Die Überwachungskamera als Sicherheitsleck?

Geräte unseres täglichen Lebens werden zunehmend miteinander vernetzt. „Intelligente Gegenstände“ ergänzen unseren PC mit dem Ziel, uns bei unseren Tätigkeiten unmerklich zu unterstützen. Die Steuerung der Raumtemperatur, die Überwachung der Garteneinfahrt mittels Mobiltelefon sind heute bereits Standard in modernen Haushalten.IoT-Geräte werden immer leistungsfähiger, bieten uns Bestell- sowie Servicemöglichkeiten, neue Kommunikationsmöglichkeiten und tragen so erfolgreich zur Verschmelzung der realen und der virtuellen Welt bei.So stehen auch im deutschsprachigen Raum "Dash Buttons" für den Einkauf von Haushaltsprodukten zur Verfügung- Einkaufen ohne PC, ohne Browser, ohne App, ohne Einkaufsliste. Einfach per Knopfdruck auf den "Dash" über das eigene WLAN  beim Versandhändler bestellen. Die Ware wird schnellstmöglich geliefert .  Alles eitel Wonne!? Wie steht es um die Sicherheit in unseren Haushalten?

IoT-Geräte benötigen zur Kommunikation einen Internet-Anschluss. Die Geräte sind dann im Internet meist sichtbar und somit ein offenes Tor für Angriffe. Kennt ein Hacker die technischen Details des Haushaltsgerätes, führt das Standard-Passwort zu einem Problem. Die ständig wachsende Zahl an kaum geschützten Geräten stellt die potenzielle Basis für Botnetze dar, die kritische Infrastrukturen attackieren können. Oft ist die private Überwachungskamera oder der Router, über den der Eigentümer auf die Kamera zugegreifen kann, Teil eines Bot-Netzes. Die Möglichkeiten für Missbrauch sind für den Laien kaum abzuschätzen.

 

Hacker-Angriffe, etwa auf Akamai, Dyn, OVH, in der jüngeren Vergangenheit waren erfolgreich, weil IoT-Geräte meist schlecht entwickelt, unsicher konfiguriert und kaum gewartet waren. Der IoT-Virus Mirai etwa braucht nur eine kurze Liste von Standard-Login-Daten für verschiedene IoT-Geräte abzuarbeiten, um ein mächtiges Botnetz zu schaffen. Ein Botnetz (englisch Botnet) ist eine Gruppe automatisierter Computer-Schadprogramme, sogenannter Bots (vom englischen Robots), die auf vernetzten Rechnern laufen und deren Netzwerkanbindung (sowie lokale Ressourcen und Daten) ohne Einverständnis des Eigentümers nutzen (vgl. dazu Wikipedia.de).

Es stellt sich die Frage, wie es denn soweit kommen konnte. Beim Kauf eines Smart-TVs, einer Überwachungskamera, eines internetfähigen Kühlschrankes oder einer Kaffeemaschine stehen für die Konsumenten vor allem Features und Leistungsfähigkeit im Mittelpunkt des Interesses, Sicherheit ist dabei meist kein Thema. Das Interesse von Herstellern bei der Produktion auf Sicherheit zu achten ist gering, ist doch dabei auch mit zusätzlichen Investitionskosten für die Entwicklung sicherer Software zu rechnen. Häufig sind es auch "fachfremde" Hersteller, die bei der Entwicklung von IoT-Geräten die Grundregeln der IT-Sicherheit (z.B. Update-Mechanismen, Datenübertragung, mangelnde oder fehlende User-Input-Checks, frei verfügbare vorgegebene Passwörter etc.) außer acht lassen. Selbst die Behebung bereits erkannter Fehler ist für manchen Hersteller kein Thema. Sicherheit ist/wird aber sowohl für Benutzer als auch noch vielmehr für Hersteller eine bestimmende Aufgabenstellung.

Beispiel für einen "Winzling", über den vom Internet auf ein privates WLAN zugegriffen werden kann . (Der ESP8266 ist ein Ultra-low-Power-32-Bit-Mikrocontroller der chinesischen Firma espressif).

 

Lösungsansätze

Wesentliche Bausteine für eine effektive(re) IoT-Sicherheit sind die Verschlüsselung (Schutz der Authentifizierung und Schutz der Vertraulichkeit von Daten), die kryptografische Verifikation des gesamten Codes sowie der Konfiguration, die Sicherung der Laufzeitumgebung durch externe Sicherheitsexperten, Fernwartungsfunktionen (Software-Inventarisierung und Software-Updates), permanente Sicherheitsanalysen etwa durch APT (Advanced Persitent Threats).

 

Designer und Entwickler von IoT-Geräten und deren Software können sehr viel zur Sicherheit beitragen, indem sie:

  • Standardkennworte meiden und statt dessen stochastisch generierte nehmen
  • den Benutzer dazu veranlassen, das Passwort nach dem ersten Kontakt zu ändern
  • defensiv entwickeln
  • davon ausgehen, dass potenzielle Angreifer über die komplette Dokumentation verfügen
  • die Bequemlichkeit in der Benutzung zu Gunsten der Sicherheit einschränken

 

Selbst jeder Benutzer kann die Sicherheit seiner IoT-Geräte entsprechend erhöhen, indem er:

  • Sicherheit beim Kauf eines Gerätes thematisiert und in seine Kaufentscheidung mit aufnimmt
  • alle Zugriffspasswörter umgehend nach Erstbenutzung ändert
  • die UPnP-Funktion (Universal Plug-and-Play-Funktion zur herstellerunabhängigen Ansteuerung von Geräten) am Router deaktiviert
  • die Erreichbarkeit von außen nur für notwendige Geräte zulässt
  • nicht benötigte Dienste deaktiviert
  • Firmware- und Software-Upadtes regelmäßig durchführt

 

Darüber hinaus ist es jedoch höchste Zeit, dass sich die Hersteller zur Einhaltung von Mindeststandards verpflichten und zum Beispiel zumindest für den Zeitraum der gesetzlichen Gewährleistung Updates für alle sicherheitsrelevanten Software-Komponenten zur Verfügung zu stellen.

Ing. Michal Harnusek
Erstellt: 2016-12-01
von: Ing.  Michal Harnusek
Stichworte: 

IoT Botnet Mirai

Wir verwenden Cookies, um unsere Webseite für Sie möglichst benutzerfreundlich zu gestalten. Wenn Sie fortfahren erklären Sie, dass Sie mit der Verwendung von Cookies auf www.logicx.at einverstanden sind. Weitere Informationen
 ×  Hinweis schließen