Sicherheitsrisiko IoT-Geräte – die unterschätzte Gefahr
von Tina Siering
Was genau ist IoT – und welche Vor- und Nachteile bringt es mit sich?
Im Internet of Things (IoT) – zu Deutsch „Internet der Dinge“ – sind Geräte mit smarten Funktionen sowohl mit dem Internet als auch untereinander drahtlos vernetzt. Neben Haushaltsgeräten und Alltagsgegenständen, wie etwa intelligenten Klima- und Lichtsystemen, Warnmeldern und Druckern, sind es auch Maschinen im industriellen und medizinischen Bereich, die miteinander kommunizieren und aus dem Internet erreichbar gemacht werden, um bspw. Statusinformationen auf einem Smartphone bereitstellen zu können. Technische Grundlage für die Kommunikation über das IP-Netz sind Prozessoren und Sensoren, die in den Geräten implementiert sind. Indem IoT-Geräte und -Maschinen Prozesse automatisieren und mit dem Anwender proaktiv in Kontakt treten, können sie Arbeitsabläufe verbessern, Produktionsvorgänge beschleunigen und nicht zuletzt Betriebskosten senken. Mithilfe von IoT-Technologien lassen sich zudem Verbraucher- und Geschäftsdaten in Echtzeit übermitteln, was eine schnelle Optimierung des Kundenerlebnisses und der betrieblichen Abläufe ermöglicht. Die IoT-gestützte Überwachung von Arbeitsplätzen wiederum schützt Mitarbeiter vor Verletzungen und Überlastung. Leider bergen intelligente Geräte aber auch Sicherheitsrisiken in sich, die sich auf die gesamte Informationssicherheit eines Unternehmens oder einer Organisation auswirken.
Generell kann zwischen direkt adressierbaren IoT-Geräten und IoT-Geräten, die eine zentrale Steuereinheit voraussetzen, unterschieden werden. Direkt adressierbare Geräte werden in den meisten Fällen mit einer eigenen IP-Adresse ans LAN angeschlossen und können autark agieren oder durch eine Steuereinheit zentrale verwaltet werden. Daneben gibt es IoT-Geräte, die ausschließlich direkt mit Steuereinheiten kommunizieren, z. B. über Funknetze wie Bluetooth oder ZigBee, und somit nicht direkt an bestehende Datennetze angeschlossen werden. Im Vergleich zur IT in der Produktion gibt es jedoch keinen Datenverkehr, der nur in die klassische Nord-Süd-Richtung fließt (vom eigenen Netz nach außen), sondern auch in Ost-West-Richtung, also etwa von einer Maschine zur anderen.
Um ein Ausufern des Ost-West-Verkehrs zu verhindern, sollte eine Netzsegmentierung stattfinden. Zudem sollte der Netzwerkverkehr analysiert werden, um Anomalien rechtzeitig zu hinterfragen: Warum benötigt beispielsweise der IoT-Sensor einer Maschine Kontakt zu einem externen Server? Die klassische Suche nach Malware reicht im Internet-of-Things-Bereich leider häufig nicht aus.
Hinzu kommt: Bei der Entwicklung von IoT-Geräten werden Aspekte der Informationssicherheit typischerweise nicht oder nur wenig beachtet. Sei es aus budgetären Gründen oder um Rechenkapazitäten einzusparen, Gründe gibt es viele. Viele Nutzer nehmen die versteckten Risiken auf die zu leichte Schulter und die erfolgreichen Cyberangriffe spitzen sich zu. Somit bietet IoT neben einem großen praktischen Nutzen auch große Herausforderungen an die IT Security.
Darum geht von IoT-Geräten ein hohes Sicherheitsrisiko aus
IoT-Geräte stellen vor allem deshalb ein beliebtes Angriffsziel für Cyberkriminelle dar, weil sie größtenteils schlecht abgesichert sind. Wie der IoT Threat Report 2020 von Palo Alto Networks zeigt, laufen nur 2 Prozent des gesamten IoT-Geräteverkehrs verschlüsselt ab. Dadurch ist es für Hacker ein Leichtes, offengelegte Daten über eine Command-and-Control-Struktur abzugreifen. 57 Prozent aller IoT-Geräte sind für Attacken mittleren oder hohen Grades anfällig.
