Smarte Fitnessarmbänder, Smart-Home-Systeme , smarte Autos – plötzlich sind alle Geräte „intelligent“, vernetzt und funktionieren automatisch. Das Internet der Dinge (Internet of Things – IoT) bildet ein Netzwerk, bei dem Gegenstände von selbst zusammenarbeiten. Der Mensch darf sich zurücklehnen und profitieren.
Das IoT ist aber auch sehr komplex und kompliziert. So wird der neu gewonnene Komfort im vernetzten Zuhause auch schnell zum Einstiegstor für Hacker und Kriminelle. IoT-Sicherheitstests können zur Verbesserung der Anwendungssicherheit speziell im Internet beitragen.
Die „smarte“ Zahnbürste vermittelt, wie gründlich jeder Zahn geputzt wurde. Die Türklingel überträgt den Besucher im Live-Video aufs Handy. Die Waschmaschine bestellt ihr Waschpulver selbst. Von unterwegs lässt sich der Kühlschrankinhalt überprüfen und der Abendfilm im TV zur Aufnahme programmieren.
Selbst wenn es die smarte Technik noch nicht in den Alltag der breiten Bevölkerung geschafft hat und bislang noch weniger als ein Prozent der deutschen Haushalte „vernetzt“ sind, setzt sich der Trend zur Verknüpfung von Geräten über das Internet fort. Optimistische Zahlen aus Branchensicht gehen davon aus, dass bis 2020 über 30 Milliarden Geräte mit dem Internet verbunden sein werden.
Doch während der zentrale Lichtschalter am Bett das Leben des Seniors in der Nacht sicherer machen soll, lässt die IT-Sicherheit bei der Entwicklung neuer Technologien oft zu wünschen übrig, vermehrt aus Kostengründen. Die Entwickler von IoT-Geräten stehen beispielsweise vor der Entscheidung: Sollen sie vorhandene Geräte mit älteren Mikrocontrollern erweitern und so eine Internetverbindung und cloud-basierte Anwendungen ermöglichen, aber damit möglicherweise Sicherheitsrisiken in Kauf nehmen? Oder sollen sie neu entwickelte Mikrocontroller einsetzen?
An IoT-Geräte werden verschiedene Anforderungen gestellt. Hierzu gehört eine niedrige Energieaufnahme, hohe Rechenleistung sowie eigentlich auch die Sicherheit. Denn in jüngster Zeit sind vermehrt Meldungen zu lesen, bei denen IoT-Geräte für digitale Attacken missbraucht wurden. So wurden im Jahr 2016 tausende IoT-Geräte für Distributed Denial-of-Service (DDoS)-Angriffe ausgenutzt und legten dadurch große Teile des Internets lahm. Von diesem Angriff waren auch Firmen wie Amazon, Netflix, Spotify, und Twitter betroffen, um nur einige größere Unternehmen zu nennen.
Für Hersteller und Dienstleister bedeuten derartige Angriffe und Ausfälle nicht nur einen Image-, sondern auch einen immensen wirtschaftlichen Schaden. IT-Sicherheitsforscher gehen davon aus, dass vergleichbare Angriffe, die IoT-Geräte ausnutzen, in Zukunft zunehmen werden.
Internet of Things – ein Definitionsversuch
Sucht man gezielt nach einer Definition des Begriffs Internet of Things (IoT), so stellt man schnell fest, dass es mehr als eine gibt. Die Vernetzung von Maschinen und Systemen kennt unterschiedliche Bezeichnungen: IoT, Industrie 4.0, M2M. Letztlich zielen sie aber auf dieselbe Sache.
IoT bezeichnet die Kommunikation zwischen intelligenten Geräten ohne aktives Zutun des Menschen. Dabei ist anzunehmen, dass IoT-Geräte häufig eine IP-Adresse besitzen und als eigenständiges Gerät im lokalen Netz oder auch im Internet erreichbar sind.
Das Internet of Things ist nicht nur eine Technologie, sondern es kombiniert eine ganze Reihe unterschiedlicher Technologien. Diese Geräte sind somit in der Lage, Daten zu erfassen, zu analysieren, auszutauschen und für weitere Aktionen zu verwenden. Diese Fülle an Möglichkeiten soll uns im Alltag begleiten und uns Arbeit abnehmen. Dies bedeutet aber zugleich, dass auch eine Reihe neuer digitaler Angriffsszenarien mit dieser Technologieentwicklung einhergehen.
