© Kanokpol Prasankhamphaibun / 123RF.com

Immer mehr Geräte vernetzen sich untereinander, produzieren immer mehr Daten und sind ungewollt auch zunehmend Angriffsziele für böswillige Hacker.

IoT-Geräte sind inzwischen sowohl im privaten und im beruflichen Umfeld allgegenwärtig. Die Smart Devices begleiten uns täglich, vom Saugroboter bis zur Smartwatch. Dabei hat das Internet of Things (IoT) nicht nur Einzug in den privaten Alltag gehalten, sondern kommt auch in komplexen Infrastrukturen zum Einsatz wie in Unternehmen, Fabriken und Städten sowie in Telemedizin, Transport oder Logistik.

Die steigende Anzahl und Vielfalt der Geräte generiert eine enorme Masse an Daten, die unter anderem dabei hilft, diese Systeme zu optimieren. Allerdings sind solche sensiblen Daten auch für Cyberkriminelle interessant. Im vergangenen Jahr waren weltweit rund 11 Milliarden IoT-Geräte im Umlauf – elf Milliarden potenzielle Ziele für Cyberkriminelle, denn durchschnittlich weist ein IoT-Gadget 25 Schwachstellen auf [1].

Mirai

Seit der Erfindung des ersten mit dem Internet verbundenen Toasters 1990 hat sich das Internet of Things enorm entwickelt. Inzwischen verfügen IoT-Geräte über integriertes WLAN, können sich mit 4G- und 5G-Netzwerken verbinden und werden immer kompakter, leistungsfähiger und gleichzeitig kostengünstiger. Bei der Entwicklung dieser Geräte war und ist Cybersicherheit allerdings kein allzu großes Thema.

Wie anfällig IoT-Geräte sind, zeigte der erste große Cyberangriff 2016 mit der Malware Mirai. Sie kompromittierte damals Hunderttausende mit dem Internet verbundene Geräte wie intelligente Kameras, Router, Kühlschränke und dergleichen. Die wurden dadurch Teil eines Botnets von etwa einer Million Geräte. Danach konnten sie im Internet automatisierte Aufgaben ohne die Erlaubnis oder das Wissen ihrer Besitzer ausführen. Zwar kann ein infiziertes Gerät allein keinen Schaden anrichten, doch verfügt ein Angreifer über Tausende solcher Geräte, kann das Botnet eine ernst zu nehmende Bedrohung darstellen.

Damals fielen dem Mirai-Angriff viele wichtige Dienste und Websites zum Opfer. Beispielsweise wurde die Infrastruktur der Deutschen Telekom mit einem DDoS-Angriff außer Gefecht gesetzt. Ein weiterer DDoS-Angriff auf die DNS-Server von Dyn führte dazu, dass große Internet-Plattformen und -dienste für Nutzergruppen in Europa und Nordamerika nicht verfügbar waren. Davon waren unter anderem Unternehmen wie Airbnb, Amazon, CNN, BBC, Github, HBO, Paypal, Netflix, Playstation Network, Reddit, Slack, Spotify, Starbucks, Visa und Twitter betroffen, die man eine gewisse Zeit lang nicht mehr erreichen konnte.

Der Infektionsvektor war unkompliziert, bestand er doch aus standardmäßigen oder zu einfachen Anmeldeinformationen und einer Reihe von Schwachstellen, die den Fernzugriff auf Geräte ermöglichten. Sobald die Malware heruntergeladen war und ausgeführt wurde, konnte der Angreifer das infizierte Gerät nach Belieben aus der Ferne bedienen. Dieser einfache Ansatz in Kombination mit einem geringen Maß an IoT-Cybersicherheit ermöglichte einen äußerst effektiven Angriff.

Auf Mirai folgten 2018 die Malware VPNFilter und 2020/2021 zwei IoT-Hacks, die das Tesla Model X und den Verkada-Kamera-Feed betrafen. Alle diese Vorfälle hatten große Auswirkungen, sodass neben Cybersicherheitsunternehmen auch Privatunternehmen und Regierungen die Notwendigkeit erkannten, das IoT zu schützen.

Cybersicherheit im IoT

Im Spielfilm “Ocean’s Eleven” gelingt es den Protagonisten, Videos der Überwachungskameras eines Casinos zu fälschen und so einen großen Überfall zu ermöglichen. Den Coup gab es nicht nur in der Fantasie eines Regisseurs.

Vor einigen Jahren haben Kaspersky-Experten intelligente Kameras analysiert, die für den Heimgebrauch wie auch für kleine und mittlere Unternehmen als Teil eines Überwachungs- oder Sicherheitssystems entwickelt wurden. Durch die Kombination einiger gefundener Schwachstellen in der Cloud-Architektur und den Kameras selbst gelang es, den gleichen Trick wie im Film anzuwenden, also den Video-Stream zu ändern und Filmmaterial einer völlig anderen Kamera zu zeigen.

