Interview mit Thomas Haase, Security- and Data-Privacy-Experte bei T-Systems Multimedia Solutions

IoT mit Sicherheit

Das Internet of Things bietet viele Annehmlichkeiten für Nutzer, jedoch geht mit der fortschreitenden Vernetzung auch eine größere Angriffsfläche einher, um Geräte im großen Maßstab zu infizieren und für ihre Zwecke zu missbrauchen. Oftmals wird das den Hackern noch nicht mal schwer gemacht. Grund dafür ist ein mangelndes Verständnis für Risiken und eine fehlende Qualitätssicherung, die Tür und Tor für Cyberattacken öffnen – und ebendiese gilt es zu verschließen.

Vernetzte Uhren, Brillen, Kaffeemaschinen, Industriemaschinen...die Liste lässt sich endlos weiterführen. Immer mehr Dinge werden an das Internet angebunden. Ist das aus Sicherheitsaspekten nun positiv oder eher negativ zu betrachten?
Sowohl als auch. Die Vernetzung bietet natürlich sehr viele Vorteile für Nutzer, die dadurch beispielsweise Geräte von zu Hause aus der Distanz steuern können. Allerdings nimmt mit der zunehmenden Verbreitung des Internet of Things auch die Meldungen über gefundene Schwachstellen und bisweilen auch Angriffe auf die Systeme immer weiter zu. Das stellt zwar eine große Herausforderung für Unternehmen dar, ist aber durchaus lösbar.

Können Sie da ein Beispiel nennen?
Beispielsweise der Ausfall der Dienste wie Netflix oder Spotify aus dem letzten Jahr. Das Botnetz Mirai machte damals von sich reden und griff das US-Unternehmen DYN an.

Wie funktionieren denn solche Angriffe?
Dahinter steckt ein Distributed Denial of Service, kurz: eine DDos-Attacke. Das heißt, dass zeitgleich eine enorme Anzahl von Anfragen von verschiedenen Geräten auf ein Ziel generiert werden. Das führt dazu, dass das angegriffene Ziel überlastet wird und zusammenbricht. Reguläre Anfragen können nicht mehr bearbeitet werden. Dadurch entsteht für Unternehmen ein enormer Schaden.

Woran liegt es, dass gerade IoT-Geräte immer öfter Opfer von Attacken werden?
Neben der zunehmenden Anzahl von IoT-Geräten ist vor allem der Mangel an Qualitätssicherung einer der Hauptauslöser. Grobe Nachlässigkeit oder auch wenig Verständnis für die Risiken, sind dabei häufige Faktoren. Die Ursachen dafür sind vielfältig und gehen von zu schwachen Passwörtern über fehlende Sicherheitsupdates bis hin zu Standardeinstellungen, die nicht geändert werden.

Wie schwierig ist es für einen Hacker, so einen Angriff zu verüben?
Im Grunde genommen erfordert es in vielen Fällen keine professionellen Kriminellen mehr. Ehrlich gesagt, ist das Standardvorgehen für Angriffe sogar erschreckend einfach. Sie sind ähnlich aufgebaut wie Penetrationstests, mit denen die Sicherheit von Systemen überprüft und auf Herz und Nieren getestet wird. Diese bestehen aus fünf aufeinanderfolgenden Phasen, welche ebenfalls die Standards nach der Definition des Bundesamts für Sicherheit (BSI) darstellen.

IoT Day 2018 - Das Industrieforum
Sie sind als Entscheider oder digitaler Vordenker in einem Unternehmen aus der herstellenden und verarbeitenden Industrie tätig? Sie prüfen die Mehrwerte der Digitalisierung in Ihrer leitenden Funktion? Dann wird Ihnen der IoT Day 2018 passende Lösungsansätze rund um die Bereich New Services& Business Model, Assurance & Transparency und New Industrial Work mitgeben.
>Sichern Sie sich Ihren Platz

Die da wären?
Da möchte ich mich auf die drei Wichtigsten fokussieren. An erster Stelle steht die Vorbereitung: Hier machen sich die Angreifer mit dem Ziel vertraut, ergründen die Schwachstellen und wählen ein Werkzeug für den Angriff, das den meisten Erfolg verspricht.