Verkannte Risiken
Durch „intelligente“ Geräte, die mit dem Internet verbunden sind und „von außen“, sprich nicht nur innerhalb eines geschlossenen Firmennetzes, angesprochen werden können, entstehen neue Wertschöpfungsmöglichkeiten, aber auch neue digitale Risiken.
Mögliche Gefahren entstehen auf vier verschiedenen Ebenen. Die erste Ebene ist die Hardware-Ebene, auf der das IoT-Gerät mit seiner Umgebung interagiert. Diese Interaktion erfolgt meist über Sensoren. Dabei besteht die Möglichkeit, bestimmte Signalarten so zu manipulieren, dass Sensoren gestört werden und es zu Fehlfunktionen kommt.
Gefahren der zweiten Ebene, der Netzwerk-Ebene, betreffen den Informationsaustausch zwischen Komponenten. Es besteht die Möglichkeit, dass Angreifer die verwendete Software dazu bringen, ungewollte Aktionen auszulösen.
Die Gefahren der dritten Ebene betreffen die Back-end- oder Cloud-Lösung. Diese kann Schwachstellen enthalten, etwa durch den Einsatz veralteter Software, durch die das IoT-Gerät für bösartige Aktionen missbraucht werden könnte.
Die Applikationsebene ist die vierte Ebene und umfasst Schwachstellen in der Bedienung einer Web-Anwendung oder eines mobilen Geräts.
Botnetze und Türöffner
Besitzer eines IoT-Geräts können sich schnell mit Malware infizieren . So wurden etwa Kunden der Deutschen Telekom im November 2016 Opfer eines Angriffs und wären beinahe Bestandteil eines großen, weltumspannenden Botnetzes geworden. Versucht wurde, die Router über Port 7547 anzugreifen und sie mit dem Mirai-Botnetz zu verbinden. Wartungsserver können über diesen Fernwartungsport beispielsweise Updates auf dem Router installieren.
Glücklicherweise funktionierte der Angriff nicht einwandfrei, so dass die zirka 900.000 angegriffenen Router der Telekom nicht für ein größeres Botnetz missbraucht werden konnten, sondern teilweise nur ausfielen. Trotzdem entstand ein enormer wirtschaftlicher Schaden für die Telekom.
Diese Attacke verdeutlicht zudem, dass viele Angriffe für den einzelnen Benutzer gar nicht zu erkennen sind. Deshalb gilt grundsätzlich der Rat: IoT-Geräte sollten stets in einem separaten Netzwerk isoliert werden, da sie eine nicht einzuschätzende Gefahr für das lokale Netzwerk darstellen, in dem sich private Dokumente, Videos und Bilder befinden.
Doch nicht immer benötigen Angreifer hochkomplexes Wissen über mögliche Angriffsvektoren. So staunte ein Smart-Lock-Benutzer nicht schlecht, als plötzlich sein Nachbar auch ohne Schlüssel in der Wohnung stand. Mit Smart Lock lässt sich beispielsweise die Haustür über eine Smartphone-App steuern. Befindet sich nun das Smartphone (oder Tablet) im Haus und ist zusätzlich ein Sprachassistent aktiv, reicht ein gekipptes Fenster aus, um sich die Haustüre öffnen zu lassen. So verschaffte sich der Nachbar durch den Ruf “Hey Siri, unlock the front door” (“Hey Siri, öffne die Haustüre”) Zutritt zur fremden Wohnung. Hierbei ist allein der Befehl ausschlaggebend, der Sprachassistent ist nicht fähig, Menschen anhand ihrer Stimme zu unterscheiden.
Risikominimierung durch Penetrationstests
Smart-Home-Hersteller bemühen sich um eine leichte Handhabung ihrer Geräte. Sie sollen ohne IT-Kenntnisse auf Knopfdruck funktionieren und von überall aus steuerbar sein. Die Sicherheit bleibt da meist auf der Strecke. Die Gebrauchsanleitungen weisen nicht darauf hin, dass die nötigen Einstellungen für IoT-Geräte Löcher in die schützende Firewall reißen oder dass sensible Daten unverschlüsselt über das Internet übertragen werden.
