Technische Geschichten
10 min

Iot-Sicherheit

November 5, 2021
Iot-Sicherheit
Main clouds hero section image

Herausforderungen und Bedrohungen für die IoT-Sicherheit

IoT-Netzelemente sind in der Lage, Daten ohne direkte menschliche Beteiligung auszutauschen. Die Umwandlung von Geräten in unabhängige Internetknoten hat zu einer erheblichen Verringerung der Systemsicherheit geführt. Die Sicherheit von IoT-Geräten wird in erster Linie durch die Aufrechterhaltung der Code-Integrität, die Authentifizierung von Nutzern und Geräten, die Zuweisung von Eigentumsrechten an Nutzer (einschließlich generierter Daten) und die Fähigkeit zur Abwehr virtueller und physischer Angriffe gewährleistet.

Im Jahr 2015 führte OpenDNS eine globale Studie durch, die Unternehmensnetzwerke untersuchte, die das IoT nutzen. Die Forscher kamen zu einem für die Nutzer äußerst enttäuschenden Ergebnis: Das Internet der Dinge ist nicht sicher. Die Sicherheit der Infrastruktur, die für die Verbindung intelligenter Geräte verwendet wird, wird oft nicht überprüft. HP führte auch eine unabhängige Studie zur Sicherheit des Internets der Dinge durch, allerdings nicht für Unternehmen, sondern für normale Verbraucher. Diese Studie deckte ebenfalls eine große Anzahl von Schwachstellen auf - von der Verwendung von Standardpasswörtern bis hin zur Nutzung ungesicherter Webschnittstellen, die von den meisten Geräten für die Verbindung mit dem IoT verwendet werden. HP fand außerdem heraus, dass praktisch alle heutigen Geräte ohne Genehmigung oder Benachrichtigung Daten über ihre Besitzer sammeln.

IoT-Schwachstellen

Forscher sagen eine Zunahme der Cyberkriminalität im IoT voraus - dies ist auf die große Anzahl von Schwachstellen im System zurückzuführen. Analysten identifizieren mehrere wichtige Schwachstellen, die nicht nur für Unternehmen, sondern auch für normale Nutzer eine Bedrohung darstellen.

Rasantes Wachstum der Zahl der angeschlossenen Geräte

Eine der größten Herausforderungen für die IoT-Sicherheit ist die schiere Anzahl neuer Geräte, die sich täglich mit dem Netzwerk verbinden. Laut den Analysten von Gartner übersteigt die Zahl der angeschlossenen Geräte im Jahr 2019 14,2 Milliarden Einheiten, und die Zahl steigt täglich um Millionen. Wenn man davon ausgeht, dass jedes neue Gerät nur ein Sicherheitsproblem hat, gibt es jeden Tag Millionen neuer Sicherheitslücken im gesamten Netzwerk.

Fähigkeit zum Aufbau großer Botnetze

Bots ermöglichen es Angreifern, infizierte Geräte heimlich zu kontrollieren. Mit dem Aufkommen des Internets der Dinge gibt es mehr Möglichkeiten, ganze Botnetze zu erstellen, was auf den Verlust der Autonomie physischer Geräte zurückzuführen ist - viele Dinge arbeiten nicht mehr unabhängig, sondern sind in ein einziges System integriert und können nicht isoliert davon funktionieren. Und wie bereits erwähnt, werden die Prozesse innerhalb des IoT oft nicht kontrolliert.

Geringe Datensicherheit

Moderne Geräte sammeln große Mengen an Daten über ihre Nutzer. Einige von ihnen erfordern nicht nur ein Passwort, sondern auch einen Benutzernamen, Kontaktinformationen und biografische Informationen. Diese Menge an Informationen erfordert eine starke und hochwertige Sicherheit, aber im Moment kann das IoT nicht mit Sicherheit glänzen. Das Problem wird auch dadurch verschärft, dass die Benutzer ihre Standardanmeldungen und -kennwörter oft nicht ändern. Das macht es Angreifern und Botnetzen sehr viel leichter.

Vorfälle

Jedes Jahr gibt es mehr und mehr Angriffe auf intelligente Systeme. Es wird erwartet, dass im Jahr 2022 die größten Bedrohungen im Kreditsektor zu finden sein werden, da sie die größten Möglichkeiten für Angreifer bieten, Geld zu verdienen, und gerade im Bankensektor ist ein sehr starker Anstieg der Anzahl der betroffenen intelligenten Geräte zu beobachten. Es hat viele Vorfälle gegeben, bei denen es Hackern gelungen ist, sich Zugang zu Geräten zu verschaffen.


