IoT-Sicherheit – Security im Internet der Dinge

0

Was ist IoT-Security?

IoT-Sicherheit ist der technische Bereich, der sich mit dem Schutz von miteinander kommunizierenden Geräten und Netzwerken im Internet der Dinge (IoT) befasst.

Beim IoT geht es darum, einem System miteinander verbundener Computersysteme, mechanischer und digitaler Maschinen, Objekte, Tiere und/oder Menschen eine Internetverbindung hinzuzufügen. Jedes „Ding“ erhält eine eindeutige Kennung und die Möglichkeit, Daten automatisch über ein Netzwerk zu übertragen. Wenn man den Geräten erlaubt, sich mit dem Internet zu verbinden, öffnet man ihnen eine Reihe ernsthafter Schwachstellen, wenn sie nicht angemessen geschützt sind.

Die IoT-Sicherheit ist nach einer Reihe von öffentlichkeitswirksamen Vorfällen, bei denen ein gewöhnliches IoT-Gerät benutzt wurde, um ein größeres Netzwerk zu infiltrieren und anzugreifen, zum Gegenstand von Untersuchungen geworden. Die Umsetzung von Sicherheitsmaßnahmen ist von entscheidender Bedeutung, um die Sicherheit von Netzwerken mit daran angeschlossenen IoT-Geräten zu gewährleisten.

Herausforderungen für die IoT-Sicherheit

Eine Reihe von Herausforderungen verhindert die Sicherung von IoT-Geräten und die Gewährleistung der End-to-End-Security in einer IoT-Umgebung. Da die Idee der Vernetzung von Geräten und anderen Objekten relativ neu ist, wurde die Sicherheit während der Entwurfsphase eines Produkts nicht immer als oberste Priorität betrachtet. Da es sich beim IoT um einen im Entstehen begriffenen Markt handelt, sind viele Produktdesigner und Hersteller darüber hinaus eher daran interessiert, ihre Produkte schnell auf den Markt zu bringen, als die notwendigen Schritte zu unternehmen, um die Sicherheit von Anfang an zu gewährleisten.

Ein wichtiger Punkt, der im Zusammenhang mit IoT-Sicherheit wird, ist die Verwendung von hartkodierten oder Standardpasswörtern, welche zu Sicherheitsverletzungen führen können. Selbst wenn Passwörter geändert werden, sind sie oft nicht stark genug, um ein Eindringen zu verhindern.

Ein weiteres häufiges Problem bei IoT-Geräten ist, dass sie oft ressourcenbeschränkt sind und nicht die für die Implementierung einer starken Sicherheit erforderlichen Rechenressourcen enthalten. Daher bieten viele Geräte keine oder keine erweiterten Sicherheitsfunktionen. Zum Beispiel können Sensoren, die Feuchtigkeit oder Temperatur überwachen, nicht mit fortgeschrittener Verschlüsselung oder anderen Sicherheitsmaßnahmen umgehen. Und da viele IoT-Geräte „aufgestellt und vergessen“ werden – im Feld oder auf einer Maschine platziert und bis zum Ende ihrer Lebensdauer belassen – erhalten sie so gut wie nie Sicherheitsupdates oder Patches. Aus der Sicht eines Herstellers kann der Einbau von Sicherheit von Anfang an teuer sein, die Entwicklung verlangsamen und dazu führen, dass das Gerät nicht so funktioniert, wie es sollte.

Eine weiteres Problem in der IoT-Sicherheit ist die Verbindung von Legacy-Assets, die von Natur aus nicht für IoT-Konnektivität ausgelegt sind. Das Ersetzen der alten Infrastruktur durch vernetzte Technologie ist kostenintensiv, so dass viele Anlagen mit intelligenten Sensoren nachgerüstet werden. Dadurch erhalten Altanlagen, die wahrscheinlich nicht aktualisiert wurden oder jemals Sicherheit gegen moderne Bedrohungen besaßen, eine erweiterte Angriffsfläche.

