Open Source im professionellen Einsatz

IoT-Security-Tipps vom BSI

26.10.2016

Die Probleme mit der IoT-Security sind bereits länger ein Thema, nun äußert sich, viel zu spät, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu. Die Tipps und Maßnahmen in deutscher Sprache dürften die meisten Hersteller der Geräte nie erreichen.

339

Die Hersteller der Security-Kameras und DVR-Systeme, die an den IoT-Angriffen auf Webseiten beteiligt sind, sitzen größtenteils in China. Es ist unwahrscheinlich, dass sie sich von einer deutschsprachigen Webseite Informationen zum Absichern ihrer Geräte holen, zumal die Tipps mehrheitlich alte Hüte sind.

Das BSI fordert etwa auf, Dienste wie HTTP, Telnet und SSH mit Passwörtern abzusichern, die sich ändern lassen und diese Änderung im Zweifelsfall zu erzwingen. Auch sollen keine unnötigen Dienste laufen und das IoT Device TLS zum Absichern seiner Kommunikation verwenden.

Auch vor UPnP warnt das Amt. Den Standard aktivieren viele Router automatisch, dank ihm schalten IoT-Geräte selbstständig Ports frei, um mit der Außenwelt zu kommunizieren. Das gilt als unsicher und nicht immer im Sinne des Nutzers. Der sollte UPnP im Router am besten deaktivieren, worauf das BSI auf einer eigenen Seite für Privatanwender hinweist.

Nicht zuletzt verlangt das Amt von der Geräteherstellern, dass sie die Firmware warten und "über einen hinreichenden Nutzungszeitraum" Sicherheitsupdates liefern, natürlich über verschlüsselte Verbindungen.

Fromme Wünsche

Die Realität sieht so aus, dass die Geräte häufig überhaupt keine Updates beziehen. Die Funktion zu implementieren ist teuer, weil ein Fallback-Mechanismus und aufwändige Tests her müssen. Kunden zeigen sich in der Regel wenig erfreut, wenn das gekaufte Gerät aufgrund eines Updates seinen Dienst einstellt. Support-Mitarbeiter ins "Feld" zu schicken, ist ein teurer Spaß, den sich viele der Firmen nicht leisten wollen. Ähnliches gilt für die Verschlüsselung. Sicheres Verschlüsseln braucht Ressourcen und die bringen IoT-Geräte oft nicht ausreichend mit. Die Folge ist, dass die Hersteller schwach oder gar nicht verschlüsseln.

Tipps sind schön und gut, dürften aber an der realen Situation kaum etwas ändern. Bleibt zu hoffen, dass der vom BSI ebenfalls angekündigte "Dialog mit den Herstellern und Verbänden" zu greifbaren Resultaten führt. Experten auf dem Gebiet gehen jedenfalls davon aus, dass es erst mal schlimmer wird, bevor sich die Situation verbessert.

Ähnliche Artikel

  • Was tun mit unsicheren IoT-Devices?

    Ein gutes haben die massiven DDOS-Angriffe mit Hilfe angreifbarer IP-Cameras, digitaler Videorekorder und anderer IoT-Geräte: Es gibt nun eine Debatte, wie sich solche Devices besser schützen lassen. Doch selbst Security-Forscher Matthew Garrett fehlt bislang eine rettende Idee.

  • IT goes Nuclear: Sicherheitsforscher lassen IoT-Wurm auf Philips Hue-Lampen los

    Die Sicherheitsforscher Eyal Ronen, Colin O’Flynn, Adi Shamir und Achi-Or Weingarten haben sich mal das Zigbee-Protokoll zur Brust genommen und einen IoT-Wurm für Philips Hue-Lampen gebastelt, der eine Kettenreaktion in Gang setzt.

  • Malware auf einer Million vernetzten Kamerasystemen

    Forscher der Level 3 Threat Research Labs haben Malware auf mehr als einer Million (Security)-Kamera-Systemen mit Webanschluss entdeckt. Dank dieser agieren die IoT-Geräte nun als Botnetze.

  • Zephyr-Projekt: Echtzeit-OS für das Internet der Dinge

    Mit dem neu gegründeten Zephyr-Projekt will die Linux Foundation die Arbeit an einem Echtzeit-Betriebssystem für das Internet der Dinge fördern.

  • IoT-Security

    Schwärmt eine Geräteflotte im Internet der Dinge erst mal in alle Welt aus, will der Kunde nicht nur sicher mit seinen Knotenpunkten reden, sondern der Hersteller notfalls aus der Ferne Sicherheitslücken stopfen. Embedded-Entwickler Julien Vermillard schildert Sicherheitsrisiken und stellt Lösungsansätze vor.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.