Sicherheit beim Internet der Dinge (IoT)

Von Amazonas Alexa zu Ring's Video Türklingel, das Internet der Dinge (Internet of things/IoT) setzt die Transformation der Technologie fort. Es verbessert zwar die Art und Weise, wie Menschen leben können, stellt aber gleichzeitig, durch die Geschwindigkeit der Innovationen, die IT-Sicherheit vor neue Herausforderungen.

Steigende Sicherheitsbedenken

Angesichts der jüngsten Cyber-Security-Fälle steigt die Bedeutung der Sicherheit bei IoT-Geräten. Der wachsende Markt für IoT-Gadgets hat sich zu einer Herausforderung für Unternehmen entwickelt. Gefahren lauern, wie man am Beispiel eines Unternehmens darstellen kann, vor allem beim Einsatz in Konferenzräumen, Executive-Suiten und sogar innerhalb eines kostengünstigen Gebäude-Sicherheitskamerasystems. Laut Craig Young, einem Cybersecurity Forscher bei Tripwire, ist ein Hauptgrund des Problems, dass Firmware nicht regelmäßig aktualisiert wird.

Dies im Hinterkopf, waren Forscher an der Universität von Michigan vor kurzem in der Lage in die Samsung SmartThings Plattform hinein zu hacken und ein komplettes Hausautomationssystem zu steuern. Unternehmen werden zwar über die Sicherheitsbedrohung informiert, installieren aber oft neue Geräte und ignorieren oder verschieben oftmals das Patching des Gerätes.

Warum ist das wichtig?

Young sagt, auch der häufigste Hack sei, in ein verbundenes Home-Hub einzubrechen. Hierbei handelt es sich um angeschlossene Geräte wie Türschlösser, Bewegungsmelder, Sprinkleranlagen und Alarmanlagen. Überraschenderweise gibt es aktuell nur wenige Sicherheits-Apps, die IoT-Geräte überwachen können. Wenn Unternehmen drahtlose Geräte für ihre Büros einsetzen, wie Bluetooth-Mäuse und drahtlose Tastaturen, haben sie meist ein sehr eingeschränktes Wissen darüber, wer die Firmware entwickelt hat, die auf den Geräten läuft. Ohne wirklichen Sicherheitseinsatz und der wachsenden Menge der mit dem Internet verbundenen Geräten werden die Bedrohungen weiter zunehmen.

Vorsicht vor Botnets

IoT-Geräte können anfällig für sogenannte Botnets sein. Hierbei handelt es sich um eine privat genutzte Gruppe von Systemen, die über Malware gesteuert werden. Botnets verteilen Denial-of-Service (DDoS) Angriffe, die auf Systeme abzielen und diese lahmlegen können. Geräte-Nutzer müssen sich bewusst sein, welche sie mit dem Internet verbinden und dass das Standard-Passwort in ein schwer-zu-erratendes Passwort geändert wird.

Wie man IoT-Geräte sichert

Größere IoT-Unternehmen, wie Belkin, scheinen sich der Sache anzunehmen und auf Firmware-Probleme zu reagieren oder zumindest das wachsende Problem anzuerkennen. Der beste Weg, um Datenschutz zu gewährleisten und Botnets zu bekämpfen, sind Geräte, die sich gegen andere Systeme authentifizieren müssen und dabei so konfiguriert werden, dass sichere einzigartige (unique) IDs und Passwörter genutzt werden. In manchen Fällen kann es auch möglich sein, Verschlüsselungsschlüssel zum Schutz der Geräteidentität zu implementieren. Spezielle IoT-Geräte mit dieser Fähigkeit sind dabei auch sogenannte Closed-Circuit-TVs oder DVR-Geräte. Andere Methoden, die verwendet werden können, umfassen den Einsatz von SSL-Zertifikaten. Die Recherche nach passenden Produkten und die Umsetzung dieser Fähigkeiten wird ein guter Ausgangspunkt für eine verbesserte IoT-Sicherheit sein.

Aufgrund der steigenden Menge an IoT-Geräten können nun Angreifer massive DDoS-Angriffe gegen Unternehmen und Organisationen generieren. Mit einem geeigneten Risikoprüfungsplan wird es helfen, den Verkehr zu bekämpfen, bevor er die Organisation erreicht. Ein geeigneter und aktiver Risiko-Response-Plan (Risk Response Plan) kann  DDoS-Traffic bekämpfen, bevor er das Unternehmen erreicht. Darüber hinaus können IoT-Geräte hardwarebasierte Trust Anchor nutzen. Diese nutzen einen vertrauenswürdigen Boot-Prozess, um sicherzustellen, dass Geräte in einem bekannten gesicherten Zustand arbeiten und Inhalte privat bleiben.

Obwohl IoT-Geräte große Vorteile bieten, ist es entscheidend, sich in diesem Bereich permanent weiterzubilden, zu informieren und auf Sicherheitsbedrohungen gegenüber einer Person und einem Unternehmen vorzubereiten.