Was Aktualisierungen betrifft, so beinhalten viele Systeme nur Unterstützung für einen festgelegten Zeitrahmen. Bei Alt- und Neusystemen kann die Sicherheit hinfällig werden, wenn keine zusätzliche Unterstützung hinzugefügt wird. Und da viele IoT-Geräte viele Jahre lang im Netzwerk bleiben, kann das Hinzufügen von Sicherheits-Features eine Herausforderung darstellen.

IoT-Sicherheit wird auch durch einen Mangel an branchenweit akzeptierten Standards beeinträchtigt. Es gibt zwar viele Frameworks für die IoT-Sicherheit, aber es gibt keinen einzigen vereinbarten Standard. Große Unternehmen und Industrieorganisationen haben möglicherweise ihre eigenen spezifischen Standards, während bestimmte Segmente, wie z.B. das industrielle IoT, proprietäre, nicht kompatible Standards von Branchenführern haben. Die Vielfalt dieser Standards macht es schwierig, nicht nur Systeme zu sichern, sondern auch die Interoperabilität zwischen ihnen zu gewährleisten.

Die Konvergenz von IT- und operationellen Technologienetzwerken (OT) hat eine Reihe von Herausforderungen für Sicherheitsteams geschaffen, insbesondere für diejenigen, die mit dem Schutz von Systemen und der Gewährleistung von End-to-End-Sicherheit in Bereichen außerhalb ihres Zuständigkeitsbereichs betraut sind. Es ist eine Lernkurve erforderlich, und IT-Teams mit den entsprechenden Fähigkeiten sollten für die Sicherheit des Internet der Dinge zuständig sein.

Unternehmen müssen lernen, Sicherheit als ein gemeinsames Thema zu betrachten, vom Hersteller über den Dienstleister bis zum Endbenutzer. Hersteller und Dienstanbieter sollten der Sicherheit und dem Datenschutz ihrer Produkte Priorität einräumen und z.B. auch Verschlüsselung und Autorisierung standardmäßig anbieten. Aber damit ist die Verantwortung noch nicht erschöpft, denn die Endbenutzer müssen sicher sein, dass sie ihre eigenen Vorkehrungen treffen können. Dazu gehören die Änderung von Passwörtern, die Installation von Patches, wenn verfügbar, und die Verwendung von zusätzlicher Sicherheitssoftware.

IoT-Sicherheitsverletzungen und IoT-Hacks

IoT-Infrastruktur ist besonders gefährdet.

Es gab schon Angriffe auf IoT-Infrastruktur und es werden mehr.

Sicherheitsexperten warnen schon seit langem vor dem potentiellen Risiko einer großen Anzahl ungesicherter Geräte, die mit dem Internet verbunden sind, seit das IoT-Konzept in den späten 1990er Jahren seinen Anfang nahm. In der Folge gerieten eine Reihe von Angriffen in die Schlagzeilen, von Kühlschränken und Fernsehern, die zum Versenden von Spam verwendet wurden, bis hin zu Hackern, die in Babyphone eindrangen und mit Kindern sprachen. Es ist wichtig, darauf hinzuweisen, dass viele der IoT-Hacks nicht auf die Geräte selbst abzielen, sondern IoT-Geräte als Einstiegspunkt in das größere Netzwerk nutzen.

Im Jahr 2010 haben Forscher zum Beispiel herausgefunden, dass der Stuxnet-Virus zur physischen Beschädigung iranischer Zentrifugen eingesetzt wurde, wobei die Angriffe 2006 begannen, der Hauptangriff jedoch 2009 stattfand. Stuxnet, das oft als eines der frühesten Beispiele für einen IoT-Angriff angesehen wird, richtet sich gegen SCADA-Systeme (Supervisory Control and Data Acquisition) in industriellen Steuerungssystemen (ICS) und nutzt Malware, um Befehle zu infizieren, die von speicherprogrammierbaren Steuerungen (SPS) gesendet werden.

