schulung aller beteiligten Mitarbeiter sowie der Einsatz intelligenter Frühwarnsysteme, die bei Anzeichen einer Kompromittierung Alarm schlagen.

Die wenigsten werden mit regelmäßigen (Sicherheits-) Updates auf den neuesten Stand der Firmware gebracht. Inzwischen gibt es Berichte von Spam-versendenden Kühlschränken und Smart TVs, Malware-infizierte MP3-Player, E-Zigaretten oder digitalen Bilderrahmen. Damit sprechen wir von Milliarden zusätzlicher Sicherheitslücken.

Wirklich nachvollziehbar ist dieses Defizit nicht. Ist eine Kaffeemaschine oder eine Glühbirne internetfähig, handelt es sich generisch nicht mehr um eine Kaffeemaschine oder eine Glühbirne, sondern faktisch um einen Computer, der Kaffee kocht oder den Raum beleuchtet. Ein Computer, der am Netz hängt, ist immer ein potenzielles Ziel für Cyber-Angriffe.

Kaum ein User käme heute noch auf die Idee, ohne Firewall, Virenscanner oder Malwareschutz im Netz zu surfen. Die Kernfrage im Zusammenhang mit dem Internet der Dinge ist: Sind sich die Hersteller der Internet-fähigen Geräte der Tatsache bewusst, dass sie es Angreifern ermöglichen, weitere Schäden zu verursachen, deren Kanäle noch schwierig zu detektieren sind und die die derzeit bekannten Bedrohungsszenarien noch überschreiten können?

Potenzielle Einfallstore für Datendiebe: Smarte Fernsehgeräte und intelligente Kühlschränke, die mit dem Internet verbunden sind, verfügen in der Regel nicht über Schutzmechanismen gegen Angreifer. Zudem werden sie in aller Regel nicht mit aktuellen Sicherheits-Updates versorgt.
( © chesky - Fotolia)

Mangelnde Fokussierung der Hersteller auf Cyber-Security

Denn die Bedrohungslage durch Cyber-Attacken ist heute dynamisch wie nie. Im vergangenen Jahr erreichte die Zahl mit 43 Millionen registrierter Angriffe weltweit einen neuen Höchststand, der Quelle PwC zufolge waren das über 117.000 Attacken täglich. Angriffswerkzeuge, die bisher nur von Staaten eingesetzt wurden, sind heute für jedermann leicht zugänglich im Internet.

Vor diesem Hintergrund ist es kaum nachvollziehbar, dass Sicherheitsfragen bei Herstellern in der Entwicklung von Consumer-Devices nach wie vor keine zentrale Rolle einnehmen. Die Gründe sind schlicht: Anders als in den USA, die von Herstellern bei Medizingeräten die Einhaltung und den Nachweis umfassender Sicherheitsrichtlinien verlangen, gibt es in Deutschland keine gesetzlichen Normen für die Internet-Sicherheit smarter Geräte. Warum werden nicht auch hier in Deutschland anerkannte Maßnahmen der Informationssicherheit wie zum Beispiel Sicherheitsanalysen und Penetrationstests Geräte-Herstellern zur Auflage gemacht?

Darüber hinaus fehlt es den Herstellern an Kompetenz in der Informationssicherheit, wie der Branchenverband Elektrotechnik, Elektronik und Informationstechnik (VDE) konstatiert. Da wundert es nicht, wenn die Fachwelt nicht nur vor Hacker-Angriffen, sondern auch vor Konfigurationsfehlern warnt – etwa, dass Geräte mit Werkseinstellungen online gehen, die es jedermann ermöglichen es zu kapern. Warum holen sich die Hersteller das erforderliche Know-how und die Entwicklungs-Erfahrung nicht ins Haus? Wie steht es hier um die Fragen der Produkthaftung?

Ergänzendes zum Thema

Originalbeitrag als ePaper oder im pdf-Format lesen

Dieser Autorenbeitrag ist in der Printausgabe ELEKTRONIKPRAXIS 11/2015 erschienen. Diese ist auch als kostenloses ePaper oder als pdf abrufbar.

