Ein Leben im smarten Zuhause durch Connected Devices

Es ist 6:18 Uhr, der smarte Lichtwecker holt seinen Besitzer sanft aus dem Schlaf, um mit voller Energie in den Tag zu starten und die morgendliche Routine zu beginnen. Da der Wecker mit vielen Geräten im Haus über das Internet verknüpft ist, erwärmt die Heizung das Badezimmer um 6:20 Uhr auf die gewünschte Temperatur von 21 Grad. Der Kaffee steht ebenfalls pünktlich um 6:35 Uhr bereit. Auch der Weg zur Arbeit wird von der Smartphone-App überwacht und meldet, dass ein Stau für Verzögerung sorgt. Beim Verlassen des Hauses wird der Energieverbrauch durch automatisches Abdrehen von Heizung und Licht reduziert.

Geräte, die mit einer Internetverbindung ausgestattet sind und untereinander kommunizieren können, machen solch ein Smart Home erst möglich. Und die Anzahl dieser Geräte nimmt von Jahr zu Jahr zu: Die Marktforscher des amerikanischen IT-Beratungsinstituts Gartner schätzen, dass bis 2020 rund 20 Milliarden vernetzte Geräte weltweit genutzt werden, sowohl von Privatnutzern als auch von Unternehmen. Bekannt als das Internet of Things, schaffen die Geräte eine Art globale Infrastruktur für Technologien, die physische und virtuelle Gegenstände miteinander vernetzen.

Einführung in das Internet of Things (IoT)

Was bedeutet eigentlich Internet of Things und wie ist es entstanden?

„Das Internet der Dinge (IoT) ist ein Netzwerk von physischen Objekten, die eine integrierte Technologie enthalten, um zu kommunizieren und Dinge zu erfassen oder mit ihren internen Zuständen oder der externen Umgebung zu interagieren.“ (Gartner)

Zehn Jahre nach der Erfindung des World Wide Web prägte der britische Technologie-Pionier Kevin Ashton den Begriff „Internet of Things“. Ashton gilt als der Mitbegründer und Entwickler der sogenannten Radio-Frequency-Identification-Technik (RFID). Ein Gerät, welches mit einem RFID-Transponder ausgestattet ist, erhält eine eigene „Identität“ und ist in der Lage Informationen zu erhalten und abzugeben – sozusagen zu „kommunizieren“. 1999 verwendete Ashton erstmals den Begriff Internet of Things bei einer Präsentation, bei der er die RFID-Technik und deren Zusammenhang und Bedeutung für die Logistik demonstrierte. RFID gilt demnach als die Grundlage des Internet of Things.

Ziel des „Internet der Dinge“ ist es letztendlich, die reale Welt mit der virtuellen zu vereinen, um sie komfortabler, effizienter, ökonomischer sowie sicherer zu machen. So kommen mit dem Internet verbundene Geräte in den verschiedensten privaten, wirtschaftlichen, aber auch naturwissenschaftlichen sowie politischen Bereichen zum Einsatz. Das amerikanische Technologieunternehmen „Leverege“- unteranderem spezialisiert auf IoT – unterteilt die Welt der „Internet of Things“ in drei Kategorien:

  • Dinge, die Informationen sammeln und sie (an einen Server) versenden.
  • Dinge, die Informationen erhalten und danach agieren.
  • Dinge, die sowohl der Kategorie 1 als auch 2 zugeordnet werden können.

Wie funktioniert ein IoT-System?

Die Anwendungsmöglichkeiten des Internet of Things sind vielfältig und erstrecken sich über verschiedenste Branchen hinweg – der Aufbau eines IoT-Systems besteht jedoch immer aus denselben vier Komponenten:

1. Sensoren/Geräte
Ein wichtiger Bestandteil des Internet of Things sind Daten. Demnach sind Sensoren bzw. Geräte nötig, die im ersten Schritt Daten aus ihrer Umgebung sammeln. Diese können so einfach wie eine Temperaturmessung oder so komplex wie eine vollständige Videoübertragung sein.

