Sicherheit im Internet der Dinge

So leicht ist es, ein IoT-Gerät zu hacken!

| Autor / Redakteur: Michal Salat / Peter Schmitz

Millionen vernetzter Geräte sind inzwischen rund um die Uhr über das Internet erreichbar und oft brauchen Cyberkriminelle nur Minuten um tausende Systeme unter ihre Kontrolle zu bringen.
Millionen vernetzter Geräte sind inzwischen rund um die Uhr über das Internet erreichbar und oft brauchen Cyberkriminelle nur Minuten um tausende Systeme unter ihre Kontrolle zu bringen. (Bild: Pixabay / CC0)

Die Digitalisierung schreitet voran und mit ihr auch das Internet der Dinge (IoT). Smarte Geräte kommunizieren miteinander und vernetzen selbst die sensibelsten Bereiche, um das Leben der Nutzer einfacher zu gestalten. Doch die Technologie hat auch eine Kehrseite, denn zahlreiche Cyberangriffe haben in den letzten Monaten gezeigt, welche Gefahr von der allumfassenden Vernetzung ausgehen kann. Doch wie leicht ist es tatsächlich, ein IoT-Gerät zu hacken?

In unserer modernen Welt sind smarte Geräte, die mit dem Internet der Dinge (IoT) verbunden sind, praktisch allgegenwärtig. Hersteller statten ganz gewöhnliche Gegenstände wie Spielzeug, Möbel, Autos und medizinische Geräte mit smarten Features aus, um sie attraktiver und wettbewerbsfähiger zu machen. Selbst Hersteller von Wasserflaschen fangen an, ihre Flaschen zu vernetzen. Das ist alles schön und gut, und der Trend ist nicht mehr aufzuhalten. Aber eines darf nicht zu kurz kommen: die Sicherheit. Avast hat in einer aktuellen Studie herausgefunden, dass hunderttausende IoT-Geräte Schwachstellen aufweisen. In Deutschland wurden mehr als 820.000 Netzwerke überprüft. Von den fast drei Millionen darin registrierten IoT-Geräten, sind über 175.500 Geräte unsicher. Außerdem weisen fast 140.000 Router (knapp 17 Prozent), mehr als 8.000 Drucker (5 Prozent) und über 1.000 Webcams (13 Prozent) Schwachstellen auf. Die Sicherheitsexperten warnen: Hacker benötigen nur ein einziges ungeschütztes Gerät, um eine Vielzahl von Geräten in ein riesiges Botnet zu verwandeln und für kriminelle Aktivitäten fernzusteuern.

Deswegen geraten Hersteller von IoT-Geräten zunehmend unter Druck, ihre Geräte mit Intelligenz auszustatten und sie immer schneller auf den Markt zu bringen; und kostengünstig sollen sie auch noch sein. Kein Wunder, dass die Sicherheit dabei häufig auf der Strecke bleibt. Ein Hersteller von Küchengeräten, der jetzt plötzlich smarte Toaster herstellt, hat sich nie zuvor mit Hackerangriffen und diesbezüglichen Sicherheitsvorkehrungen auseinandersetzen müssen und ist deshalb in dieser Hinsicht besonders verletzlich. Hinzu kommt, dass es in dieser Industrie bisher keinerlei Auflagen oder Anforderungen gibt, die die Hersteller bezüglich der Sicherheit ihrer smarten Geräte einhalten müssen. Stattdessen sind sie sich selbst überlassen, Kommunikationsstandards zu entwickeln, und da ist Sicherheit nicht unbedingt die oberste Priorität. Es überrascht also nicht, dass die intelligenten Geräte oft ohne Sicherheitsmechanismen auf den Markt kommen.

Bedroht das IoT-Botnetz »Reaper« vernetzte Produktionen?

Netztransparenz – die zweite Verteidigungslinie

Bedroht das IoT-Botnetz »Reaper« vernetzte Produktionen?

15.11.17 - Bisher sind ausschließlich IoT-fähige Geräte betroffen, doch der Übergang zum IIoT ist fließend und die Angreifer zeigen sich äußerst agil. lesen

Wie verletzlich sind IoT-Geräte?