Zudem ließ sich der Stream durch ein aufgezeichnetes Video ersetzen (Abbildung 1). Gleichermaßen wäre es möglich gewesen, die gesamte Cloud mit allen in Betrieb befindlichen intelligenten Kameras des Anbieters zu übernehmen. Dieses Beispiel verdeutlicht, welche Sicherheitsrisiken das IoT sowohl für Verbraucher als auch für Unternehmen jeder Größe mit sich bringt, wenn die Infrastruktur nicht richtig eingerichtet und geschützt ist.

Abbildung 1: Überwachungskameras bieten Angreifern ein mögliches Einfallstor. Unter anderem kann man ihnen fremdes Bildmaterial unterschieben, sodass sie statt der Wirklichkeit irreale Szenen zeigen.

Wie leicht es fällt, das Internet of Things zu kompromittieren, zeigte unter anderem ein Experiment des ICS CERT von Kaspersky. Indem sie eine bestimmte Schwachstelle im intelligenten Wecker eines involvierten Forschers ausnutzten, gelang es den Experten, auf den Heim-Router zuzugreifen, der üblicherweise im Haushalt als Knotenpunkt für alle intelligenten Geräte dient. Danach konnten sie ein passwortgeschütztes PHP-Skript erstellen, das jeden ihrer Befehle ausführte. So wären die Experten in der Lage gewesen, den Router als Einfallstor für den Zugriff auf persönliche Daten zu verwenden, darunter auch Bankunterlagen.

Fehlende Patches

Ein weiteres Cybersicherheitsproblem ist das Patchen von Sicherheitslücken. Hersteller von IoT-Geräten wollen ihre Produkte schnellstmöglich auf den Markt bringen. Dabei stellen sie die Sicherheit dieser Geräte oft in den Hintergrund oder berücksichtigen Sicherheitsbedrohungen während des Entwicklungsprozesses gar nicht erst. Nach der Markteinführung mangelt es dann immer wieder an nötigen Sicherheitsaktualisierungen. Doch selbst wenn alle Schwachstellen von unabhängigen White-Hat-Sicherheitsforschern gemeldet und dann von Anbietern gepatcht werden, verfügen viele IoT-Geräte noch immer nicht über automatische Update-Mechanismen. Somit werden keine aktuellen Updates installiert, und jeder Nutzer muss sich proaktiv über neue Schwachstellen und Patches informieren. Das tun jedoch die wenigsten, selbst im Unternehmensumfeld.

Weitere Sicherheitsrisiken ergeben sich aus der Verlagerung der Arbeit aus dem Büro nach Hause. Hier spielt das IoT sowohl in privater als auch beruflicher Sicht eine Rolle, denn die Sicherheit des Homeoffice ist direkt mit Smart-Home-Systemen verknüpft. Während IoT-Geräte vielen Nutzern dabei helfen, von zu Hause aus zu arbeiten, mangelt es diesen Netzwerken oft an Sicherheit.

Verwendet eine Person beispielsweise mehrere IoT-Geräte, um Temperatur, Luftfeuchtigkeit, Kameras und andere Dinge im eigenen Heim zu steuern, schaffen diese Devices eine Art Ökosystem, das Nutzerdaten sammelt, verarbeitet und analysiert. Aus Sicht der Cybersicherheit von Unternehmen, insbesondere der Angriffsmodellierung und Verlustvorhersage, kann das ein enormes Problem darstellen: Die Unternehmensinfrastruktur könnte über das Smart Home eines Mitarbeiters kompromittiert werden. Die Mitarbeiter selbst laufen damit ebenfalls Gefahr, von einem Cyberangriff betroffen zu sein.

Weitere Herausforderungen: Eine zunehmend diversifizierte Bedrohungslandschaft und komplexe Umgebungen lassen zusätzliche kritische Punkte entstehen. Untersuchungen zeigen, dass 2020 ein Haushalt in Deutschland im Durchschnitt Zugriff auf 7 vernetzte Geräte hatte. Weitere Herausforderungen entstehen durch Standardkennwörter, die sich durch Brute-Forcing erraten lassen, durch IoT-Malware und Ransomware, durch mangelnden Datenschutz oder durch unsichere Schnittstellen.

