Die fünf größten IoT-Bedrohungen und wie man sich dagegen wehren kann
Im Kern ist das Internet der Dinge (IoT) das Konzept der Verbindung von Geräten mit dem Internet und anderen verbundenen Geräten. In der Praxis ist das IoT ein riesiges Netzwerk miteinander verbundener Dinge und Menschen, die Daten übereinander und ihre Umgebung sammeln und austauschen.
Die vernetzten Dinge im Netzwerk kommen in allen Formen und Größen vor und können praktisch alles sein. Es könnte Ihre intelligente Glühbirne sein, die sich automatisch einschaltet, wenn Sie Ihr Zuhause betreten. Oder es könnte Ihr Fitnessarmband sein, das Ihre Herzfrequenz und die Anzahl der verbrannten Kalorien misst. Und es könnte auch das selbstfahrende Auto sein, das Sie vielleicht in ein paar Jahren kaufen können, das Objekte auf seinem Weg erkennen kann. Sie alle gelten als IoT-Geräte.
Eines haben sie jedoch alle gemeinsam: Sie verfügen über Sensoren, die es ihnen ermöglichen, Daten zu sammeln, die normalerweise mit einem oder mehreren Remote-Servern geteilt werden. Diese Remote-Server führen Analysen dieser Daten durch und geben die resultierenden Informationen dann an das Ursprungsgerät und in vielen Fällen an andere Anwendungen und Server weiter. Diese anderen Server führen wie der erste eine Analyse der empfangenen Informationen durch und senden aller Wahrscheinlichkeit nach einige Informationen an das Gerät sowie an andere Anwendungen und Server zur weiteren Analyseverarbeitung und Weitergabe zurück. Und der Zyklus geht weiter, bis Sie das Gerät trennen oder ausschalten.
In gewisser Weise stellen IoT-Geräte eine Art Rückkopplungsschleife persönlicher, biometrischer und Umweltinformationen dar. Und die aus diesem Prozess gewonnenen Informationen können Einblicke in alles geben, von der Intensität Ihres Trainings bis hin zur Anzahl der Kellner, die an einem bestimmten Abend in einem lokalen Restaurant besetzt sein sollten.
Obwohl dies harmlos und nützlich erscheinen kann, bergen IoT-Geräte einige erhebliche Sicherheitsrisiken. In diesem Beitrag betrachten wir die fünf größten Sicherheitsrisiken, die mit IoT-Geräten einhergehen, und zeigen Möglichkeiten auf, diese zu mindern.
1. Schwache Standardpasswörter
Viele, wenn nicht die meisten IoT-Geräte sind aus vielen Gründen unsicher. Einer dieser Gründe ist, dass die meisten von ihnen über ein fest codiertes eingebettetes Passwort verfügen. Dies ist ein Segen für Hacker, die in diese Geräte eindringen möchten, da sie nicht lange brauchen, um das Standardkennwort herauszufinden. Und selbst wenn sie nicht wussten, was es war, sind die meisten Standard-IoT-Passwörter aus Gründen der Benutzerfreundlichkeit leicht zu erraten.
Im Jahr 2016 nutzten böswillige Akteure die Mirai-Malware konnten 400.000 IoT-Geräte infizieren Router an Videokameras mithilfe einer Datenbank mit gängigen, fest codierten Standardkennwörtern. Dadurch entstand der weltweit größte Botnetz , die anschließend einen massiven Distributed Denial-of-Service (DDoS)-Angriff auslöste. Der DDoS Durch den Angriff konnten einige der größten Websites im Internet lahmgelegt werden: Amazon Web Services, GitHub, Netflix und Twitter.
Schadensbegrenzung
Benutzer sollten das Standardpasswort ihres Geräts sofort in ein langes und komplexes Passwort ändern und kein Passwort wiederverwenden, das sie für ein anderes Konto verwenden. Um dabei zu helfen, empfiehlt es sich, einen Passwort-Manager zu verwenden, der Ihre komplexen Passwörter nicht nur speichern, sondern auch für Sie generieren kann.
Hersteller von IoT-Geräten sollten während des Einrichtungsprozesses eine Passwortänderung erzwingen. Sie sollten ihre Produkte auch so gestalten, dass sie sichere Standardeinstellungen enthalten, einschließlich Mindestanforderungen an Passwörter (d. h. Länge, Groß- und Kleinbuchstaben, Zahlen und Symbole). Darüber hinaus sollten Hersteller bauen Zwei-Faktor-Authentifizierung (2FA), biometrische Authentifizierung oder digitale Zertifikate (Public Key Infrastructure) in die Geräte ein, um eine sichere Authentifizierung zu gewährleisten.
