Das Thema Internet der Dinge, im Folgenden kurz IoT genannt, taucht seit einigen Jahren verstärkt in der Fachpresse auf. Dieser Beitrag soll einen kurzen Überblick bieten.
Um was handelt es sich eigentlich, wenn wir vom IoT sprechen?
Das IoT bezeichnet Gegenstände, in denen ein Computer eingebettet ist, ohne selbst als PC in Erscheinung zu treten und die mit dem Internet verbunden sind. Diese Gegenstände werden auch als „intelligente Gegenstände“ bezeichnet. Prognosen gehen davon aus, dass bis zum Jahre 2020 rund 25 Milliarden Geräte an das Internet angeschlossen sein werden. Diese Gegenstände können Daten sammeln, auswerten und sich vernetzen.
Was sind Anwendungsgebiete des IoT?
- Smart Cars, das heißt vernetzte und autonom fahrende Autos.
- Smart Home Heimanwendungen, z.B. automatisch gesteuerte Heizungsanlagen oder Beleuchtungen.
- E-Health in Form von Fitness Trackern bis hin zu vernetzten Zahnbürsten, Waagen und vieles andere mehr.
- Industrieanwendungen unter dem Stichwort „Industrie 4.0“ zur Steuerung und Überwachung von Produktionsprozessen.
Welche Chancen bietet das IoT?
Das IoT bietet dem Konsumenten die Möglichkeit, alltägliche Dinge zu vereinfachen und effizienter zu gestalten. Hierbei vergisst der Nutzer oft, dass es sich bei IoT Geräten um Computer handelt, die personenbezogenen Daten sammeln und weitergeben können. Dieser Umstand sollte sorgfältig gegen den Nutzen abgewogen werden.
Im Unternehmensbereich können durch die Einbindung von IoT Anwendungen in bestehende Produkte neue Geschäftsmodelle erschlossen werden. Zusätzlich zum reinen Verkauf des Produktes können Services angeboten werden, die die Funktionalität sicherstellen und erweitern.
Welche Probleme und Risiken gibt es?
Probleme bestehen in industriellen Anwendungen im gesellschaftlichen Bereich durch Abbau von Arbeitsplätzen im Zuge zunehmender Automatisierung. Aber auch im Bereich der IT-Sicherheit gibt es einige Risiken, auf die ich hier näher eingehen möchte.
Das Grundproblem besteht darin, dass IoT Geräte kein einheitliches Betriebssystem, keine einheitlichen Sicherheitsstandards sowie oftmals auch kein grafisches Interface besitzen. Das macht es schwierig, klassische Sicherheitsmaßnahmen wie die Nutzung von Antivirenprogrammen oder das Einrichten einer Firewall durchzuführen. Zudem ist die verbaute Hardware häufig zu schwach um sichere Verschlüsselungs- und Authentifizierungsmöglichkeiten bereitzustellen.
Wie können konkrete Angriffe aussehen?
1. DDoS (Distributed Denial of Service)
Bei dieser Angriffsform greifen mehrere Computer gleichzeitig und im Verbund (Botnet) eine Webseite oder eine komplette Netz-Infrastruktur an. Die Angriffe beabsichtigen eine Überlastung der Server, mit der Folge, dass sie ausfallen.
2. Man-in-the-Middle Angriff
Bei dieser Angriffsform platziert sich der Hacker zwischen dem Opfer und der Ressource die das Opfer in Anspruch nimmt, z.B. eine Bank Webseite oder sein E-Mail Konto. Er kann die gesendeten Daten abfangen und dementsprechend die Antwort manipulieren z.B eine gefälschte Kontonummer an den Server schicken auf die dann Geld überwiesen wird.
3. Ransomware
Ransomware ist auch als Erpressungs- oder Verschlüsselungstrojaner bekannt. Es werden private Dateien auf einem fremden Computer verschlüsselt. Um wieder an den Schlüssel zu gelangen wird eine Lösegeldforderung gestellt.
Alle diese klassischen Angriffsarten werden zunehmend auch im IoT angewendet. So wurden schon Smart TVs und selbst Thermostate gekapert und manipuliert. Auch im Automobilbereich sind solche Fälle bekannt geworden, wobei es hierbei natürlich zu lebensgefährlichen Vorfällen durch die Manipulation von Gas und Bremspedalen kommen kann.
Was kann man tun?
Ein wichtiger Ansatzpunkt ist, dass schon beim Produktdesign von IoT Anwendungen der Sicherheitsaspekt möglichst umfassend betrachtet werden muss. Dies wird als „Security by Design“ bezeichnet.
