IoT lässt sich nicht aufhalten – aber lässt es sich schützen?
Die Idee des Internets der Dinge hat sich in den letzten Jahren wie eine Lawine von einer Nische mit Einsätzen in einigen Branchen hin zu einer der wachstumsstärksten Technologien der Welt ausgebreitet. Untersuchungen, wie die von Gartner oder ABI, gehen von 20 bis 30 Milliarden (!) verbundenen Geräten im Jahr 2020 aus, und die reichen von Sensoren in der Fertigung bis hin zu jedem erdenklichen Haushaltsgerät.
Mit der rasanten Ausbreitung des IoT gehen aber auch wachsende Bedenken hinsichtlich der Sicherheit einher. Die von Ponemon durchgeführte und von Arxan und IBM initiierte 2017 Study on Mobile and IoT Application Security wertete Angaben von rund 600 IT- und Sicherheitsverantwortlichen aus und kam zu dem Ergebnis, dass das IoT als eine der größten Sicherheitsbedrohungen wahrgenommen wird. Demnach sind 70 Prozent der Befragten “sehr besorgt” über unsichere IoT-Geräte in ihrem Arbeitsumfeld, etwas mehr als im Hinblick auf Mobilgeräte (64 Prozent).
Und diese Besorgnis ist nicht unbegründet: In den letzten Monaten kamen immer wieder entsprechende Sicherheitsvorfälle und Schwachstellen ans Licht. Der wohl bekannteste Zwischenfall war die Serie von Angriffen des Botnets Mirai, das massenhaft internetfähige Haushaltsgeräte für die größte DDoS-Attacke der Geschichte genutzt hat. Dabei kamen zahlreiche Webdienste wie Twitter, Spotify und Amazon zum Erliegen. Und auch für den Angriff auf die DSL-Router der Telekom im November 2016, bei dem rund eine Million Router ausgefallen sind, wurde dieses Botnet genutzt.
Noch bedrohlicher sind Sicherheitslücken, durch die unmittelbar Menschen in Gefahr geraten, etwa bei vernetzten Autos oder Medizingeräten. Auch hier gab es in jüngster Zeit Warnungen, Berichte und Entdeckungen von Sicherheitsexperten. Dagegen wirken erfolgreich gehackte Überwachungskameras, welche die Nutzer ausspionieren, fast schon harmlos, was sie aber selbstverständlich nicht sind.
Die meisten IoT-Geräte sind passiv, wie Sensoren in der Produktion oder beim Transport. Durch sie können Waren verfolgt und Produktions- und logistische Abläufe optimiert werden. Aber auch diese Geräte bedeuten ein enormes Risiko, wenn sie nicht richtig geschützt werden, und sie als Eingangstor für die jeweiligen Netzwerke dienen.
Gefährliches Laissez-faire
Trotz all dieser Gefahren zeigt die erwähnte Untersuchung aber einen überraschenden (und nicht minder erschreckenden) Mangel an Dringlichkeitsbewusstsein. Knapp die Hälfte der Befragten (48 Prozent) gab an, dass ihre Unternehmen keinerlei Sicherheitstest für ihre verbundenen Geräte durchführen, 26 weitere Prozent führen keine regelmäßigen Tests durch. In keinem der befragten Unternehmen werden die kritischen Geräte in monatlichen Intervallen auf Gefahren oder Bedrohungen untersucht.
Dabei ist die größte Gefahrenquelle bei vernetzten Geräten eigentlich auch die am leichtesten zu schließende: die Nutzung schwacher oder vorinstallierter Passwörter. Die Mirai-Attacken waren nur möglich, weil viele Geräte noch auf ihren Werkseinstellungen laufen. Die Angreifer mussten auf diese Weise nur die bekannten voreingestellten Nutzernamen mit den ebenfalls voreingestellten Passwörtern kombinieren, um Millionen Geräte weltweit zu infizieren.
Als ersten Schritt in Richtung sichereres IoT müssen Entwickler und Hersteller deshalb dafür Sorge tragen, dass Nutzer ihre Zugangsdaten bei der Installation zwangsläufig ändern, ebenso müssen sicherheitsrelevante Updates einfacher durchführbar sein. Man kann von niemandem verlangen, seine Geräte über nutzerfeindliche Schnittstellen anzusteuern und manuell nach Updates zu suchen und diese dann gegebenenfalls anzustoßen.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Um aber einen echten Sprung in Sachen Sicherheit zu machen, müssen Sicherheitsmaßnahmen bereits in der Produktentwicklung eine entscheidende Rolle spielen. Fortschrittliche Applikationshärtungs-Techniken wie Obfuscation (Verschleierung) und Whitebox-Kryptographie sollten zum Standard werden um sicherzustellen, dass Kriminelle nicht den auf den Quellcode der Geräte zugreifen und sie somit manipulieren können. Durch fortschrittliche RASP (Runtime Application Self-Protection)-Technologien können sich (auch eingebettete) Applikationen erfolgreich selbst verteidigen und mit individuell festgelegten Aktionen reagieren, indem sie etwa den App-Betreiber darüber informieren, dass die Software modifiziert wurde.
Aufgrund des Drucks der zahlreichen Sicherheitsvorfälle und entsprechender Gesetzesinitiativen in den USA, der EU und anderen Staaten, wird sich die IoT-Sicherheit in den nächsten Monaten deutlich verbessern. Entwickler tun gut daran, bereits jetzt zu handeln und sicherzustellen, dass in ihren (aktuellen und zukünftigen) Geräten die Sicherheit von vornherein mit eingebaut ist (Security by Design), um sich nicht selbst im Zentrum des nächsten Sicherheitsskandals zu befinden.