2. Fehlende Sicherheitsupdates
Die meisten IoT-Geräte sind auf Einfachheit, Konnektivität und Benutzerfreundlichkeit ausgelegt, nicht auf Sicherheit. Und das ist ein Problem. Vielleicht war es vollkommen sicher, als das Gerät zum ersten Mal verfügbar gemacht wurde. Aber mit der Zeit und dem Fortschritt der Computerwelt werden Schwachstellen fast immer entdeckt – und ausgenutzt. Und viele IoT-Geräte erhalten einfach nie Firmware-Updates oder Sicherheitspatches, selbst wenn sie jahrelang oder vielleicht jahrzehntelang verwendet werden (denken Sie an WLAN-Router).
Im Dezember 2017 wurde die Satori-Malware gelang es, in nur 12 Stunden über 100.000 WLAN-Router zu infizieren. Den Angreifern gelang der Angriff, indem sie auf Geräte abzielten, die bekannte Sicherheitslücken aufwiesen – alte Router waren da genau das Richtige. Die Schwachstellen dürften bereits seit Jahren auf den Routern vorhanden gewesen sein. Doch ohne die Veröffentlichung eines Sicherheitspatches durch den Hersteller blieb den Benutzern nichts anderes übrig, als ihren Router vom Netz zu nehmen und einen neuen zu kaufen.
Schadensbegrenzung
Der Handlungsspielraum ist hier eher begrenzt. Aber ich sage, dass Nutzer ihren handelsüblichen WLAN-Router nach ein paar Jahren wechseln sollten. Wenn Sie der Meinung sind, dass Sie über ausreichende technische Fähigkeiten verfügen, können Sie das ausführen pfSense oder OPNSense-Software, anstatt einen kommerziellen Router zu verwenden. pfSense und OPNSense sind Open-Source-Firewall- und Router-Software (und kostenlos), die auf dem FreeBSD-Betriebssystem basiert. Mit etwas technischem Geschick können Sie es auch auf einem alten PC einrichten, sofern dieser über mindestens zwei Netzwerkschnittstellen verfügt. Sowohl pfSense als auch OPNSense bieten regelmäßige Updates, um neue Funktionen hinzuzufügen und bekannte Schwachstellen zu beheben.
Hersteller sollten zumindest kritische Angaben machen Sicherheitspatches für ihre Geräte, wenn nicht regelmäßige Firmware-Updates. Sie sollten auch alle entdeckten Schwachstellen offenlegen, auch wenn sie diese nicht beheben können oder wollen. Auf diese Weise wären sich Benutzer zumindest der Schwachstelle ihres Geräts bewusst, anstatt sich der Illusion von Sicherheit hinzugeben (was schlimmer ist, als zu wissen, dass man unsicher ist).
3. Fehlende Verschlüsselung (während der Übertragung und im Ruhezustand)
Einige der größten Bedrohungen, die von IoT-Geräten ausgehen, hängen mit unsicherer Kommunikation und Datenspeicherung zusammen. Dieses Problem, gepaart mit der Tatsache, dass die meisten IoT-Geräte über schwache Sicherheitsmaßnahmen verfügen (siehe Punkte 1 und 2), öffnet Tür und Tor für Datendiebstahl, Datenveränderung und Ransomware-Angriffe, bei denen Angreifer die sensiblen Daten einer Organisation verschlüsseln und im Gegenzug ein Lösegeld verlangen für den Entschlüsselungsschlüssel.
Im Jahr 2017 wurde ein Unbenanntes Casino erlitt einen Datenverstoß, bei dem Angreifer eine Datenbank mit High Rollern (sehr wohlhabenden Casinobesuchern) stahlen. Sie brachen in das Netzwerk ein, indem sie einen intelligenten Thermostat manipulierten, der an einem Aquarium in der Lobby des Casinos angebracht war. Den Angreifern gelang es, 10 GB sensibler Daten aus dem Casino zu stehlen.
Schadensbegrenzung
Heimanwender und Organisationen sollten bei der Verwendung von IoT-Geräten die Netzwerksegmentierung praktizieren. Das bedeutet, ein dediziertes Subnetz zu erstellen, das von allen anderen Subnetzen im Netzwerk isoliert ist. Wenn ein böswilliger Akteur auf diese Weise in eines Ihrer unsicheren IoT-Geräte eindringt, bleibt er in diesem Subnetz stecken und kann sich nicht verzweigen. Erwägen Sie auch, den Internetzugang in diesem Subnetz zu blockieren oder zumindest die Domänen einzuschränken, auf die zugegriffen werden kann. Dies kann mit einem erreicht werden Zugriffskontrollliste (ACL).