Angriffe auf Industrienetzwerke wurden nur fortgesetzt, wobei Malware wie CrashOverride/Industroyer, Triton und VPNFilter auf anfällige OT- und industrielle IoT-Systeme abzielten.

Im Dezember 2013 entdeckte ein Forscher des Sicherheitsunternehmens Proofpoint Inc. das erste IoT-Botnet. Nach Angaben des Forschers bestand das Botnet zu mehr als 25 % aus anderen Geräten als Computern, darunter Smart-Fernseher, Babyphone und Haushaltsgeräte.

Im Jahr 2015 führten die Sicherheitsforscher Charlie Miller und Chris Valasek einen drahtlosen Hack an einem Jeep durch, wobei sie den Radiosender im Medienzentrum des Autos wechselten, die Scheibenwischer und die Klimaanlage einschalteten und das Gaspedal blockierten. Sie sagten, sie könnten auch den Motor abstellen, die Bremsen betätigen und die Bremsen ganz abschalten. Miller und Valasek waren in der Lage, über das fahrzeuginterne Verbindungssystem Uconnect von Chrysler in das Netzwerk des Autos einzudringen.

Mirai, eines der bisher größten IoT-Botnets, griff erstmals im September 2016 die Website des Journalisten Brian Krebs und den französischen Webhost OVH an. Die Angriffe erfolgten mit 630 Gigabit pro Sekunde (Gbps) bzw. 1,1 Terabit pro Sekunde (Tbps). Im darauf folgenden Monat wurde das Netzwerk des Domain-Name-System (DNS)-Dienstanbieters Dyn ins Visier genommen, wodurch eine Reihe von Websites, darunter Amazon, Netflix, Twitter und The New York Times, für Stunden nicht erreichbar waren. Die Angriffe infiltrierten das Netzwerk über IoT-Geräte für Verbraucher, darunter IP-Kameras und Router.

Inzwischen sind eine Reihe von Mirai-Varianten aufgetaucht, darunter Hajime, Hide ‚N Seek, Masuta, PureMasuta, Wicked Botnet und Okiru, um nur einige zu nennen.

In einer Mitteilung vom Januar 2017 warnte die Food and Drug Administration (FDA) der USA davor, dass die eingebetteten Systeme in hochfrequenzfähigen implantierbaren Herzgeräten von St. Jude Medical, darunter Herzschrittmacher, Defibrillatoren und Resynchronisationsgeräte, anfällig für Sicherheitseinbrüche und Angriffe auf IoT-Sicherheit sein könnten.

IoT-Sicherheitsinstrumente und Gesetzgebung

Es gibt viele Rahmenbedingungen für die IoT-Sicherheit, aber es gibt bis heute keinen einzigen von der Industrie akzeptierten Standard. Die bloße Einführung eines IoT-Sicherheits-Frameworks kann jedoch helfen; sie bieten Tools und Checklisten, die Unternehmen bei der Erstellung und dem Einsatz von IoT-Geräten unterstützen. Solche Frameworks wurden von der GSM Association, der IoT Security Foundation, dem Industrial Internet Consortium und anderen veröffentlicht.

Im September 2015 veröffentlichte das Federal Bureau of Investigation eine öffentliche Bekanntmachung, FBI Alert Number I-091015-PSA, die vor den potenziellen Schwachstellen von IoT-Geräten warnte und Empfehlungen zum Verbraucherschutz und zur Verteidigung gab.

Im August 2017 führte der Kongress den IoT Cybersecurity Improvement Act ein, der von jedem IoT-Gerät, das an die US-Regierung verkauft wird, verlangen würde, keine Standardpasswörter zu verwenden, keine bekannten Schwachstellen zu haben und einen Mechanismus zum Patchen der Geräte anzubieten. Das Gesetz zielt zwar auf Hersteller ab, die Geräte herstellen, die an die Regierung verkauft werden, aber es legt eine Grundlinie für Sicherheitsmaßnahmen fest, die alle Hersteller übernehmen sollten.