Da es den smarten Geräten an Sicherheitsfunktionen fehlt, sind sie ein richtiger Glücksfall für Hacker und können mit verschiedenen Methoden angegriffen werden, angefangen von rudimentären Brute-Force-Methoden zum Knacken der Logindaten bis zu ausgeklügeltem Reverse Engineering. Oder es werden empfindliche Stellen und so genannte Zero-Day-Lücken im Betriebssystem ausgenutzt. Serviceleistungen und Angriffsmöglichkeiten zum Hacken von IoT-Geräten werden im Darknet angeboten, wo man sich leicht bedienen kann. Außerdem sind die Cyberkriminellen ständig damit beschäftigt, neue Arten von Netzwerken sowie Kommunikationsformen zu infiltrieren und die Kontrolle über diese an sich zu reißen.

Cyberkriminelle machen sich auch Shodan zunutze, um einen Überblick über verletzliche IoT-Geräte zu erhalten. Mit dieser Suchmaschine sucht man nicht nach Internetseiten, sondern nach Geräten, die mit dem Internet der Dinge verbunden sind und möglicherweise Schwachstellen aufweisen – von Systemen für das vernetzte Zuhause über Ampelanlagen und Sicherheitskameras. Dadurch ist die Suchmaschine nicht nur unter Sicherheitsforschern mit guten Intentionen beliebt, sondern auch bei Cyberkriminellen, da mögliche Angriffsziele einfach aufgespürt werden können. Shodan scannt das Internet, analysiert die Ergebnisse und speichert die Informationen in einer Datenbank ab. So sammelt die Suchmaschine jeden Monat Informationen von mehr als 500 Millionen mit dem Internet verbundenen Geräten und Diensten. Shodan verdeutlicht das Grundproblem des wachsenden IoT und zeigt, welche Folgen die mangelnde Sicherheit vieler vernetzter Geräte nach sich ziehen kann.

Malware trickst Virenscanner mit legitimen Zertifikaten aus

IT-Security

Malware trickst Virenscanner mit legitimen Zertifikaten aus

12.11.17 - Den Missbrauch von digitalen Unterschriften und Zertifikaten haben Forscher der Universität von Maryland untersucht. Bei 189 Malware-Proben wurden legitime Zertifikate gefunden. Damit können Hacker viele Schutzmechanismen austricksen, indem sie ihre Schadprogramme als harmlose Software ausgeben. lesen

Wie schwierig ist es, ein IoT-Gerät zu hacken?

Nachdem Cyberkriminelle verletzliche IoT-Geräte entdeckt haben, müssen sie nur noch wissen, wie das Gerät gehackt werden kann – und das ist erstaunlich leicht. Der einfachste Weg, ein smartes Gerät zu hacken, ist die Brute-Force-Methode zum Ermitteln des Kennworts oder die Verwendung der ab Werk vorgegebenen Logindaten. Botnets, die man sich im Darknet ausleihen kann, ermöglichen es den Hackern, mühelos Tausende von Geräten auf einen Schlag zu infizieren. Viele Hersteller verwenden aus Kostengründen dieselben Standard-Logindaten für all ihre Geräte, statt für jedes ein eigenes Kennwort zu definieren.

Eine der schlimmsten Bedrohungen im Internet der Dinge des letzten Jahres war das Mirai Botnet, das Tausende von smarten Geräten infizierte, indem es mithilfe von Standard-Logins massive DDoS-Angriffe auslöste. Da der Quellcode von Mirai veröffentlicht wurde, kann praktisch jeder sein eigenes IoT-Botnet betreiben oder den Programmiercode beliebig umschreiben – deshalb sind zahlreiche Mutationen von Mirai aufgetaucht.

Andere Arten zur Infizierung eines IoT-Geräts sind sehr viel komplexer und nur gegen teures Geld zu haben - und deshalb weniger häufig. Das Reverse-Engineering von Firmware oder eines Betriebssystems erfordern fundierte technische Kenntnisse und zeitliche Investitionen. Sogenannte „Zero-Day-Lücken“, die Schwachstellen ausnutzen, kosten Tausende von Dollar.

Kriminelle greifen IoT-Geräte an

Linux im Visier

Kriminelle greifen IoT-Geräte an

22.10.17 - Smarte Geräte locken nicht nur Käufer, sondern auch Kriminelle an. Neue Malware versucht die Geräte zu übernehmen und anschließend die Ressourcen zu missbrauchen. lesen

Was ist zu tun, um IoT-Geräte besser zu schützen?