Problembewusstsein der Anwender ist rudimentär

Steigerungsfähig ist allerdings nicht nur die Sensibilität der Hersteller für die systematische Cyber-Sicherheit ihrer Produkte. Ausbaufähig ist auch das Problembewusstsein beim Endkunden, der – wenn er seine Marktmacht ausnutzen würde – die Cyber-Sicherheit als relevantes Kaufkriterium positionieren könnte. Solange aber keine gravierenden Sicherheitsvorfälle die Schlagzeilen beherrschen, scheint Internet-Sicherheit für Verbraucher offenbar kein Thema zu sein – im Vordergrund stehen der Mehrwert des Geräts und seine Konnektivität.

Aufklappen für Details zu Ihrer Einwilligung

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Hand aufs Herz: Haben Sie sich vor dem Abruf eines Videos auf Ihrem intelligenten TV-Gerät schon einmal Gedanken darüber gemacht, ob die Verbindung, die der Fernseher gerade aufbaut, tatsächlich sicher ist und welche Daten über diese Kanäle übertragen werden?

Man muss kein Prophet sein, um vorauszusehen: Das Internet der Dinge wird zu einer der nächsten hochinteressanten Spielwiesen für Hacker - ob mit dem Ziel, das jeweilige Gerät zu manipulieren, zu zerstören oder es als Teil eines Botnetzes zu missbrauchen.

Das damit verbundene Gefahrenpotenzial ist angesichts der Dimension der zu erwartenden Vernetzung heute schon kaum zu überblicken, denn im Falle einer Kompromittierung hat der Anwender keine Kontrollmöglichkeiten über seine Geräte. Ein Kühlschrank, der im nächsten Supermarkt statt eines Liters gleich 5000 Liter Milch anfordert, dürfte noch zu den harmloseren Szenarien zählen. Aber: Wer haftet in solchen Fällen für die 4999 Liter, die der User nicht aktiv bestellt hat? Muss man sich als Smart-Geräte-User gegen solche Schäden versichern?

Hersteller und Service-Provider haben noch keine Antwort darauf, wie sie dauerhaft sicherstellen, dass die Geräte ordnungsgemäß kommunizieren. Die Verantwortung dafür bleibt dem Verbraucher überlassen, dem das aber oft kaum bewusst ist.

Wenn der Hacker den Toaster manipuliert

Welche Gefahren können aus der IT-Sicherheitslücke für die physische Sicherheit der Anwender resultieren, zum Beispiel wenn der IT-gesteuerte Toaster durch einen Hacker manipuliert wird und in Abwesenheit der Bewohner das Haus abbrennt?

Welche Konsequenzen hat es, wenn durch eine Attacke die komplette Gebrauchselektronik in Haus und Umgebung ausfällt? Und: Wen ruft man in solchen Fällen am besten zu Hilfe? Die Polizei? Den benachbarten IT-Service? Hier sind dringend Konzepte gefragt, die die berechtigten Safety- und Security-Bedürfnisse der Nutzer berücksichtigen.

Ergänzendes zum Thema

Originalbeitrag als ePaper oder im pdf-Format lesen

Dieser Autorenbeitrag ist in der Printausgabe ELEKTRONIKPRAXIS 11/2015 erschienen. Diese ist auch als kostenloses ePaper oder als pdf abrufbar.

Ein erhebliches Problem im Internet der Dinge ist nicht nur die Datensicherheit, sondern auch das Thema Datenschutz: Grundsätzlich ist es möglich, in einem vernetzten Haus, das in jedem Raum mit aktiven Sensoren auf seine Bewohner reagiert, konkrete Bewegungsprofile zu erstellen. Die Frage ist: Welches Schadensrisiko ist über den Verlust der Privatsphäre hinaus damit verbunden?

Sicher ist es eine Einladung an Kriminelle, die über Spyware genau tracken können, wann sich jemand im Haus aufhält. Verbraucher dagegen dürften es heute nicht unbedingt bemerken, wenn eines ihrer Geräte kompromittiert ist und ein Hacker zum Beispiel Daten aus dem Privatleben für den nächsten Raubzug ausspioniert oder privateste Daten für die Allgemeinheit ins Netz stellt.