Angriff auf das Netz der intelligenten Dinge der Universität

Im Jahr 2017 meldete Verizon einen massiven Cyberangriff auf eine große US-Universität (der Name der Einrichtung wurde nicht bekannt gegeben). Bei dem Angriff nutzten die Angreifer 5.000 Geräte auf dem Campus auf einmal. Die Hacker hackten sich in all diese Geräte ein und brachten sie dazu, DNS-Anfragen zu senden. Dies war das erste Mal, dass Sicherheitsexperten vor Ort mit einem Angriff über intelligente Geräte konfrontiert wurden und nicht schnell einen Weg finden konnten, um den Zugriff auf die gekaperten Geräte wiederherzustellen. Nachfolgende Analysen ergaben, dass ein Botnet hinter dem Angriff steckte, das das Netzwerk übernommen hatte. Die Hacker verschafften sich nach und nach Zugang zu den Geräten, indem sie Passwörter ausspionierten.

Der allererste Hack einer intelligenten Toilette

Eine Vielzahl von Geräten ist anfällig für Cyberangriffe, sogar intelligente Toiletten, wie ein Team von Sicherheitsexperten von Panasonic bewiesen hat. Die Experten haben bewiesen, dass es einfach war, sich in eine Toilette zu hacken, die über Bluetooth von einem Smartphone aus gesteuert wurde. Die Hacker waren in der Lage, vollen Zugriff auf das Gerät zu erhalten und beispielsweise die Wasserspülung jederzeit zu starten.

105 Millionen Angriffe auf IoT-Geräte in sechs Monaten

Die Zahlen geben eine bessere Einschätzung des Ausmaßes von Cyberangriffen auf intelligente Geräte. Mitarbeiter von "Kaspersky Lab" erfassen seit Anfang 2019 Hackerangriffe auf intelligente Geräte mit Hilfe von Honeypots - speziellen Ködern für Hacker. Sie konnten mehr als 105 Millionen Angriffe auf IoT-Geräte aufzeichnen, die von 276 Tausend eindeutigen IP-Adressen aus durchgeführt wurden. 2018 verzeichneten die Experten nur 12 Millionen Angriffe. Somit haben die Angreifer ihren Einfluss im Laufe des Jahres erheblich ausgeweitet, und es gibt keinen Grund zu der Annahme, dass die Zahl der Angriffe in Zukunft zurückgehen wird.

Zertifizierung von IoT-Geräten

Experten sind sich darüber im Klaren, dass der Grund für die Sicherheitsprobleme im Internet der Dinge nicht in der mangelnden Qualifikation der Entwickler liegt, sondern im Streben nach Profit. Für Unternehmen ist es wichtig, die Markteinführung eines neuen Geräts zu beschleunigen. Auch heute noch stellen viele Unternehmen intelligente Geräte her, ohne viel Zeit und Ressourcen in Code-Tests und die Verbesserung des Sicherheitssystems zu investieren. Aus diesem Grund wächst der Markt sehr schnell, die Technologien entwickeln sich, aber die Nutzer leiden darunter.

Die Einführung der Zertifizierung kann die Hersteller dazu bringen, ihre Einstellung zur Sicherheit der hergestellten "intelligenten" Geräte zu überdenken. Es handelt sich nicht um eine revolutionäre Idee, aber langfristig bietet sie die Möglichkeit, das Ausmaß des Problems zu verringern. Idealerweise sollte die Zertifizierung so einfach und schnell sein, dass der Hersteller nicht zum Hindernis für den Fortschritt wird, aber gleichzeitig sollte sie den Nutzern einen guten Schutz gegen mögliche Angriffe bieten.

Mehrere private Organisationen arbeiten derzeit an der Zertifizierung von intelligenten Geräten, wie z. B. die Online Trust Alliance (OTA), die eine Initiative zur Lösung dieses Problems vorbereitet hat. So wurde eine einzigartige Liste von Kriterien für die Entwickler neuer Geräte veröffentlicht, deren Einhaltung die Sicherheit verbessern und die vertraulichen Daten der Nutzer schützen kann. Die Zertifizierung bestätigt, dass das Gerät oder System unter Berücksichtigung möglicher Risiken das erforderliche Sicherheitsniveau bietet. Sie bestätigt auch, dass neue Versionen der Gerätesoftware nicht zu einem Verlust an Sicherheit führen. Eine Zertifizierung kann jedoch keine hundertprozentige Sicherheit garantieren - sie ist nur ein Schutzniveau. Und auch wenn ein solches Dokument vorliegt, besteht immer noch die Möglichkeit, dass sich Eindringlinge Zugang zum Gerät verschaffen.

Sicherung des Internets der Dinge

Sicherheitszertifizierungen sind eine Möglichkeit, die Hersteller zu kontrollieren, aber sie gewährleisten nicht vollständig die Sicherheit der Nutzer. Um die Zuverlässigkeit intelligenter Geräte zu verbessern, muss auf wirksame Methoden zur Sicherung des Internets der Dinge als Ganzes hingearbeitet werden.