Eine mögliche und wirkungsvolle Lösung zur Verbesserung der Sicherheit im IoT bestünde darin, den Anwendern die Möglichkeit zu geben, die Logindaten für ihre smarten Geräte auf einfache Weise zu ändern. Beispielsweise könnten Hersteller ihre Kunden dazu „zwingen“, die Logindaten ihrer Geräte zu ändern, indem sie die Eingabe eines eindeutigen und „starken“ Kennworts zu einem obligatorischen Schritt bei der ersten Inbetriebnahme des Geräts machen. Selbstverständlich lässt sich dies nicht immer umsetzen. Aber tatsächlich würde das Ändern der Logindaten die Zahl der „sicherheitsgefährdeten“ Geräte um ein Vielfaches reduzieren und Hackern, Möchtegern-Hackern und einfachen Such-Bots das Eindringen in IoT-Geräte erheblich erschweren. Alternativ könnten IoT-Gerätehersteller jedem Gerät ein eindeutiges, zufällig generiertes Kennwort zuweisen und dieses zusammen mit dem Gerät an den Kunden senden.

Die Ausgabe von Patch-Updates zum Schließen von Schwachstellen könnte helfen, smarte Geräte gegen derartige Angriffe immun zu machen. Hersteller verwenden heute oft überholte Versionen verschiedener Bibliotheken und Betriebssysteme, für die bereits erfolgreiche Angriffsmethoden entwickelt worden sind. Deshalb sind diese Geräte äußerst empfindlich. Außerdem gibt es sehr viele Geräte, deren Firmware nicht aktualisiert werden kann. Wenn also ein Hacker eine Schwachstelle nutzt, bleibt keine andere Möglichkeit als das Gerät für immer vom Netz zu trennen und es durch ein sichereres zu ersetzen.

Schwachstellensuche im Internet of Things

IoT Security Scanner

Schwachstellensuche im Internet of Things

28.12.16 - IT-Sicherheit ist die große Schwachstelle des Internet of Things. Das IoT steckt voller Sicherheitslücken, so warnen viele aktuelle Studien, doch wie findet man diese Schwachstellen und wie sichert man sie ab? lesen

Das Absichern von smarten Geräten würde nicht nur die persönliche Sphäre der Konsumenten schützen und DDoS-Angriffe verhindern, sondern könnte auch weit schlimmeren Dingen einen Riegel vorschieben. Es gab schon Proof-of-Concept-Attacken, die bewiesen haben, wie ganze IoT-Netze über ein einziges anvisiertes Gerät infiziert werden können, etwa eine Glühbirne oder ein Verkehrssensor. Solche Proof-of-Concept-Angriffe beweisen, was für ein massives Problem verletzliche smarte Geräte darstellen, und welche Schäden entstehen können, wenn die falschen Leute sie unter ihre Kontrolle bekommen. Man kann sich leicht vorstellen, wie Hacker den Verkehr durcheinanderbringen oder die Lichter einer ganzen Stadt ausschalten könnten. Hersteller von smarten Geräten müssen deswegen mit Sicherheitsexperten zusammenarbeiten und dafür sorgen, dass die Geräte mit den notwendigen Sicherheitsvorkehrungen ausgestattet und entsprechenden Tests unterzogen werden.

Über den Autor: Michal Salat arbeitet seit 2010 für die Avast Threat Labs und leitet heute als Threat Intelligence Director ein Team von zehn Analysten. Mit seinem Team konzentriert er sich auf die Identifizierung und Analyse neuer Malware-Arten. Zuvor war er als Programmierer und Networkadministrator tätig. Er hat einen Master-Abschluss für Systemprogrammierung von der Tschechischen Technischen Universität in Prag.

Cybersicherheit: Was kommt 2018 auf uns zu?

GlobalSign-Prognose

Cybersicherheit: Was kommt 2018 auf uns zu?

31.10.17 - WannaCry, Datenklau bei Equifax (der amerikanischen Schufa) und jetzt das Botnetz Reaper: 2017 war (ist?) für die Profis im Bereich Cybersicherheit ein arbeitsreiches Jahr. Was aber steht uns 2018 bevor? Die Experten von GlobalSign haben in die "Kristallkugel" geschaut. Hier sind ihre Prognosen. lesen

Dieser Beitrag stammt von unserem Partnerportal Security Insider.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45020299 / Security)