Ebenfalls im August 2017 wurde das Gesetz über die Entwicklung von Innovationen und das Wachstum des Internet der Dinge (DIGIT) vom Senat verabschiedet, wartet aber noch immer auf die Zustimmung des Repräsentantenhauses. Dieses Gesetz würde das Handelsministerium verpflichten, eine Arbeitsgruppe einzuberufen und einen Bericht über das Internet der Dinge, einschließlich Sicherheit und Datenschutz, zu erstellen.

Die Allgemeine Datenschutzverordnung (DSGVO), die im Mai 2018 veröffentlicht wurde, ist zwar nicht IoT-spezifisch, vereinheitlicht aber die Datenschutzgesetze in der gesamten Europäischen Union. Dieser Schutz erstreckt sich auf IoT-Geräte und ihre Netzwerke, und die Hersteller von IoT-Geräten sollten diese berücksichtigen.

Im Juni 2018 stellte der Kongress den State of Modern Application, Research and Trends of IoT Act (SMART IoT Act) vor, um dem Handelsministerium vorzuschlagen, eine Studie über die IoT-Industrie durchzuführen und Empfehlungen für ein sicheres Wachstum von IoT-Geräten zu geben.

Im September 2018 verabschiedete die kalifornische Legislative den SB-327 Information Privacy: Connected Devices, ein Gesetz, mit dem Sicherheitsanforderungen für im Land verkaufte IoT-Geräte eingeführt wurden.

Alle diese Regelungen sollen helfen große Angriffe auf IoT-Sicherheit in Zukunft zu verringern.

Welche Branchen sind anfällig für IoT-Sicherheitsrisiken?

IoT-Sicherheitslücken können in jeder Branche auftreten, vom Smart Home über eine Fertigungsanlage bis hin zu einem vernetzten Auto. Die Schwere der Auswirkungen hängt stark vom einzelnen System, den gesammelten Daten und/oder den darin enthaltenen Informationen ab.

Ein Angriff, bei dem beispielsweise die Bremsen eines angeschlossenen Autos deaktiviert werden, oder auf ein angeschlossenes Gesundheitsgerät, z.B. eine Insulinpumpe, die gehackt wird, um einem Patienten zu viele Medikamente zu verabreichen, kann lebensbedrohlich sein. Ebenso kann ein Angriff auf ein Kühlsystem, das Medikamente enthält und von einem IoT-System überwacht wird, bei Temperaturschwankungen die Lebensfähigkeit eines Medikaments ruinieren. Ebenso kann ein Angriff auf eine kritische Infrastruktur – eine Ölquelle, ein Energienetz oder eine Wasserversorgung – katastrophale Folgen haben.

Andere Angriffe dürfen aber nicht unterschätzt werden. Beispielsweise könnte ein Angriff auf intelligente Türschlösser es einem Einbrecher ermöglichen, in ein smartes Haus einzudringen. Oder in anderen Szenarien wie dem Hackerangriff auf Target 2013 oder anderen Sicherheitsverletzungen könnte ein Angreifer Malware durch ein angeschlossenes System – im Fall von Target durch ein HVAC-System – schleusen, um persönlich identifizierbare Informationen zu vernichten, was für die Betroffenen verheerende Folgen haben könnte.

Wie können IoT-Systeme und -Geräte geschützt werden

IoT-Sicherheit muss bei der Planung eines Projektes einbezogen werden.

IoT-Sicherheit sollte schon bei der Entwicklung Beachtung finden.

