IoT lässt sich nicht aufhalten – aber lässt es sich schützen?

Die Idee des Internets der Dinge hat sich in den letzten Jahren wie eine Lawine von einer Nische mit Einsätzen in einigen Branchen hin zu einer der wachstumsstärksten Technologien der Welt ausgebreitet. Untersuchungen, wie die von Gartner oder ABI, gehen von 20 bis 30 Milliarden (!) verbundenen Geräten im Jahr 2020 aus, und die reichen von Sensoren in der Fertigung bis hin zu jedem erdenklichen Haushaltsgerät.

Mit der rasanten Ausbreitung des IoT gehen aber auch wachsende Bedenken hinsichtlich der Sicherheit einher. Die von Ponemon durchgeführte und von Arxan und IBM initiierte 2017 Study on Mobile and IoT Application Security wertete Angaben von rund 600 IT- und Sicherheitsverantwortlichen aus und kam zu dem Ergebnis, dass das IoT als eine der größten Sicherheitsbedrohungen wahrgenommen wird. Demnach sind 70 Prozent der Befragten “sehr besorgt” über unsichere IoT-Geräte in ihrem Arbeitsumfeld, etwas mehr als im Hinblick auf Mobilgeräte (64 Prozent).

Und diese Besorgnis ist nicht unbegründet: In den letzten Monaten kamen immer wieder entsprechende Sicherheitsvorfälle und Schwachstellen ans Licht. Der wohl bekannteste Zwischenfall war die Serie von Angriffen des Botnets Mirai, das massenhaft internetfähige Haushaltsgeräte für die größte DDoS-Attacke der Geschichte genutzt hat. Dabei kamen zahlreiche Webdienste wie Twitter, Spotify und Amazon zum Erliegen. Und auch für den Angriff auf die DSL-Router der Telekom im November 2016, bei dem rund eine Million Router ausgefallen sind, wurde dieses Botnet genutzt.

Zustandsüberwachung mit Sensoren und intelligenten Systemen. Hersteller müssen sich auch Gedanken über die Sicherung solcher Systeme machen. (Bild: Schaeffler)

Noch bedrohlicher sind Sicherheitslücken, durch die unmittelbar Menschen in Gefahr geraten, etwa bei vernetzten Autos oder Medizingeräten. Auch hier gab es in jüngster Zeit Warnungen, Berichte und Entdeckungen von Sicherheitsexperten. Dagegen wirken erfolgreich gehackte Überwachungskameras, welche die Nutzer ausspionieren, fast schon harmlos, was sie aber selbstverständlich nicht sind.

Die meisten IoT-Geräte sind passiv, wie Sensoren in der Produktion oder beim Transport. Durch sie können Waren verfolgt und Produktions- und logistische Abläufe optimiert werden. Aber auch diese Geräte bedeuten ein enormes Risiko, wenn sie nicht richtig geschützt werden, und sie als Eingangstor für die jeweiligen Netzwerke dienen.

Gefährliches Laissez-faire

Trotz all dieser Gefahren zeigt die erwähnte Untersuchung aber einen überraschenden (und nicht minder erschreckenden) Mangel an Dringlichkeitsbewusstsein. Knapp die Hälfte der Befragten (48 Prozent) gab an, dass ihre Unternehmen keinerlei Sicherheitstest für ihre verbundenen Geräte durchführen, 26 weitere Prozent führen keine regelmäßigen Tests durch. In keinem der befragten Unternehmen werden die kritischen Geräte in monatlichen Intervallen auf Gefahren oder Bedrohungen untersucht.

Dabei ist die größte Gefahrenquelle bei vernetzten Geräten eigentlich auch die am leichtesten zu schließende: die Nutzung schwacher oder vorinstallierter Passwörter. Die Mirai-Attacken waren nur möglich, weil viele Geräte noch auf ihren Werkseinstellungen laufen. Die Angreifer mussten auf diese Weise nur die bekannten voreingestellten Nutzernamen mit den ebenfalls voreingestellten Passwörtern kombinieren, um Millionen Geräte weltweit zu infizieren.

Als ersten Schritt in Richtung sichereres IoT müssen Entwickler und Hersteller deshalb dafür Sorge tragen, dass Nutzer ihre Zugangsdaten bei der Installation zwangsläufig ändern, ebenso müssen sicherheitsrelevante Updates einfacher durchführbar sein. Man kann von niemandem verlangen, seine Geräte über nutzerfeindliche Schnittstellen anzusteuern und manuell nach Updates zu suchen und diese dann gegebenenfalls anzustoßen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Um aber einen echten Sprung in Sachen Sicherheit zu machen, müssen Sicherheitsmaßnahmen bereits in der Produktentwicklung eine entscheidende Rolle spielen. Fortschrittliche Applikationshärtungs-Techniken wie Obfuscation (Verschleierung) und Whitebox-Kryptographie sollten zum Standard werden um sicherzustellen, dass Kriminelle nicht den auf den Quellcode der Geräte zugreifen und sie somit manipulieren können. Durch fortschrittliche RASP (Runtime Application Self-Protection)-Technologien können sich (auch eingebettete) Applikationen erfolgreich selbst verteidigen und mit individuell festgelegten Aktionen reagieren, indem sie etwa den App-Betreiber darüber informieren, dass die Software modifiziert wurde.

Aufgrund des Drucks der zahlreichen Sicherheitsvorfälle und entsprechender Gesetzesinitiativen in den USA, der EU und anderen Staaten, wird sich die IoT-Sicherheit in den nächsten Monaten deutlich verbessern. Entwickler tun gut daran, bereits jetzt zu handeln und sicherzustellen, dass in ihren (aktuellen und zukünftigen) Geräten die Sicherheit von vornherein mit eingebaut ist (Security by Design), um sich nicht selbst im Zentrum des nächsten Sicherheitsskandals zu befinden.

Redaktion

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

4 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

4 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

4 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

4 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

4 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

4 Jahre ago