Sicherheit der Geräte

Ein obligatorischer Punkt der Sicherheit ist der Schutz der Geräte, der im Wesentlichen darin besteht, die Integrität des Codes zu schützen. Es ist notwendig, die Sicherheit des Codes beim Start zu garantieren - eine kryptographische Signatur. Ein besonderer Schutz während der Codeausführung ist ebenfalls erforderlich, um zu verhindern, dass der Code von verschiedenen Hackerprogrammen umgeschrieben wird.

Eine kryptografische Signatur bestätigt, dass der Code nicht gehackt oder umgeschrieben wurde und somit völlig sicher ist. Die Codesicherheit kann auf der Anwendungs- und Firmware-Ebene implementiert werden. Um die Sicherheit des gesamten Systems zu gewährleisten, ist es wichtig, dass alle angeschlossenen Geräte nur signierten und damit vollständig sicheren Code ausführen können. Die Geräte müssen auch in anderen Betriebsphasen geschützt werden. In diesen Phasen kann der Host-Schutz zur Härtung eingesetzt werden. Er bietet die Möglichkeit, den Zugriff zu differenzieren, Verbindungen zu kontrollieren, vor Eindringlingen zu schützen und Sicherheit auf der Grundlage von Benutzerverhalten und Reputation zu bieten.

Gerätesteuerung

Leider kann auch eine gute Sicherheit nicht garantieren, dass es keine Schwachstellen gibt: Die Geräte müssen immer wieder gepatcht werden, was Zeit kostet. Dies führt zu einer Rekonstruktion des Codes, was Angreifern die Möglichkeit gibt, neue Probleme darin zu finden. Aus diesem Grund müssen die Geräte ständig überwacht und aus der Ferne verwaltet werden, damit der Nutzer nur geschützte und sichere Geräte verwendet.

Interaktionen im Netz überwachen

Alle ergriffenen Schutzmaßnahmen verlieren früher oder später ihre Relevanz und Zuverlässigkeit, daher ist es notwendig, die Sicherheit des gesamten IoT-Systems und der einzelnen Geräte darin ständig zu analysieren. Analysesysteme müssen das Netzwerk als Ganzes besser verstehen, seine Eigenheiten erkennen und verdächtige und gefährliche Anomalien feststellen.

Blockchain-Technologie

Die IoT-Sicherheit war eine der ersten Anwendungen der Blockchain-Technologie. Mit dieser Technologie können die Kommunikationsprotokolle und Interaktionsergebnisse von IoT-Geräten in einem dezentralen System gespeichert werden. Eine verteilte Blockchain-Architektur bietet mehr Sicherheit für das IoT-System: Selbst wenn einige Geräte kompromittiert werden, ist das gesamte System nicht betroffen. Ein verteiltes Systemmodell ermöglicht es, ein kompromittiertes Gerät loszuwerden, ohne die Interaktion zwischen "gesunden" Objekten nennenswert zu beeinträchtigen. Im Zusammenhang mit der Sicherheit kann die Blockchain in Bereichen eingesetzt werden, in denen sich das IoT am intensivsten entwickelt. Es handelt sich zum Beispiel um die Verwaltung der Authentifizierung, die Überprüfung der Leistung verschiedener Dienste, die Gewährleistung der Unteilbarkeit von Informationen usw. Bislang besteht die Hauptaufgabe der Experten darin, eine verteilte Datenbank und ein Protokoll für den Informationsaustausch zwischen IoT-Geräten auf der Grundlage der Blockchain zu entwickeln.

Schlussfolgerung

IoT-Systeme können sehr komplex sein und erfordern komplexe Sicherheitsmaßnahmen. Heute befindet sich das IoT noch in der Entwicklungsphase, und wie jede neue Technologie steht es noch vor vielen Herausforderungen und Hindernissen, aber sowohl Nutzer als auch große Unternehmen, die bereit sind, Ressourcen in die Entwicklung und Sicherheitsforschung zu investieren, sind an einer raschen Entwicklung interessiert. Es gibt keine einfache und allgemeingültige Lösung, aber wenn man die richtigen Schritte in die richtige Richtung unternimmt, ist es realistisch, alle Schwachstellen zu beseitigen. Man kann mit Sicherheit sagen, dass das IoT eine große Zukunft vor sich hat.

Lassen Sie uns gemeinsam etwas Großartiges aufbauen!

In unserem Blog vorgestellt

Fallstudien

Unser Angebot

Technologie-Know-how

vuejs logoreact logo
laravel logodjango logosymfony logo
aws partners logo docker logo kafka logo
kubernetes logoatlassian logo