- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Sieben Punkte zur IoT-Security


Die Unsicherheit der Dinge: Willkommen im Botnet
Die IoT-Malware-Landschaft entwickelt sich stetig weiter, während die Sicherheitsvorkehrungen meist noch rudimentär sind

- Anzeigen -





Von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Das Internet der Dinge steckt immer noch in den Kinderschuhen, aber hat sich bereits einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht. Ob Router, Drucker, Smart-TV, Spielzeug oder Waschmaschinen – vernetzte Geräte werden für Cyberkriminelle zum Werkzeug für illegales Krypto-Mining, DDoS-Angriffe bis hin zur Lösegelderpressung durch angedrohte Datenlöschung, wie im Fall des Spielzeugherstellers Spiral Toys. Dessen Datenleck machte 2017 Schlagzeilen, bei dem mehr als 800.000 Nutzer betroffen waren.

Die IoT-Malware-Landschaft entwickelt sich stetig weiter, während die Sicherheitsvorkehrungen meist noch rudimentär sind. Das Anfang des Jahres entdeckte Botnet "Hide and Seek" bettet, im Gegensatz zur berüchtigten DDoS-Mirai-Malware, eine Vielzahl von Befehlen wie Datenexfiltration, Code-Ausführung und Interferenz mit dem Betrieb des Geräts ein. Die Sicherheitsrisiken im IoT-Bereich sind Großteils auf das rasante Tempo zurückzuführen, mit dem IoT-Devices weltweit implementiert werden – 20 Milliarden installierte Geräte sind nach Schätzungen von Gartner bis Ende 2020 zu erwarten. Im hart umkämpften Technologiesektor hat der Eifer, als erster mit erschwinglichen IoT-Geräten auf den Markt zu kommen, dazu geführt, dass viele Hersteller selbst einige der grundlegendsten Sicherheitsprinzipien zugunsten schneller Entwicklungszyklen außer Acht gelassen haben.

Hinzu kommt, dass die Kombination aus übertriebener Kostenkontrolle und dem Streben nach Benutzerfreundlichkeit noch weniger Raum für robuste Sicherheitsmaßnahmen lässt. Viele IoT-Geräte verwenden extrem preiswerte Verarbeitungseinheiten. Diese Geräte sind oft speicher- oder eingabebeschränkt, was wohl eine einfache Funktionalität ermöglicht, aber wenig bis gar keinen Platz für zukünftige Updates oder Patches lässt. Da die Lebensdauer dieser Devices oft bei über zehn Jahren liegt, stellen sie vor dem Hintergrund immer neuer Bedrohungen ein ernstzunehmendes Sicherheitsproblem dar.

Sieben Punkte zur Verbesserung der IoT-Sicherheit
1) Geräteauthentifizierung und -identität:
Die korrekte und sichere Authentifizierung mit individueller Geräteidentifikation ermöglicht den Aufbau einer sicheren Verbindung zwischen den Geräten selbst und den Backend-Steuerungssystemen. Wenn jedes Gerät seine eigene eindeutige Identität hat, können Unternehmen schnell bestätigen, dass das kommunizierende Gerät tatsächlich dasjenige ist, das es vorgibt zu sein. Dazu ist eine individuelle Geräteidentifikation auf Basis von Lösungen wie Public Key Infrastructure (PKI) erforderlich.

2) Physische Sicherheit: Die physische Sicherheit ist von größter Bedeutung. Deshalb sollte die Integration von Sicherungsmaßnahmen gegen Manipulation in Gerätekomponenten bei Entwicklern im Vordergrund stehen, um zu verhindern, dass sie dekodiert werden können. Darüber hinaus sollte dafür gesorgt werden, dass Gerätedaten im Zusammenhang mit Authentifizierung, Identifikationscodes und Kontoinformationen gelöscht werden können, wenn ein Gerät gefährdet ist, um Datenmissbrauch zu verhindern.

3) Verschlüsselung: Beim Einsatz von IoT-Lösungen müssen Unternehmen sicherstellen, dass der Datenverkehr zwischen Geräten und Backend-Servern ordnungsgemäß verschlüsselt ist. Die Sicherstellung der Verschlüsselung von Befehlen und die Überprüfung der Befehlsintegrität durch Signierung oder starke Kodierung sind entscheidend. IoT-Geräte sollten auch alle gesammelten sensiblen Benutzerdaten verschlüsseln, um die Datensicherheit zu erhöhen.

4) Firmware-Updates: In der Eile, neue IoT-Produkte auf den Markt zu bringen, bauen Hersteller manchmal Geräte ohne Firmware-Update-Fähigkeit. Ein konsistenter Prozess, der eine flexible Firmware-Bereitstellung bietet, ermöglicht die Entwicklung neuer Produkte. Gleichzeitig ist garantiert, dass wichtige Sicherheitsfixes universell über bestehende Produktlinien verteilt werden können.

5) Sichere Kodierung: IoT-Entwickler müssen sichere Kodierungsverfahren implementieren und diese im Rahmen des Software-Build-Prozesses auf das Gerät anwenden. Die Konzentration auf Qualitätssicherung und die Identifizierung und Behebung von Schwachstellen als Teil des Entwicklungszyklus optimiert die Sicherheitsbemühungen und trägt dazu bei, Risiken zu minimieren.

