Vorsicht Gefahr! – Sicherheitsrisiken im Internet of Things

Vorsicht Gefahr! Sicherheitsrisiken im Internet of Things

Ein Hack, der diesen Sommer viele Medien beschäftigte, war der exemplarische Einbruch in die Systeme eines fahrenden Jeep Cherokee. Ein Beispiel, dass die Dimension des Themas Sicherheit im Internet of Things nachdrücklich verdeutlicht. Also, was tun?

Vergangene Woche machte mein Kollege Jan Junker hier im Blog darauf aufmerksam, dass das Thema Sicherheit im Zusammenhang mit der Digitalisierung und Industrie 4.0 teilweise noch sträflich vernachlässigt wird. Dies ist insofern gravierend, als mit der Anzahl der verbundenen Geräte und Infrastrukturen auch die der Angriffspunkte erheblich steigt.

Eine von HP durchgeführte Studie untermauert diese These mit Blick auf das Internet of Things (IoT) – die technologische Basis für Industrie 4.0. Eine Untersuchung am Beispiel von Heimsicherheitssystemen ergab, dass schlichtweg alle unter ihnen erhebliche Sicherheitsmängel aufwiesen. 100 Prozent der untersuchten Systeme verfügten über Schwachstellen in den Bereichen Autorisierung und Privatsphäre, fast drei Viertel über unsichere Cloud-Anbindungen sowie mangelhafte Soft- und Firmware und bei der Hälfte ließ die Sicherheit der mobilen Interfaces zu wünschen übrig. Durchschnittlich wurden bei jedem untersuchten System 20 Schwachstellen offengelegt.

Grund genug, sich genauer mit den potenziellen Angriffszielen und den entsprechenden Vorsichtsmaßnahmen auseinanderzusetzen. Auf welche Teilaspekte des Internet of Things sollten sicherheitsbewusste Anwender, aber auch Hersteller besonderen Wert legen? Was gilt es zu beachten und wo besteht der größte Handlungsbedarf?

Sicherheit für das Internet of Things

Die Forschungsabteilung der Entwickler-Community und Ressourcensammlung DZone hat 2015 erneut ihren Guide to the Internet of Things veröffentlicht, der nach Anmeldung in der Community kostenlos heruntergeladen werden kann. Der Leitfaden gibt einen Überblick über den Status quo des Internet der Dinge sowie über aktuelle Fragestellungen. Und natürlich darf an dieser Stelle auch das Thema Sicherheit nicht fehlen. Dieses wird hier aus den drei Blickwinkeln Gerät, Netzwerk und System (Datencenter) betrachtet, wobei alle drei Ebenen weitreichende Angriffsziele erkennen lassen.

  1. Gerät: Auf der Geräteebene besteht das größte Risiko im fehlenden Deployment von notwendigen Sicherheitsupdates, häufig bedingt durch deren niedrige Priorität sowohl bei Herstellern als auch bei Kunden. Hersteller sehen sich regelmäßig mit der Fragestellung konfrontiert, in welcher Form sie Patches idealerweise ausliefern sollten – direkt oder lieber doch erst mit der nächsten Version des Geräts? Aus Kosten- oder Bequemlichkeitsgründen entscheiden sich viele unter ihnen dann für die zweite Variante. Und eine Vielzahl von Geräten bleibt dem bestehenden Sicherheitsrisiko weiterhin ausgeliefert.
  2. Netzwerk: Im Netzwerkbereich wiederum lautet das Zauberwort Verschlüsselung. So sollten beispielsweise Gateway-Zugangsdaten nicht nur verschlüsselt, sondern auch regelmäßig ausgetauscht werden. Auch beim Netzwerktraffic zwischen dem Gerät, der entsprechenden App und den passenden Cloud-Verbindungen gilt es, auf sichere Verschlüsselungsverfahren zu achten und diese in gewissen Abständen zu überprüfen. Das Open Web Application Security Project (OWASP) weist im Rahmen seines Internet of Things Projects außerdem darauf hin, dass eine sichere Verschlüsselung immer anhand gültiger sowie zeitgemäßer Encryption Standards erfolgen muss.
  3. System (Datencenter): Die beiden Hype-Themen Internet of Things und Cloud Computing gehen Hand in Hand, denn nur so können eine hohe Verfügbarkeit und Skalierungseffekte beim Zuschalten zusätzlicher „Dinge“ gewährleistet werden. Wenn wir im Zusammenhang mit dem IoT von Datencentern sprechen, meinen wir deshalb häufig die Cloud. In diesem Bereich haben sich mittlerweile standardmäßige Sicherheitspraktiken herausgebildet, die in jedem Fall befolgt werden sollten. Beispielsweise sollte es im Cloud-Interface möglich sein, die Default-Werte zur Autorisierung schon beim initialen Produkt-Setup anzupassen, damit sie nicht während der kurzen Phase ihrer Gültigkeit angegriffen und ausgenutzt werden können. Weitere Sicherheitsempfehlungen auf Systemebene sind laut DZone unter anderem, immer nur absolut notwendige Daten zu sammeln und einen Message Broker zu implementieren.

Sicherheit als Erfolgskriterium

Eine Verstärkung der Sicherheit in IoT-Szenarien verfolgt nicht alleine den Sinn und Zweck, die eingesetzten Systeme vor potenziellen Angreifern zu schützen, sondern sie beinhaltet auch eine entscheidende strategische Komponente für Unternehmen. Gerade im Industrieumfeld stellen ausgeklügelte und durchdachte Sicherheitsmaßnahmen nämlich einen erheblichen Wettbewerbsvorteil dar. Ein Versagen dieser Maßnahmen kann hier schließlich nicht nur schwerwiegende Ausfallszenarien, sondern auch Industrie- und Wirtschaftsspionage mit sich ziehen. Und dadurch entstehen im schlimmsten Fall Millionenverluste.

 

Bildquelle: Shutterstock

Ein Gedanke zu “Vorsicht Gefahr! Sicherheitsrisiken im Internet of Things”

  1. IT-Sicherheit

    Ich glaube auch, dass es hier ein böses Erwachen geben könnte, viele Things sind in deren Internet doch recht unsicher, und die mit Industrie 4.0 hektisch wachsenden Maschinennetzwerke und M2M-Kommunikation machen mir regelrecht Angst.

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.