2. Konnektivität
Um die gesammelten Daten zu versenden bzw. auszutauschen, wird eine Verbindung von einem Sensor zu einem Server bzw. zur Cloud benötigt. Die Geräte können bspw. über Mobilfunk, Wifi, Bluetooth oder Satellit mit der Cloud verbunden werden.

3. Datenverarbeitung
Um die versendeten Daten zu Informationen zu verarbeiten wird ein Server benötigt, der mit dem Gerät in Verbindung steht und „kommuniziert“. Die Verarbeitung geschieht in den meisten Fällen über die Cloud.

4. Benutzeroberfläche
Die gesammelten Informationen müssen für den Nutzer in irgendeiner Weise nützlich gemacht bzw. angezeigt und zugänglich gemacht werden. Deshalb wird eine Oberfläche benötigt, die die Information ausgibt, beispielsweise durch eine Benachrichtigung mittels Text, Sprache oder Ton. Je nach IoT-Anwendung kann der Benutzer auch eine Aktion ausführen und das System beeinflussen oder das System führt Aktionen durch vordefinierte Regeln automatisch aus.

Hornetsecurity News

 

 

Bleiben Sie informiert

 

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Warum ist die Cloud so wichtig für das Internet of Things?

Der Fortschritt der Cloud-Technologie hat einen signifikanten Einfluss auf die Weiterentwicklung der IoT-Systeme. Denn die Geräte werden nicht nur im Privatgebrauch eingesetzt, sondern erhalten auch immer mehr Einzug in die Industrie. In solchen Anwendungsfällen können schnell hunderte von Sensoren und Geräten zum Einsatz kommen. Dadurch entsteht jedoch eine große Menge an Daten, die nur mit Hilfe großer Rechenleistung verarbeitet werden kann.

Genau für diese Einsatzzwecke ist die Cloud-Technologie gedacht, denn sie besteht aus einem großen Netzwerk mit leistungsstarken Servern. Durch die Rechenleistung der Cloud und die daraus resultierenden Möglichkeiten wie Artificial Intelligence (AI) und Machine Learning (LM), kann die Datenmasse, die durch IoT-Systeme entsteht, intelligent genutzt werden. Das System trifft „smarte“ Entscheidungen und ist darüber hinaus in seiner Gänze skalierbar. Also anstatt eines fest installierten Servers, der eine begrenzte Leistung erreicht, kann in einem Cloud-System einfach und schnell mehr Rechenleistung für die „Kommunikation“ des Internet of Things freigegeben werden.

Was ist der Unterschied zwischen IoT und IIoT?

Während wir im Alltag IoT mit vernetzten Staubsaugern, intelligenten Lampen und digitalen Heizungen verbinden, wird das Internet der Dinge auch im produzierenden Umfeld genutzt: Das Industrial Internet of Things (IIoT) ist sozusagen die industrielle Erweiterung des Internet of Things. Durch IIoT ist die Industrie 4.0 erst in diesem Maße möglich. In einer Industriehalle befinden sich nicht zwei oder drei Sensoren, sondern einhundert, zweihundert oder sogar tausende. Die Auswertung dieser Daten ermöglicht es beispielsweise Unregelmäßigkeiten in Echtzeit zu erfassen und auftretende Probleme automatisch und direkt zu lösen.

IIoT wird jedoch nicht nur in der Produktion verwendet, denn auch Bestell- und Versandprozesse können durch smarte Geräte optimiert werden. Der Lagerbestand ist bald leer? Ein Sensor erfasst den aktuellen Bestand und informiert den Einkauf. Ein Paketbote steht im Stau? Dank GPS erhält der Empfänger direkt eine Push-Mitteilung, dass sein Paket etwas später kommt. Besonders interessant ist eine smarte Produktionsstätte, wenn die Wartung optimiert werden kann. Routinekontrollen sind nicht mehr notwendig, wenn das gesamte System durch intelligente Geräte überwacht wird. Eine effiziente und kosteneinsparende Lösung für Unternehmen – doch wie steht es um die Sicherheit solcher Netzwerke?

Stellt IoT ein Cybersicherheitsrisiko für Unternehmen dar?