Hersteller sollten sicherstellen, dass ihre Produkte eine robuste Unterstützung bieten Verschlüsselung für Daten während der Übertragung (wenn Daten gesendet und empfangen werden) und im Ruhezustand (wenn Daten auf dem Gerät gespeichert werden).
4. Datenschutzbedenken
Das Sammeln und Teilen von Daten ist so ziemlich die Aufgabe eines IoT-GerätsZweck– insbesondere Wearables wie Fitnessarmbänder und Haushaltsgeräte wie intelligente Glühbirnen. Diese Geräte neigen dazu, große Mengen vertraulicher Daten (Standort, biometrische Daten, Verhalten) von ihren Benutzern zu sammeln und dann nach Hause zu telefonieren (sie übertragen diese Daten an einen Remote-Server).
Selbstverständlich geschieht dies, um dem Benutzer die angeforderten Informationen oder Dienste bereitzustellen. Aber was passiert mit den Daten auf dem Remote-Server? Jedes Unternehmen ist anders. Es besteht jedoch eine äußerst hohe Wahrscheinlichkeit, dass die Daten (vielleicht auf unbestimmte Zeit) aufbewahrt werden, weitere Analysen durchgeführt werden (um ihren Wert zu steigern) und entweder vermietet oder gewinnbringend an Dritte verkauft werden.
Wo bleibt der Benutzer? Dadurch erhalten sie Drittunternehmen (mit denen der Benutzer größtenteils keine Beziehung hat), Regierungen und möglicherweise Hackergruppen, die aus unbekannten Gründen Zugriff auf vertrauliche Details ihres Lebens haben. Sicherlich bekamen sie im Gegenzug eine Tabelle mit ihrem durchschnittlichen Blutzuckerspiegel der letzten sieben Tage, aber hat sich das wirklich gelohnt?
Schadensbegrenzung
Benutzen Sie sie einfach nicht. Das ist der absolut beste Weg, die mit IoT-Geräten einhergehenden Datenschutzrisiken zu umgehen. Außerdem handelt es sich um eine Low-Tech-Lösung, die jeder implementieren kann.
Für viele wird das natürlich keine praktikable Option sein. Wenn Sie also wie oben beschrieben IoT-Geräte verwenden müssen, stellen Sie Ihre IoT-Geräte in ein segmentiertes Netzwerk und blockieren Sie entweder den Internetzugang, wenn Sie ihn nicht benötigen, oder begrenzen Sie die Domänen, mit denen Ihre IoT-Geräte eine Verbindung herstellen können.
Wenn Sie über ausreichende technische Kenntnisse verfügen, können Sie den Internetzugriff auf Ihre IoT-Geräte blockieren, ihnen aber dennoch den Zugriff auf das lokale Netzwerk erlauben. Dann, durch Einrichten eines VPN-Server Für den Fernzugriff (entweder auf Ihrem Router, wenn dieser VPN unterstützt, oder auf einem dedizierten Linux-Computer) können Sie von außen per VPN auf Ihr Heimnetzwerk zugreifen und lokal auf Ihre IoT-Geräte zugreifen. Auf diese Weise wäre es so, als ob Sie zu Hause mit Ihrem WLAN verbunden wären und Ihre IoT-Geräte nicht in der Lage wären, nach Hause zu telefonieren.
Dieser Ansatz ist natürlich für Haushaltsgeräte (Glühbirnen, Klimaanlagen usw.) sinnvoller als für Fitnessarmbänder, bei denen Sie möglicherweise zumindest einen Teil der Daten an den Erstanbieter-Server übertragen möchten. In diesem Fall müssen Sie jedoch mit einem geringeren Maß an Privatsphäre leben.
5. Schatten-IT
Der Aufstieg von IoT-Geräten führte zu einem erheblichen Anstieg der Schatten-IT. Wenn Mitglieder innerhalb einer Organisation Geräte, Software oder Dienste ohne Wissen oder Genehmigung ihrer IT-Abteilung nutzen, sprechen wir von Schatten-IT. Mit der wachsenden Beliebtheit cloudbasierter Anwendungen ist auch Schatten-IT immer häufiger anzutreffen.