Bei zunehmender Anzahl von IoT-Haushaltsgeräten sollten die damit einhergehenden Risiken nicht allein auf den Kunden abgewälzt werden. Es ist kaum zu erwarten, dass Privatkunden eine Vielzahl eingesetzter Geräte regelmäßig auf dem aktuellen Sicherheitsstandard halten können. Ganz abgesehen davon kann der Kunde kaum beurteilen, wie gut die Softwarequalität von Produkten ist, wie lange es Updates gibt und ob vor Markteinführung Sicherheitstests durchgeführt wurden.
Auch werden Sicherheitsaspekte viel zu häufig der kurzfristigen Wirtschaftlichkeit unterworfen. Anstatt in schlecht programmierter Software regelmäßig Sicherheitslücken aufwändig zu stopfen, sollten Entwickler IT-Sicherheit schon im Entstehungsprozess beachten. Das senkt auf lange Sicht die Kosten.
Ein entscheidendes Instrument der Risikominimierung ist der IoT-Penetrationstest. Die Abbildung zeigt das typische Setup einer IoT-Hardware. Die dargestellten nummerierten Pfeile bezeichnen die Tests, die auch im Projektplan eines Penetrationstests verankert sind.
©Syss
Die genaue Auswahl an Tests und Tools wird passend zum IoT-Gerät und dessen Anforderungen getroffen, da ein Penetrationstester seine Testzeit optimal ausschöpfen und möglichst viele Erkenntnisse gewinnen möchte. Es ist zudem wichtig, die Funde und erzielten Testergebnisse für den Auftraggeber genau zu dokumentieren und Empfehlungen für die Behebung von Schwachstellen auszusprechen, so dass das IT-Sicherheitsniveau nachhaltig gesteigert werden kann.
Ist die Sicherheit des Gerätes auf einen Stand gebracht worden, die entsprechend der oben exemplarisch genannten oder anderer vergleichbarer Spezifikationen ausreichend ist, kann die Markteinführung beginnen.
Auf dem Back-end (1) laufen üblicherweise verschiedene Dienste. Diese können Schwachstellen aufweisen oder auf veralteter Software basieren. Sind Schwachstellen vorhanden, besteht die Gefahr einer Rechte-Ausweitung des Angreifers, die zur Kompromittierung des Systems führt. Das entsprechende IoT-Gerät ließe sich dann für bösartige Aktionen missbrauchen.
Die Interaktion von IoT-Geräten erfolgt meist in unterschiedliche Richtungen. So werden die Geräte häufig mit Web-Anwendungen oder mobilen Apps bedient. Der dahinterliegende Web-Service sowie der Datenverkehr zum Back-end (2,3), aber auch die Anwendung (4,5,7) können verwundbar sein und Schwachstellen aufweisen.
Auch besteht die Gefahr, dass ein Angreifer den Datenverkehr manipuliert, um die Software so zu ungewollten Aktionen zu bringen. Ist das IoT-Gerät nicht in der Lage, die Legitimität einer Anfrage zu prüfen, steht es dann unter der Kontrolle des Angreifers.
Herstellung und mögliche Implementierungsfehler in der Hardware (6) dürfen ebenfalls nicht außer Acht gelassen werden. Das denkbar schlimmste Szenario für Hersteller ist, dass sich Angreifer unautorisierte Zugriffsrechte auf dem Gerät verschaffen und eigenen Code zur Ausführung bringen.
Auch die verbauten Sensoren können manipuliert werden. Es kommt dann zu Fehlmessungen und Funktionsstörungen. So können nicht nur Signale zwischen Sensor und Gateway, sondern auch zwischen Gateway und Back-end angegriffen werden. Die Folge: Das IoT-Gerät führt ungewollte Aktionen aus.
Maßnahmen und Konzepte: IT-Sicherheit als Teil der Entwicklung
Hackerattacken, wie der eingangs erwähnte DDoS-Angriff aus dem Jahr 2016 mit einer enormen Anzahl verwundbarer IoT-Geräte, zeigen einen deutlichen Handlungsbedarf, wenn es um IoT-Sicherheitslösungen geht.