In der zweiten Phase machen die Hacker dann ihre möglichen Opfer ausfindig und versuchen die passenden Geräte für ihren Angriff zu finden. Die passenden Geräte für einen Angriff zu finden, ist dabei geradezu ein Kinderspiel. Es gibt dafür sogar spezielle Suchmaschinen in denen Hacker problemlos Geräte per IP-Adresse innerhalb des IoT finden und anschließend auch die Art, Betriebsversion und andere Indikatoren bestimmen können. Die verwundbarsten Geräte, also die mit den größten Schwachstellen, fügen die Hacker ihrer Datenbank aus IP-Adressen hinzu, um sie später für den eigentlichen Angriff zu nutzen.

In der dritten und letzten Phase machen sich die kriminellen Hacker die zuvor gesammelten IP-Adressen zunutze und instrumentalisieren diese für ihre Machenschaften. Viele Geräte verfügen nicht über eine Software zur Identifizierung von erkannten Geräten oder Malware. Dadurch fällt ein Angriff manchmal gar nicht oder erst viel zu spät auf. Denn die Hacker versuchen die ursprüngliche Funktion des Gerätes möglichst nicht zu beeinträchtigen, um still und heimlich ihr Werk verrichten zu können. Und selbst für die Erstellung von Schadsoftware gibt es im Netz Anleitungen und vorgefertigte Baukästen.

Wie kann das verhindert werden? 
Drei Bausteine sind besonders wichtig, um die Sicherheit von IoT-Systemen zu erhöhen: Security-Tests, allgemeine Tests vom Sensor bis hin zur Cloud und eine entsprechende Beratung, um einen sicheren Umgang im Unternehmen zu gewährleisten. Eine flächendeckende Qualitätssicherung ist jedoch nach wie vor in weiter Ferne. Das liegt daran, dass das IoT sehr komplex und heterogen ist. Einzelmaßnahmen können da nicht viel bewirken.

Was müssen die Unternehmen nun konkret tun, um die Sicherheit von IoT-Geräten zu erhöhen? 
Unternehmen müssen sich darüber klar werden, welche digitalen Prozesse geschäftskritisch sind, welche Anforderungen an die Anwendung bestehen und welche Risiken es zu eliminieren gilt. Ausgereifte Testverfahren können dem Unternehmen dabei helfen Schwachstellen und Sicherheitslücken in Infrastrukturen früh aufspüren und anschließend zu beheben. Die Möglichkeiten zu einer besseren Absicherung sind also schon gegeben, doch was fehlt, ist die Sensibilisierung der Nutzer. Erst, wenn Nutzer und Unternehmen die Risiken kennen und sich dieser bewusst sind, können die Geräte flächendeckend gesichert und Angriffe somit erschwert werden.

Wie schafft die Digitalisierung mehr Effizienz in der Produktion?
Digitale Lösungen haben das Potential die Effizienz der Produktion zu heben und deren Kosten zu senken. Aber was sagen die Industrieunternehmen selbst?
Das Whitepaper gibt Ihnen einen Einblick in verschiedene Use Cases.
>Zum kostenlosen Download

Über den Experten

Thomas Haase ist Projektfeldmanager für IoT Test- & Integration bei der T-Systems Multimedia Solutions GmbH. Seine Schwerpunkte sind Infrastructure and Application Security, Penetration Tests und Security Source Code Analysen. Außerdem engagiert er sich als Dozent für verschiedene Bildungseinrichtungen im Bereich Security Awareness und Hacking. Er ist zertifiziert als ISO 27001 Lead Auditor, Certified Ethical Hacker und TeleTrusT Information Security Professional (TISP).