Hauptziel dieser Vorgehensweise ist, zu vermeiden, dass in Systemen Sicherheitslücken auftreten, die aufwendig gepatcht werden müssen. Dies ist im IoT aufgrund der heterogenen Struktur der Systeme besonders schwer bis unmöglich. Der entscheidende Punkt bei der Entwicklung von IoT Software ist die Verschlüsselung. Diese muss sowohl bei der Übertragung von Gerät zu Gerät als auch zu den oft dazugehörigen Apps oder Cloud Anwendungen gewährleistet sein.
Ein zweiter wichtiger Punkt ist eine sichere Authentifizierung (starke Passwörter).
Konkrete Ratschläge der Firma Sophos.
Sophos ist ein britisches, international tätiges Unternehmen, das Sicherheitssoftware entwickelt und selbst verkauft. Dazu gehören Virenschutz, Datenschutz, Verschlüsselungssoftware, Schutz vor Spam, Phishing, Adware, Spyware und Malware für den Unternehmensbereich sowie Universitäten und andere öffentliche Einrichtungen.
Die Firma Sophos empfiehlt in Ihrem Firmenblog sieben Maßnahmen und Fragestellungen um das IoT sicherer zu machen. (Quelle: https://nakedsecurity.sophos.com/2016/03/07/7-tips-for-securing-the-internet-of-things/)
1. Richten Sie Ihrem IoT ein eigenes Netzwerk ein
Hier geht es darum den IoT Geräte vom PC, Tablet oder Smartphone zu isolieren, um diese bei einem Angriff zu schützen.
2. Vermeiden Sie unkontrolliertes Plug & Play
Spezielle Suchmaschinen können IoT Geräte ausfindig machen. Um zu verhindern, dass sich die Geräte über Firewall und Router mit dem Internet verbinden, sollte die sogenannte UPnP (Universal Plug & Play) Funktion am Router deaktiviert werden.
3. Aktualisieren Sie die Firmware
Informationen und die aktuellen Versionen findet man auf den Webseiten der Hersteller.
4. Sichere Passwörter wählen
Obwohl ein zur Genüge gehörter Ratschlag sind Passworthacks immer noch sehr häufig. Ausreichend komplexe und einzigartige Passwörter nutzen. Niemals dasselbe Passwort für mehrere Geräte benutzen.
5. Muss das Gerät wirklich in die Cloud?
Cloud Anwendungen erhöhen das ohnehin oft schon hohe Risiko der Anwendungen nochmals!
6. Fernsehen auf allen Geräten?
Ein Gerät als Smart TV reicht. Nicht zusätzlich noch WLAN-fähige Blu-Ray Player u.ä. ins Netz bringen.
7. Hände weg vom Firmennetzwerk
Keine IoT Geräte an Firmenrechner anschließen.
Es ist zwar nicht möglich, IoT Geräte, die mit wenig Priorität auf Sicherheitsaspekte entwickelt wurden, so zu schützen wie klassische Endgeräte, trotzdem gibt es Ansatzpunkte, um Schäden zu verhindern.
Hier können die Produkte von Sophos eine wichtige Komponente sein.
IoT Geräte verbinden sich in der Regel per WLAN mit dem Internet. Das Produkt Sophos SG UTM integriert in seinen umfassenden Schutzfunktionen einen Wireless Controller und bietet Wireless Access Points an.
Mit diesen Access Points ist es möglich, mehrere separate WLAN-Zonen einzurichten. Es können Gastzugänge eingerichtet werden, z.B. für einen Tag.
IoT-Geräte können in so einer Zone separiert werden. Sollte ein IoT-Gerät gehackt werden, ist dadurch gewährleistet, dass die Integrität der anderen Netze nicht gefährdet ist. Firmensensible Daten bleiben so sicher.
Ein weiterer wichtiger Punkt ist die Unterstützung der neuesten Verschlüsselungsstandards WPA-2 Enterprise und IEEE 802.1X.
Fazit:
Das IoT ist ein Trendthema, auf das sehr viele Firmen und Privatpersonen mit Begeisterung aufspringen. Anwendungen, die dem Consumer das Leben erleichtern, steht auch sehr viel sinnlose Spielerei gegenüber. Der Sicherheitsaspekt wird noch unzureichend gewürdigt weswegen man zurückhaltend mit der Anwendung von IoT Anwendungen sein sollte.