Die von IoT-Geräten ausgehenden Risiken im Hinblick auf Schatten-IT werden weitgehend unbeabsichtigt sein. Es ist unwahrscheinlich, dass Menschen ihre Fitnessarmbänder für arbeitsbezogene Aufgaben verwenden. Aber was passiert, wenn Dutzende oder Hunderte von Menschen in Ihrem Unternehmen mit internetfähigen Fitnessarmbändern zur Arbeit erscheinen und ständig nach Hause telefonieren? Wenn diese Geräte ohne angemessene Schutzmaßnahmen eine Verbindung zu Ihrem Unternehmensnetzwerk herstellen dürfen, ist Ihre Angriffsfläche jetzt viel größer als zuvor. Darüber hinaus verfügen Sie jetzt über Dutzende oder Hunderte unsicherer Zugangspunkte zu Ihrem Netzwerk. Erinnern Sie sich an das Beispiel eines intelligenten Thermostats oben?
Eine Studie von helpsecurity.com Die im Jahr 2020 veröffentlichte Studie analysierte über 5 Millionen IoT-, IoMT- (Internet of Medical Things) und nicht verwaltete vernetzte Geräte im Gesundheitswesen, im Einzelhandel und in der Fertigungsindustrie. Forscher entdeckten eine enorme Anzahl von Schwachstellen, Risiken und schlechten Sicherheitspraktiken bei einer Vielzahl unterschiedlicher Geräte.
Hier ein paar Statistiken aus dem Bericht:
- 5 bis 19 % der IoT-Geräte liefen mit nicht unterstützten älteren Betriebssystemen.
- 51 % der Netzwerkadministratoren waren sich der intelligenten Geräte, die mit ihrem Netzwerk verbunden sind, nicht bewusst.
- 75 % der Einsätze im Gesundheitswesen hatten VLAN Verstöße, bei denen medizinische Geräte dasselbe VLAN wie nichtmedizinische Geräte nutzten
- 86 % Zu den Einsätzen im Gesundheitswesen gehörten mehr als zehn von der FDA zurückgerufene Geräte.
- 95 % der Gesundheitsnetzwerke haben neben Krankenhausüberwachungsgeräten auch Amazon Alexa- und Echo-Geräte integriert.
Schadensbegrenzung
Abgesehen davon, dass die oben aufgeführten Fehler nicht wiederholt werden, sollten Unternehmen nicht zulassen, dass unbekannte Geräte eine Verbindung zu ihren kritischen Netzwerken herstellen. Obwohl nicht luftdicht, MAC-Adressfilterung kann dazu beitragen, nicht autorisierte Geräte von geschützten Netzwerken fernzuhalten. Organisationen, die ein Gastnetzwerk für Außenstehende bereitstellen möchten, sollten sicherstellen, dass das Gastnetzwerk segmentiert ist und nicht auf interne Netzwerke und Ressourcen zugreifen kann.
Sie sollten auch eine explizite Richtlinie zu IoT-Geräten haben, damit Ihre Mitarbeiter sich der Risiken von IoT-Geräten für das Unternehmen bewusst sind. Achtsamkeit wird immer Ihr bester Verbündeter sein. Eine weitere Möglichkeit für IT-Abteilungen besteht darin, ein automatisiertes Asset-Management-Tool einzurichten. Auf diese Weise kann die IT nach nicht autorisierten Geräten (sowie Software und Diensten) suchen, die über Ihr Netzwerk übertragen werden.
Einpacken
Das sind also die fünf größten IoT-Bedrohungen. Natürlich gibt es mehr als fünf Bedrohungen im Zusammenhang mit IoT-Geräten – dies sind nur die häufigsten. Aber ich denke, dass es eine unausweichliche Tatsache gibt, die all diese Risiken miteinander verbindet, und das ist die Tatsache, dass es sich bei IoT-Geräten in der Regel um minderwertige Computergeräte handelt, die von Natur aus unsicher sind. Sie können zwar Maßnahmen ergreifen, um diese Risiken zu mindern, aber es ist ein bisschen so, als würde man sagen, dass man bedenkenlos mit dem Feuer spielen kann …
Die eigentliche Lösung müsste von den Geräteherstellern kommen. Hersteller von IoT-Geräten sollten die Sicherheit in den Vordergrund ihrer Designphilosophie stellen und sie nicht nur im Nachhinein berücksichtigen – sofern sie überhaupt darüber nachdenken.
Bleiben Sie also gesund. Und lassen Sie das Fitnessarmband weg – Menschen trainieren seit Jahrhunderten erfolgreich ohne sie.