IoT-Security

Gehackte Autos - nur der Auftakt zu IoT-Hacks

13.03.2017
Von 


Christoph Müller-Dott ist Geschäftsführer für Deutschland und Österreich bei Orange Business Services. Mit mehr als 25 Jahren Erfahrung in der ITK-Industrie kennt er die Entwicklungen und Herausforderungen der Branche.
Das Internet der Dinge eröffnet Hackern ganz neue Möglichkeiten. Zur Verteidigung bieten sich Unternehmen alte Tugenden wie Wachsamkeit und Vorausplanung, aber auch neue Techniken wie Machine Learning an.

Egal wo man heutzutage hinsieht, die Geschwindigkeit, mit der wir uns neue Wearables, Smart Devices für das Zuhause oder vernetzte Autos zulegen, ist beeindruckend. Laut Gartner waren 2015 weltweit bereits fast 5 Milliarden IoT-Devices in Betrieb und die weltweiten Gesamtausgaben beliefen sich auf beinahe 1,2 Billionen US-Dollar. Für viele Unternehmen ist das IoT also ein profitables Geschäft. Allerdings ist es das auch für Hacker, die sich urplötzlich auf einer riesengroßen Spielwiese wiederfinden, wie im letzten Jahr die Attacke eines Mirai-Botnetzes auf den DNS-Server-Anbieter Dyn eindrucksvoll bewiesen hat.

Hacker können unzureichende geschützte vernetzte Devices zu allerlei Schandtaten verwenden.
Hacker können unzureichende geschützte vernetzte Devices zu allerlei Schandtaten verwenden.
Foto: Profit Image - shutterstock.com

Wie verändert das IoT die Vorgehensweise von Hackern?

Je mehr Unternehmen und Endverbraucher auf vernetzte Geräte setzen, desto mehr Angriffspunkte bieten sich auch für potentielle Angreifer. Eines der Flagship-Produkte des IoT ist das vernetzte Auto. So sieht Gartner das Potential bis 2020 bei bis zu 250 Millionen vernetzten Fahrzeugen.

Allerdings haben 2015 bereits zwei Sicherheitsforscher unter Beweis gestellt, dass vernetzte Fahrzeuge auch anfällig für Hacks sein können. In ihrem Feldversuch wollten die Wissenschaftler herausfinden, ob es möglich ist, ein vernetztes SUV während der Fahrt und von außerhalb zu hacken. Sie konnten erfolgreich die Klimaanlage, das Radio, das Getriebe und die Bremsen kontrollieren. 2016 gelang einem anderen Team aus Sicherheitsforschern ein ähnlicher Coup, als sie aus der Ferne die Kontrolle über einige Funktionen eines Elektroautos übernahmen.

Gefahr durch Social Engineering

Was den Diebstahl von Unternehmens- und privaten Daten angeht, werden IoT-Hacker vermutlich auch weiterhin auf Hacks setzen, die sich die IT-Infrastruktur zunutze machen. Dadurch können sie sich in legitimierten Netzwerkressourcen verstecken und sind schwer aufzufinden. Wearables stellen hier ein großes Ziel dar. Für Angreifer ist es oft ein Leichtes, solche Geräte mittels Social Engineering zu hacken: Sie fälschen Login-Bildschirme, um Nutzerdaten abzugreifen und bringen den Nutzer dazu, Malware zu installieren.

Mobilgeräte werden aufgrund ihrer hohen Verbreitung voraussichtlich auch in Zukunft das Angriffsziel Nummer Eins darstellen. Die meisten Leute speichern inzwischen nicht nur viele persönliche Informationen auf ihren Smartphones oder Tablets. Viele davon werden auch am Arbeitsplatz verwendet, greifen auf das Unternehmensnetzwerk zu und enthalten teilweise auch sensible Unternehmensdaten. Damit machen sie sich für Hacker zu einladenden Zielen.

Smart-City-Initiativen stehen vor einem ähnlichen Problem. Sie bieten Endverbrauchern und Unternehmen viele Vorteile in den Bereichen Agilität, Flexibilität und Effizienz. Die kritischen Netzwerkstrukturen einer Smart City sehen sich aber den gleichen IoT-Bedrohungen ausgesetzt. So werden Stromnetze oder Kraftwerke, die mit dem Internet verbunden sind, ebenfalls zum Ziel für Attacken. So war beispielsweise Stuxnet eine Malware, die speziell gegen kritische Infrastrukturen zum Einsatz kam.

Wie lassen sich neue Gefahren vermeiden?

Auch wenn es abgedroschen klingen mag, im Kern einer erfolgreichen IT-Security stehen immer Wachsamkeit und Vorausplanung. Schließlich ändern sich lediglich die Techniken, nicht jedoch die grundsätzliche Philosophie.

Weil sich im IoT Daten konstant durch verschiedene Netzwerke und Rechenzentren bewegen, muss diese Philosophie auf den Schutz der sich bewegenden Daten ausgeweitet werden, nicht nur dann, wenn sie auf dem Gerät ankommen. Mobile Geräte wechseln ebenso oft das Netzwerk, darum müssen auch diese Daten stets sorgfältig geschützt sein. Um Daten also möglichst sicher zu halten ist es unabdingbar, sichere Schnittstellen zu haben.

In Zukunft könnte auch eine weitere Lösung eine Rolle spielen, das Machine Learning. Machine Learning unterstützt jetzt schon bei der Vorhersage von Sicherheitsvorfällen und könnte die Prävention schon bald als die erfolgreichste Methode ablösen, um Angriffe auf ein Minimum zu beschränken. Der eigentlichen IT-Infrastruktur vorgelagerte Bereiche, in denen Hacker versuchen anzugreifen, helfen Organisationen dabei, ihre Daten und Systeme zu schützen.

Organisationen, deren IT- und Unternehmensstrategien das IoT einschließen, müssen sich unbedingt auf die Security fokussieren. Laut IDC werden bis 2018 66 Prozent aller Netzwerke einen IoT-Sicherheitsvorfall gehabt haben und 10 Prozent aller Cyberangriffe werden explizit IoT-Systeme zum Ziel haben.

Nicht nur das Netzwerk muss geschützt werden, sondern auch die Geräte

Die steigende Verbreitung von vernetzten Geräten gebietet, dass Organisationen Vorgaben zum Identitätsnachweis einführen. Diese sollten abhängig davon sein, welche Anwendungen verwendet werden, auf welche sensiblen Daten diese zugreifen und wie wahrscheinlich ein Angriff auf diesen Punkt ist. Leistungskennzahlen und Analysen können dazu beitragen, die Stärke des Authentifizierungsmechanismus und der Sicherungsanforderungen zu definieren, um jedes einzelne Gerät so gut wie möglich zu sichern. Bei sensibleren Daten ist es hingegen sinnvoll, gegenseitige Authentifizierungsmechanismen zu verwenden, bei denen von beiden Seiten die Identität bestätigt werden muss.

Das IoT ist gekommen, um zu bleiben. Mit so vielen verbundenen Geräten, die teilweise viele sensible Daten enthalten, muss für Organisationen die Sicherheit absolut im Vordergrund stehen. Sie müssen dafür Sorge tragen, dass ihre Sicherheitsvorkehrungen auch noch dem Netzwerk von morgen genügen. (mb)