Woran liegt es nun, dass die Sicherheit von IoT-Geräten derart vernachlässigt wird? Zunächst einmal legen Käufer kein allzu großes Augenmerk auf die Sicherheit eines IoT-Geräts, sondern interessieren sich oft nur für die innovativen Funktionen und den zukunftsweisenden Nutzen des Produkts. Wie ein trojanisches Pferd integrieren Unternehmen IoT-Geräte in ihre Netzwerkumgebung, ohne sich der verborgenen Sicherheitsrisiken bewusst zu sein. Den Herstellern kann das nur recht sein: Müssten sie ihre Produkte mit effektiven Sicherheitsfunktionen ausstatten, wären sie auch dazu gezwungen, den Preis zu erhöhen. Angesichts des starken Wettbewerbs wären sie dann kaum noch konkurrenzfähig.
Im Produktionsumfeld kommt erschwerend hinzu, dass die Geräte oder Maschinen mitunter zehn Jahre und länger eingesetzt werden. Diese lange Nutzungsdauer führt noch zu einem anderen Problem: Häufig sind absolut veraltete Betriebssystem-Versionen anzutreffen. Teilweise sind von den Herstellern die Systeme gar nicht für den Unternehmenseinsatz ausgelegt und bekommen nach kurzer Zeit keine Updates mehr.
Wer sich ein IoT-Gerät zulegt, muss sich darüber bewusst sein, dass viele Modelle auf Basis von herstellereigenen Betriebssystemen laufen, die häufig große Sicherheitslücken aufweisen. Eine besonders hohe Gefahr geht dabei von NAS-Speichern, PCs, Smart-TVs und Media Playern aus. Da die Software nur selten oder gar nicht gepatcht wird, bleiben Schwachstellen auch dann bestehen, wenn sie längst bekannt sind. Hacker haben also genügend Zeit, ein Exploit zu entwickeln und strategisch ausgefeilte Angriffe zu starten. Ein zusätzliches Risiko stellen voreingestellte Gerätepasswörter dar, die von den Nutzern oftmals nicht geändert werden.
Im Gesundheitswesen laufen laut des IoT Threat Report 2020 über 80 Prozent der medizinischen IoT-Geräte auf nicht unterstützten Betriebssystemen. Die meisten Sicherheitsprobleme und Bedrohungen (51 Prozent) entstehen dabei in Zusammenhang mit bildgebenden Systemen, auf denen sensible Patientendaten gespeichert sind. Außerdem vermischen 72 Prozent der VLANs im Gesundheitswesen IT- und IoT-Ressourcen, sodass sich Schadsoftware von Computern auf ungeschützte IoT-Geräte übertragen kann und umgekehrt.
Das sind die Folgen von kompromittierten IoT-Geräten
Die Auswirkungen von Cyberangriffen auf IoT-Geräte können verheerend sein. Nicht selten haben es die Angreifer darauf abgesehen, IoT-Geräte in ein Botnetz zu integrieren. Gelingt ihnen dieses Vorhaben, können sie die gekaperten Geräte bspw. für die Ausführung von DDoS-Angriffen (Distributed Denial of Service) missbrauchen, wodurch Dienste nur noch eingeschränkt oder gar nicht mehr verfügbar sind. 2016 sorgte das sogenannte Mirai-Botnetz für Aufsehen, als es den DNS-Anbieter Dyn.com mit einem umfangreichen DDoS-Angriff attackierte und zeitweise bekannte Dienste wie Reddit und Netflix lahmlegte.
Indem Angreifer ein IoT-Gerät mit Schadsoftware kompromittieren, können sie zudem einzelne Funktionen ändern oder die volle Kontrolle über das Gerät übernehmen. Des Weiteren erlangen sie Zugriff auf Daten aus dem Gerät und können sich Zugang zum Netzwerk verschaffen. Besonders heikel wird es, wenn Hacker Industriegeräte ins Visier nehmen: Eine Kompromittierung im Umfeld von Industrie 4.0 kann die gesamte Produktion lahmlegen, chemische Rezepturen manipulieren oder – im KRITIS-Bereich – flächendeckende Stromausfälle auslösen. Das käme nicht nur für das betroffene Unternehmen einer Katastrophe gleich, sondern auch für die Bevölkerung.