Ausblick

Auf der Grundlage der Möglichkeiten, die sich aus dem IoT ergeben, wird die Nachfrage nach IoT-Schwachstellen unter Cyberkriminellen künftig steigen. In Darknet-Foren dürfte es daher dazu kommen, dass Schwachstellen wie Remote Code Execution oder Local Privilege Escalation in verschiedenen Smart/IoT-Devices angeboten und nachgefragt werden. Dies gilt insbesondere für Geräte mit direktem Internet-Zugang wie Kameras oder Router. Cyberkriminelle können Smart/IoT-Devices für DDoS-Botnets als erste Zugriffsvektoren auf interne Netzwerke sowie als Proxy-Server verwenden, um den Netzwerkverkehr durch die kompromittierten Geräte zu lenken.

In naher Zukunft wird zudem höchstwahrscheinlich das Geschäft mit Zugangsdaten zunehmen, die einen ersten Zugriff auf ein Netzwerk ermöglichen. Sie stammen meist aus Tools für Fernzugriffe und Remote-Verwaltung und werden im Darknet von sogenannten Initial Access Brokers (IABs) verkauft. Gewöhnlich werden diese Anmeldeinformationen von infizierten Geräten gesammelt. Je mehr Angriffe auf das IoT stattfinden, desto höher die Wahrscheinlichkeit, dass Angreifer über das Darknet Zugriff auf diese Geräte als ersten Einstiegspunkt in Unternehmensnetzwerke erhalten.

Denkbar ist außerdem, dass Online-to-offline-Dienste entstehen. Sie bieten eine zusätzliche Möglichkeit der Monetarisierung von Vermögenswerten, die sich Angreifer bereits angeeignet haben. So kann beispielsweise ein auf Videoüberwachung basierendes Botnetz in der Nähe von Banken oder Geschäften als Spionagedienst für klassische Kriminelle wie Diebe dienen. Daher werden Sicherheitsdienste wie Digital Footprint Intelligence und Darknet-Überwachung immer wichtiger: Sie helfen, die Verbreitung gestohlener Informationen zu stoppen.

IoT-Geräte sind zudem für staatlich unterstützte Angreifer oder zwielichtige Marketing-Plattformen von großem Interesse: Sie sammeln sensible personenbezogene Informationen wie biometrische Daten, die zu Werbe- oder Spionagezwecken auch an Dritte weitergegeben werden können. Hinzukommen turbulente geopolitische Zeiten, die das IIoT (Industrial IoT) zu einem weiteren Ziel für staatlich unterstützte Akteure machen. Das IIoT ermöglicht Angriffe auf Industrieunternehmen und technologische Prozesse und das Stören von Sicherheitssystemen.

Cyberbedrohungen, die das IIoT betreffen, können Menschenleben bedrohen, da jeder externe Eingriff in industrielle Prozesse möglicherweise zu physischen Schäden führt. Ein Beispiel: Bei Unternehmen aus dem Öl- und Gas-Bereich, aus dem Chemie-Umfeld oder aus vergleichbaren Industrien besteht ein gewisses Risiko für das Austreten von explosiven, giftigen und anderen Gasen. Um den Ernstfall rechtzeitig zu erkennen, setzen solche Betriebe spezielle Gasüberwachungssysteme ein. Sie schützen die Arbeitsbereiche vor Gaskontaminationen und benachrichtigen sofort das für die Sicherheit zuständige Personal und alle Personen im Gefahrenbereich. Diese Systeme könnten auch zum Ziel von Hacktivisten oder Cyberterroristen werden. Würden Sicherheitswarnungen während eines Angriffs geändert, könnte dies katastrophale Folgen haben und das Leben von Menschen gefährden. Angriffe werden daher möglicherweise zunehmend erfolgen, nicht nur um direkten finanziellen Gewinn zu erzielen, sondern auch um physischen Schaden anzurichten sowie im Interesse von Geheimdienst- oder Spionagekampagnen.

Die relevantesten Themen für Sicherheitsexperten sind IoT-fokussierte APTs (Advanced Persistent Threats), IoT-Broker und IoT-Clouds. Bei Ersterem dürfte die Erkennung äußerst schwierig sein, da es keine bestehenden einheitlichen Technologien gibt, um schädliches Verhalten auf Endpunkten zu überwachen. IoT-Broker und IoT-Clouds hingegen können eine mögliche Fehlerquelle für eine große Gruppe von intelligenten beziehungsweise IoT-Geräten darstellen.

Wie man sich schützt

IoT-Sicherheit betrifft sowohl Verbraucher als auch Unternehmen, erfordern jedoch unterschiedliche Schutzmaßnahmen für jede Gruppe. Für Verbraucher gehören die Verwendung komplexer Passwörter, regelmäßige Software-Updates sowie der Einsatz von Zwei-Faktor-Authentifizierung, wo immer möglich, zu den grundlegenden Faktoren der Cybersicherheit.