Die Methoden zur IoT-Sicherheit variieren je nach Ihrer spezifischen IoT-Anwendung und Ihrem Platz im IoT-Ökosystem. Zum Beispiel sollten sich IoT-Hersteller – von Produktherstellern bis hin zu Halbleiterfirmen – von Anfang an darauf konzentrieren, Sicherheit einzubauen, Hardware manipulationssicher zu machen, sichere Hardware zu bauen, sichere Upgrades zu gewährleisten, Firmware-Updates/Patches bereitzustellen und dynamische Tests durchzuführen.

Der Schwerpunkt Softwareentwicklers sollte auf sicherer Softwareentwicklung und sicherer Integration liegen. Für diejenigen, die IoT-Systeme einsetzen, sind Hardware-Sicherheit und Authentifizierung kritische Maßnahmen. Ebenso sind für Betreiber die Aktualisierung der Systeme, die Eindämmung von Malware, Audits, der Schutz der Infrastruktur und die Sicherung der Berechtigungsnachweise von entscheidender Bedeutung.

Zu den üblichen Maßnahmen der IoT-Sicherheit gehören:

  • Einbeziehung von Sicherheit in der Entwurfsphase. IoT-Entwickler sollten Sicherheit zu Beginn jeder Entwicklung von Geräten für Verbraucher, Unternehmen oder Industrie einbeziehen. Es ist von entscheidender Bedeutung, die Sicherheit standardmäßig zu aktivieren, die neuesten Betriebssysteme bereitzustellen und sichere Hardware zu verwenden.

  • Hardcoded Credentials sollten niemals Teil des Designprozesses sein. Eine zusätzliche Maßnahme, die Entwickler ergreifen können, ist die Anforderung, dass die Berechtigungsnachweise von einem Benutzer aktualisiert werden müssen, bevor das Gerät funktioniert. Wenn ein Gerät mit Standard-Berechtigungsnachweisen ausgestattet ist, sollten Benutzer diese nach Möglichkeit unter Verwendung eines starken Passworts, einer Multifaktor-Authentifizierung oder biometrischer Daten aktualisieren.

  • PKI und digitale Zertifikate. Die Public-Key-Infrastruktur (PKI) und 509 digitale Zertifikate spielen bei der Entwicklung sicherer IoT-Geräte eine entscheidende Rolle und bieten das Vertrauen und die Kontrolle, die für die Verteilung und Identifizierung öffentlicher Verschlüsselungsschlüssel, den sicheren Datenaustausch über Netzwerke und die Überprüfung der Identität erforderlich sind.

  • API-Sicherheit. Die Sicherheit von APIs (Application Performance Indicator) ist von wesentlicher Bedeutung, um die Integrität der Daten zu schützen, die von IoT-Geräten an Back-End-Systeme gesendet werden, und um sicherzustellen, dass nur autorisierte Geräte, Entwickler und Anwendungen mit APIs kommunizieren.

  • Identitäten-Verwaltung. Die Ausstattung jedes Geräts mit einer eindeutigen Kennung ist entscheidend, um zu verstehen, was das Gerät ist, wie es sich verhält, mit welchen anderen Geräten es interagiert und welche angemessenen Sicherheitsmaßnahmen für dieses Gerät getroffen werden sollten.

  • Hardware-Sicherheit. Zur Absicherung von Endgeräten gehört auch, dass sie manipulationssicher oder manipulationsnachweisbar gemacht werden. Dies ist besonders wichtig, wenn Geräte in rauen Umgebungen eingesetzt werden oder wenn sie nicht physisch überwacht werden sollen.

  • Starke Verschlüsselung ist entscheidend für die Sicherung der Kommunikation zwischen Geräten. Daten im Ruhezustand und während der Übertragung sollten mit kryptographischen Algorithmen gesichert werden. Dazu gehört auch die Verwendung von Schlüssel-Lebenszyklusmanagement.