Hohe Verantwortung liegt bei den Diensteanbietern

Das vernetzte Auto: Software im Fahrzeug ist inzwischen Alltag. Jedoch besteht auch hier die Gefahr, dass Fahrzeuge Opfer von Cyber-Attacken werden können.
(Bild: © kromkrathog/Fotolia)

Neben der forensischen Vorsorge kommt hier den Service-Providern besondere Verantwortung zu. Denn bei ihnen fallen alle Daten an, die in Bezug auf den Datenschutz besonders schutzwürdig sind: Neben sensiblen Informationen aus Finanztransaktionen (Kreditkarten, etc.) alle Daten, die dazu geeignet sind, ein psychologisches Profil bzw. ein Verhaltensprofil des Nutzers zu erstellen.

Service Provider sollten deshalb Infrastrukturen, die aktive oder passive Kanäle zu Smart Devices haben, unter ein besonderes Monitoring stellen, um eine Kompromittierung der Data Center möglichst zu verhindern oder zumindest sofort zu detektieren. Kontinuierliches Monitoring und professionelle Incident-Response-Prozesse können helfen, um Attacken so früh wie möglich zu erkennen, zu qualifizieren und abzuwehren.

Ergänzendes zum Thema

Sicherheitslücken im IoT lauern überall

Wer smarte Geräte produziert, ist nicht mehr nur ein Gerätehersteller, sondern auch – und nicht zuletzt – ein Softwarehersteller. Das bedeutet, dass die potenziellen Folgen von Softwarefehlern, aber auch von Sicherheitslücken, in die Entwicklung einbezogen werden müssen.

Updates für Smart Devices

Vielen Herstellern, aber auch manchen Anwendern, fehlt es am notwendigen Problembewusstsein. Ein Kaffeeautomat, der am Netz hängt, ist eben nicht nur eine Kaffeemaschine, sondern ein Computer – mit Hard- und Software und allen Konsequenzen, die sich daraus ergeben. Schutzvorkehrungen gegen Eindringlinge sowie Sicherheits-Updates für die Gerätesoftware sind auch hier unumgänglich.

Es ist eine Illusion zu glauben, das Problem beschränke sich lediglich auf Verbraucher-Geräte und unseren privaten Alltag. Beim Internet der Dinge sollten sich alle relevanten Player – Hersteller, Service Provider, nutzende Unternehmen wie Verbraucher – schnellstmöglich von dem Gedanken verabschieden, dass es „nur" um Gebrauchs-Elektronik geht, die ab und zu mit dem Internet kommuniziert. Beim Internet der Dinge ist aufgrund des Vernetzungsgrades und der Komplexität ein integrierter Sicherheitsansatz erforderlich, der auch die Belange von Unternehmen berücksichtigt.

Denn die Sicherheitslücken in Form von Kühlschränken, Kaffeemaschinen oder Thermostaten werden früher oder später auch in Betrieben stehen und damit Eingang ins Unternehmensnetzwerk finden. Den Herstellern der Smart-Geräte, die die Anwenderdaten sammeln und auswerten, um ihre Produkte zu verbessern und zu optimieren, kommt hier eine besondere Verantwortung zu, sowohl mit Blick auf die Absicherung ihrer Netze als auch in punkto Datenschutz.

Generell wird mit neuen offenen Flanken in Unternehmensnetzwerken zu rechnen sein, die bei Organisationen eine Revision der aktuellen IT-Sicherheitsstrategie und eine aktive Auseinandersetzung mit den realen Gefahren rund um das Internet der Dinge erfordern, das eben keine Zukunftsmusik, sondern schon Realität ist.

Dieser Artikel ist ursprünglich bei unserem Schwesterportal Elektronikpraxis erschienen. Verantwortlicher Redakteur: Franz Graser

* Frank Melber ist Leiter Business Development und Experte für die Abwehr von Cyber-Angriffen bei TÜV Rheinland.