Konsumenten sollten sich darüber im Klaren sein, dass der Kauf intelligenter Geräte aus zweiter Hand unsicher ist. Deren Firmware könnte von Vorbesitzern modifiziert worden sein, damit sie nach einem Remote-Angreifer die volle Kontrolle über das Smart Home erhalten. Zudem sollten sich private Nutzer vor Doxing schützen. Hierfür sammeln Cyberkriminelle öffentlich verfügbare Informationen, beispielsweise in sozialen Netzwerken, und nutzen diese für kriminelle Aktivitäten wie Belästigung oder gar Cyberangriffe. Aus Sicherheitsgründen sollte man daher Seriennummern, IP-Adressen und andere vertrauliche Informationen zu smarten Geräten niemals in Social Media posten. Zudem sollten Nutzer sich vor dem Kauf von smarten Geräten über deren Sicherheit informieren. Hersteller müssen zeitnah auf entdeckte Schwachstellen reagieren und diese beheben.

Für Unternehmen gelten zusätzlich zu diesen Empfehlungen weitere Aspekte. Sie sollten auf dedizierte Unternehmens-Router setzen und SOHO-Router für geschäftliche Zwecke meiden, da diesen die Sicherheit auf Unternehmensebene fehlt. Außerdem sollten sie für Besucher Gastnetzwerke mit mindestens WPA2 bereitstellen und mit einem starken Passwort schützen. Für Industrieunternehmen mit Betriebstechnik (OT, Operational Technology) oder kritischer Infrastruktur gilt es sicherzustellen, dass diese vom Unternehmensnetzwerk getrennt ist und keine unbefugten Verbindungen bestehen.

Es gilt, die OT-Systeme regelmäßig Sicherheits-Audits zu unterziehen, um mögliche Schwachstellen zu identifizieren und zu beseitigen. Zudem ist es wichtig, Lösungen zur Überwachung, Analyse und Erkennung des Netzwerkverkehrs zu verwenden, um besser vor Angriffen geschützt zu sein, die möglicherweise technologische Prozesse und wichtige Unternehmensressourcen bedrohen.

Cyberimmunität für das IoT

Das größte Problem bei IoT-Geräten besteht mit Blick auf ihre Verfügbarkeit und ihre riesigen Datenmengen darin, dass sie normalerweise reaktiv gesichert werden – also, wenn sie bereits kompromittiert sind. Deswegen schaffen Experten nun auf der ganzen Welt vorbeugende Schutzmöglichkeiten, darunter Secure-by-Design-Architekturprinzipien, Sicherheitsentwicklungsstandards und Programme zum Testen von Schwachstellen. Die steigende Anzahl von Vorfällen beschleunigt diesen Prozess. Demnach betreffen die IoT-Cybersicherheitsvorschriften heutzutage nicht nur Sicherheitsstandards, sondern wenden auch Best Practices an.

Ein Hersteller von Sicherheitssoftware hat dabei das Konzept der Cyberimmunität [2] entwickelt, bei dem ein Gerät mit strenger Einschränkung der Funktionalität gebaut wird, basierend auf hohen Sicherheitsstandards und unter Verwendung sicherer Codierungspraktiken. Der Mikro-Kernel des unternehmenseigenen Betriebssystems [3] enthält nur wenige Hunderttausend Zeilen Code, sodass die Angriffsfläche minimal bleibt. Die strikte Trennung von Systemkomponenten stellt die Funktionsfähigkeit in jeder Situation sicher: Selbst wenn eine davon ausfällt, führt das Betriebssystem seine kritischen Funktionen weiter aus. Dank der in die Architektur eingebetteten Prinzipien kann das Betriebssystem als Grundlage für Produkte dienen, die über Cyberimmunität verfügen, und bietet so integrierte Sicherheit gegen die meisten Arten von Cyberangriffen.

Ein weiteres wichtiges Modell wurde vom Industry IoT Consortium geschaffen: Für das Security Maturity Model [4] hat die Arbeitsgruppe einen Leitfaden entwickelt, der Praktikern dabei hilft, die hohen Sicherheitsstandards der Branche zu gewährleisten. Er baut auf den im Industrial Internet Security Framework (IISF) identifizierten Konzepten auf.

Das IoT hat sich viel schneller als erwartet von einer Idee in eine Realität mit enormem Mehrwert verwandelt: Der Alltag wird angenehmer und komfortabler, wir verbringen weniger Zeit mit wiederkehrenden Aufgaben und treffen effizientere Entscheidungen. Es entwickeln sich neue Gewohnheiten und Abläufe. Allerdings halten die Gefahren damit Schritt, weshalb es unabdingbar ist, dass Hersteller und Sicherheitsexperten zusammenarbeiten, um das IoT und die Smart Devices umfassend und nachhaltig zu schützen. (jcb)