  • Netzwerksicherheit. Zum Schutz eines IoT-Netzwerks gehören die Gewährleistung der Port-Sicherheit, die Deaktivierung der Portweiterleitung und die Tatsache, dass Ports nie geöffnet werden, wenn sie nicht benötigt werden. Dazu gehören die Verwendung von Anti-Malware, Firewalls und Intrusion Detection System/Intrusion Prevention System, die Sperrung nicht autorisierter IP-Adressen und die Gewährleistung, dass die Systeme gepatcht und auf dem neuesten Stand sind.

  • Netzwerk-Zugangskontrolle. NAC kann bei der Identifizierung und Inventarisierung von IoT-Geräten helfen, die mit einem Netzwerk verbunden sind. Dadurch wird eine Grundlage für die Verfolgung und Überwachung von Geräten geschaffen.

  • Zugriffe Einschränken. IoT-Geräte, die direkt mit dem Internet verbunden werden müssen, sollten in ihre eigenen Netzwerke segmentiert und der Zugang zum Unternehmensnetzwerk eingeschränkt werden. Die Netzwerksegmente sollten auf anomale Aktivitäten überwacht werden, damit im Falle eines Problems entsprechende Maßnahmen ergriffen werden können.

  • Sicherheits-Gateways. Als Vermittler zwischen IoT-Geräten und dem Netzwerk verfügen Sicherheits-Gateways über mehr Rechenleistung, Speicher und Fähigkeiten als die IoT-Geräte selbst, was ihnen die Möglichkeit gibt, Funktionen wie Firewalls zu implementieren, um sicherzustellen, dass Hacker keinen Zugriff auf die von ihnen angeschlossenen IoT-Geräte haben.

  • Patch-Management/fortlaufende Software-Updates. Die Bereitstellung von Mitteln zur Aktualisierung von Geräten und Software entweder über Netzwerkverbindungen oder durch Automatisierung ist von entscheidender Bedeutung. Eine koordinierte Offenlegung von Schwachstellen ist ebenfalls wichtig, um Geräte so schnell wie möglich zu aktualisieren. Ziehen Sie auch End-of-Life-Strategien in Betracht.

  • IoT und operative Systemsicherheit sind für viele bestehende Sicherheitsteams neu. Es ist entscheidend, das Sicherheitspersonal über neue oder unbekannte Systeme auf dem Laufenden zu halten, neue Architekturen und Programmiersprachen zu erlernen und auf neue Sicherheitsherausforderungen vorbereitet zu sein. C-Level- und Cybersicherheitsteams sollten regelmäßig geschult werden, um mit modernen Bedrohungen und Sicherheitsmaßnahmen Schritt zu halten.

  • Mitarbeiter und Teams integrieren. Neben der Schulung kann es nützlich sein, disparate und regelmäßig Trainings mit Teams zu integrieren. Beispielsweise kann die Zusammenarbeit von Programmierentwicklern mit Sicherheitsspezialisten dazu beitragen, dass die Geräte während der Entwicklungsphase mit den richtigen Kontrollen ausgestattet werden.

  • Aufklärung der Verbraucher. Verbraucher müssen für die Gefahren von IoT-Systemen sensibilisiert werden und Maßnahmen ergreifen können, um die Sicherheit zu gewährleisten, wie z.B. die Aktualisierung der Standard-Anmeldeinformationen und die Anwendung von Software-Updates. Die Verbraucher können auch eine Rolle spielen, indem sie von den Geräteherstellern verlangen, sichere Geräte zu entwickeln, und sich weigern, Geräte zu benutzen, die nicht den hohen Sicherheitsstandards entsprechen.
Teile diesen Beitrag:

About Author

Carsten Hack ist begeisterter Hobby-Bastler auf vielen Gebieten und Autor von e-hack.de. Seine Erfahrung und Expertise schreibt er in informativen Beschreibungen verschiedener elektrischer Bauteile nieder und gibt Tipps zu allen Fragen der Beleuchtung und LED-Leuchtmitteln.

Kommentare

Scroll Up