6) Schließen von Backdoors: Der Bau von Geräten mit Backdoors, sei es zu Überwachungs- oder Strafverfolgungszwecken, ist alltäglich geworden. Diese Vorgehensweise beeinträchtigt jedoch die Integrität und Sicherheit des Endbenutzers. Hersteller müssen dafür Sorge tragen, dass weder bösartiger Code noch Backdoors eingeführt werden und die UDID (Unique Device ID) des Geräts nicht kopiert, überwacht oder erfasst wird. So wird vermieden, dass, wenn sich das Gerät online registriert, der Prozess nicht abgefangen wird oder anfällig für rechtswidrige Überwachung ist.

7) Netzwerksegmentierung: Wenn ein Netzwerk in sichere Segmente unterteilt ist, kann im Fall eines kompromittierten IoT-Geräts dessen Segment vom Rest des Netzwerks isoliert werden. Sollte das Gerät kompromittiert werden, sind nur Geräte in diesem Netzwerksegment betroffen. Die Zone kann unter Quarantäne gestellt, und es lassen sich Abhilfemaßnahmen ergreifen, ohne Risiken für andere Systeme.

Da sich bereits viele IoT-Geräte im Einsatz befinden, die praktisch unmöglich zu aktualisieren sind, erleben wir wahrscheinlich auch zukünftig DDoS-Angriffe durch kompromittierte Geräte und das Auftreten von IoT-orientierter Ransomware. Bemühungen um gemeinsame IoT-Sicherheitsstandards gewinnen jedoch an Fahrt, und wir werden in den oben genannten Bereichen bald auch deutliche Verbesserungen sehen.
(Digital Guardian: ra)

eingetragen: 23.12.18
Newsletterlauf: 14.12.18

Digital Guardian: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • IoT-Geräte kompromittieren

    Sei es der Kühlschrank, der meldet, wenn die Milch alle ist, oder der Thermostat, der Nutzungsstatistiken aufs Smartphone sendet - verschiedenste Produkte, die traditionell nicht über eine Netzwerkverbindung verfügten, werden mittlerweile damit ausgestattet. Abgesehen von Computer, Telefon, Tablet oder Router gilt grundsätzlich jedes Endanwender-Gerät, das sich mit einem Netzwerk verbinden kann, als IoT-Device. Zu den größten Problemen dieser Entwicklung zählen jedoch immer noch die vielen Sicherheitslücken der Geräte. Zwar bemühen sich Hersteller mittlerweile um Verbesserungen, zugleich zeigen sich neue Bedrohungen wie die Kompromittierung von Anmeldeinformationen durch Schwachstellen in Web- und Mobil-Applikationen bestimmter IoT-Devices.

  • Maschinelles Lernen in der IT-Security

    Artificial Intelligence, zu Deutsch Künstliche Intelligenz (KI), hat sich zum Hypebegriff entwickelt und es scheint fast so, als wären alle IT-Lösungen über Nacht intelligent geworden. KI wird als Antriebsfeder der digitalen Transformation betrachtet, doch steckt sie in ihren Anwendungsbereichen noch in den Kinderschuhen. Im Prinzip geht es darum, menschliche Entscheidungsstrukturen mit Hilfe eines Computers nachzubauen, ihn sozusagen "intelligent" werden zu lassen. Häufig wird die Begrifflichkeit verwendet und dabei absichtlich mit dem Maschinellen Lernen synonym verwendet. Doch Maschinelles Lernen ist eher ein Teilgebiet der KI. Maschinelles Lernen ist im Prinzip auf Algorithmen basierende Software, die darauf spezialisiert ist, sehr große Datenmengen anhand vordefinierter Parameter zu bearbeiten.

  • Geschichte und Zukunft der Ransomware

    Aktuelle Ransomware-Angriffe wie das erneute Aufflammen der GandCrab-Welle oder die Attacke auf den deutschen Maschinenbauer Krauss Maffei, durch den zahlreiche Rechner lahmgelegt und die Produktion wochenlang gedrosselt wurde, zeigen, dass das Geschäftsmodell der Datengeiselnahme für Cyberkriminelle leider nichts an Attraktivität eingebüßt hat. Lösegelderpressung durch Ransomware hat von ihren frühesten Anfängen vor 30 Jahren bis heute eine berüchtigte Karriere hingelegt. Durch die enorme Professionalisierung der Vertriebswege, beispielsweise durch Ransomware-as-a-Service (RaaS), wurden Krypto-Trojaner-Attacken auch für technisch wenig versierte Kriminelle zu einer der lohnenswertesten und erfolgreichsten Angriffsarten.

  • Unterschätzte Bedrohung "Datendiebstahl"

    Datendiebstahl zählt zu den größten Bedrohungen in der Cyberwelt. So wurden im Jahr 2017 rund 2,6 Milliarden Daten gestohlen. Das entspricht einer Zunahme von 88 Prozent im Vergleich zum Vorjahr (1). Trotzdem wird diese Gefahr häufig noch immer unterschätzt. Denn gerade durch das Aufkommen des Internet of Things (IoT) sowie des Industrial Internet of Things (IIoT) können die Folgen solcher ungewollten Datenabflüsse weitaus größere Ausmaße haben als "nur" den reinen Verlust von wichtigen Daten. Dabei haben es die Hacker auf den ersten Blick auf vermeintlich uninteressante Unternehmens- und Mitarbeiterdaten abgesehen.

  • Wer muss die Sicherheitsstrategie mittragen?

    Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind. Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?