So können Unternehmen ihre IoT-Geräte besser schützen
Angesichts der zahlreichen Bedrohungen, die von IoT-Geräten ausgehen, sollten Unternehmen entsprechende Schutzmaßnahmen ergreifen. Im Idealfall ist das Gerät nur dann mit dem Internet verbunden, wenn es in Gebrauch ist. Muss es hingegen ununterbrochen über das Internet erreichbar sein, sollten Sie folgende Tipps befolgen:
- Achten Sie beim Kauf schon auf eine langfristige Unterstützung durch den Hersteller für Updates oder Hardware Support.
- Stellen Sie sicher, dass Ihre IoT-Geräte nur eingeschränkt mit dem Internet und nicht mit Ihren internen Systemen wie u.a. ERP, Fileserver und DCs kommunizieren können, indem Sie ein separates Netzwerksegment einrichten.
- Achten Sie darauf, dass nicht jeder über das Internet auf Ihre IoT-Geräte zugreifen kann, indem Sie beispielsweise IP-Adressfilter oder Geo-IP-Filter verwenden.
- Nutzen Sie ausschließlich sichere Protokolle wie HTTPS oder SSH, die eine verschlüsselte Verbindung aufbauen. Klartext-Protokolle wie HTTP oder Telnet sind tabu.
- Ändern Sie sofort den voreingestellten Benutzernamen und das Passwort, sobald Sie ein IoT-Gerät in Betrieb nehmen. Wählen Sie dabei ein sicheres Passwort (mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen).
- Nutzen Sie die Multi-Faktor-Authentifizierung, um die Identität eines Nutzers sicher nachweisen zu können.
- Deaktivieren Sie nach Rücksprache mit Ihrem Internetanbieter die UPnP-Funktion (Universal Plug and Play) Ihres Routers.
- Optimieren Sie Ihre Patch-Management-Strategie, um Patches schnell ausrollen zu können.
Darüber hinaus sollten Sie eine MDR-Lösung (Managed Detection and Response) wie den Active Cyber Defense (ACD) Service von Allgeier secion in Betracht ziehen. Die Threat-Hunting-Lösung überwacht Ihr Netzwerk proaktiv und macht Angreiferaktivitäten frühzeitig sichtbar. Organisationen sind sofort darüber informiert, wenn verdächtige Kommunikation stattfindet, und können unmittelbar reagieren. Da die Lösung alle Systeme Ihres Netzwerks – darunter Laptops, Smartphones, Server, Drucker und IoT-Geräte – einbezieht, eignet sie sich ideal für die Identifizierung von Bots und Botnetzen.
Für die Nutzung des ACD-Service ist keine Installation von Agents auf Clients notwendig. Die Prüfung, ob Systeme zu Command & Control Servern kommunizieren und somit kompromittiert sind, erfolgt auf Netzwerkebene (durch die Überwachung von Beacons und die Identifizierung von bösartigen Traffic-Muster).
Fazit
Das Internet of Things bietet Unternehmen zahlreiche Möglichkeiten, ihre Betriebsabläufe entlang der gesamten Wertschöpfungskette zu verbessern. Gleichzeitig aber bereiten ihnen die Sicherheitsrisiken, die durch die zunehmende Vernetzung von Geräten und Produktionsprozessen entstehen, große Sorgen. Viele Organisationen fürchten vor allem Hacker- beziehungsweise DDoS-Angriffe, Industriespionage sowie die Integration von IoT-Geräten in Botnetze. Nicht ohne Grund: Da Geräte im Produktionsumfeld nicht selten zehn Jahre oder noch länger in Betrieb sind, laufen sie oftmals auf veralteten Betriebssystem-Versionen, für die der Hersteller keine Sicherheitsupdates mehr liefert.
Die Folgen eines Hackerangriffs indes können fatal sein: Gelingt es Angreifer IoT-Geräte in Botnetze erfolgreich zu integrieren, können sie Dienste blockieren und sämtliche Geschäftsprozesse einschränken. Unternehmen ist deshalb dringend anzuraten, ihre IoT-Geräte mit wirksamen IT-Sicherheitsmaßnahmen gegen Cyberangriffe zu schützen. Besonders effektiv ist der Active Cyber Defense (ACD) Service von Allgeier secion: Die MDR-Lösungen setzt auf Angriffsfrüherkennung und überwacht innerhalb eines Netzwerks auch IoT-Geräte rund um die Uhr. Da die Managed Detection and Response-Lösung Hackeraktivitäten sofort meldet, können Sie umgehend gegensteuern und eine Kompromittierung verhindern.