Häufig fehlt den Herstellern das Bewusstsein, dass neben der Funktionalität der Geräte auch die Sicherheit einen enormen Stellenwert hat. Eine Analyse unterschiedlicher Geräte zeigt, dass Produkte teilweise nur begrenzte oder sogar überhaupt keine Sicherheitsmechanismen besitzen. Dabei benötigen Angreifer oft nur eine einzige Lücke, um ein verwundbares System unter ihre Kontrolle zu bekommen.
IT-Sicherheit sollte deshalb fester Bestandteil der Planungs- und Entwicklungsphase sein. Passende Architekturen und geeignete sicherheitsbezogene Entwürfe müssen schon früh in den Entwicklungsprozess einfließen, um Folgekosten zu minimieren.
Angriffsflächen lassen sich beispielsweise minimieren, wenn im Vorfeld entschieden wird, welche Komponenten für den tatsächlichen Betrieb des Gerätes benötigt werden. Kostendruck bei der Entwicklung und Produktion ist ein entscheidender Faktor. Bietet ein Hersteller mehrere Ausstattungsvarianten an, so wird mit hoher Wahrscheinlichkeit nicht für jede Variante eine eigene Platine entwickelt. Alle Erweiterungsmodule sind mit zusätzlichen Kosten verbunden. Der Hersteller versucht meist, einheitliche Bauteile in großer Stückzahl zu fertigen, um Kosten zu sparen. Unterschiede finden sich dann häufig nur in der Firmware, die in den günstigen Varianten Funktionen ungenutzt lässt.
Bereits bei der Konzeption eines IoT-Gerätes sollten grundlegende Funktionsbestandteile auf Sicherheit hin untersucht werden. Denn die Kommunikation zwischen Schnittstellen und deren Absicherung ist ein neuralgischer Punkt. Dabei ist etwa zu beachten, dass Signale manipuliert sein oder aus gerätefremden Quellen stammen könnten.
Um solche Mängel aufzudecken, sollte das Produkt vor Markteinführung einem Sicherheitstest durch einen unabhängigen Dienstleister unterzogen werden. Ziel dieses Sicherheitstests ist es, mögliche Schwachstellen aufzudecken und Wege zur Behebung aufzuzeigen.
Aber auch wenn bei der Entwicklung die zum Zeitpunkt gängigen Sicherheitsvorkehrungen getroffen wurden, gibt es keine Garantie, dass das Endprodukt frei von Sicherheitsproblemen ist. Neue Lücken werden regelmäßig entdeckt und veröffentlicht. Möchte der Hersteller das Vertrauen der Kunden gewinnen, so ist es wichtig, offen mit aufgedeckten Schwachstellen umzugehen. Werden bekannte Lücken behoben und Updates zur Verfügung gestellt, ist es weniger wahrscheinlich, dass Angreifer eine Schwachstelle erfolgreich ausnutzen können.
Ausblick
Noch immer ist das Bewusstsein für Gefahren im Zusammenhang mit Internet of Things (IoT)-Geräten nicht ausreichend vorhanden. Hersteller verschweigen zum Teil die Risiken, die der Kunde mit dem Einsatz von IoT-Geräten eingeht. In Bedienungsanleitungen wird in der Regel nicht auf versteckte Funktionen und Dienste hingewiesen. Ein IoT-Gerät ist für den Kunden oft eine Blackbox, deren exakte Funktionen und Sicherheit er nicht überblicken kann.
Also ist der Hersteller in der Pflicht: „Für Hard- und Software muss es so etwas wie ein Mindesthaltbarkeitsdatum geben, einen Zeitraum, für den der Hersteller einen einwandfreien Zustand garantiert und bei Mängeln haftet“, regte Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik, im Mai 2017 an.
Ein wünschenswerter Vorschlag, jedoch nur schwer umsetzbar, da der Markt global und intransparent ist. Somit bleibt zu hoffen, dass immer mehr Hersteller „IT-Sicherheit“ – neben Funktionalität – als ein zentrales Qualitätsmerkmal ihrer IoT-Produkte verstehen.
Gleichzeitig sollten aber auch Verbraucher diese Sicherheit immer einfordern und gleichzeitig grundlegende Regeln für den sicheren Umgang mit IoT-Geräten – etwa sichere Passwörter, regelmäßige Updates, Netzwerk-Separierung – beachten.
Autor: Sebastian Schreiber
Sebastian Schreiber ist Geschäftsführer der Syss GmbH in Tübingen