Jedes Gerät, das einen Computerchip und eine Netzwerkverbindung besitzt, ist potentiell durch einen Hacker angreifbar. Dies beginnt bei einer Glühbirne und endet bei der Übernahme eines Atomkraftwerks. Im August 2019 äußerte sich das FBI zu dieser Thematik: „Routers, wireless radios links, time clocks, audio/video streaming devices, Raspberry Pis, IP cameras, DVRs, satellite antenna equipment, smart garage door openers, and network attached storage devices could be hijacked for their computing power.“

Durch ihre nicht ausreichend gesicherte Verbindungen, werden IoT-Geräte immer häufiger zum Ziel von Cyberkriminellen, die beispielsweise die Rechenleistung der Sensoren nutzen, um riesige Botnetze zu erschaffen. So infizierte die Malware Mirai 2016 über 600.000 IoT-Geräte und griff dadurch erfolgreich mehrere Unternehmen mittels DDOS Attacken an. Leidtragende waren unter anderem die amerikanischen Weltunternehmen Netflix und Amazon, deren Services für einige Zeit nicht mehr nutzbar waren. Neben dem Ausfall der Services, ziehen solche Angriffe häufig hohe Umsatzverluste und große Imageschäden nach sich. Auch der Versand von Spam E-Mails, das Verstecken von Network Traffic oder die Generierung von Ad-Click Fraud ist über die unautorisierte Übernahme von IoT-Netzwerken möglich. Vor allem aber haben es Cyberkriminelle auf Daten abgesehen: Die Basis des Internet of Things ist der Austausch und das Sammeln von Informationen von und über seine Nutzer. Passwörter und Kontozugangsdaten bis hin zu Infos über das tägliche Nutzerverhalten sind interessante Daten für Hacker, die sie für ihre Zwecke nutzen können und an die sie leicht und schnell gelangen, sollte das Netzwerk nicht angemessen abgesichert sein.

Warum sind IoT Hacks bereits jetzt eine reale Gefahr?

Aktuell wird die Anzahl vernetzter Geräte auf ca. 7,5 – 15 Milliarden geschätzt. In den nächsten 5 bis 10 Jahren wird die Zahl voraussichtlich auf rund 75 – 125 Milliarden ansteigen. Allein Alexa und Google Home sind in jedem vierten amerikanischen Haushalt zu finden.

Große Technologiekonzerne wie Google und Amazon sind natürlich darauf bedacht ihre Geräte vor Angriffen zu schützen. Deshalb investieren sie riesige Budgets in ihre IT Security. Doch ein Großteil der Unternehmen achtet nur wenig auf Cybersicherheit, denn aufgrund des hohen Innovationsdrucks steht maßgeblich die Entwicklung neuer Geräte, die das Produktportfolio erweitern und den Umsatz steigern sollen, im Fokus. Laut einer aktuellen Security-Umfrage investierten von rund 950 befragten Unternehmen rund 13% ihres IoT-Budgets in die Sicherheit bei der Entwicklung ihrer Produkte oder Dienstleistungen. Weniger als drei von fünf (59%) Unternehmen verschlüsseln alle Daten, die sie über IoT-Geräte erfassen oder speichern.

Fehlendes Sicherheitsinteresse von Unternehmen und Nutzern

87 % aller erfolgreichen Angriffe auf IoT-Geräte sind zurückzuführen auf nicht aktualisierte Software, schwache Passwörter oder eine Kombination dieser beiden (Jason Sattler, 01.04.19). Verantwortlich sind einerseits die Unternehmen und andererseits die Nutzer selbst. Beispielsweise liefern viele Unternehmen ihre Geräte mit einem Default-Passwort aus (Bspw.: User: admin / Passwort: password). Wenn der User die Login-Daten nicht ändert oder ändern kann, ist es für Cyberkriminelle ein leichtes, eine Vielzahl an Geräten mit einem simplen Skript zu hacken.

Bei der Software sieht es ähnlich aus, denn einerseits steht der Nutzer in der Pflicht regelmäßig Updates zu installieren, um Sicherheitslücken zu schließen. Auf der anderen Seite stehen Unternehmen, die im schlimmsten Fall Geräte entwickeln, die nicht updatefähig sind. Oft werden ältere Geräte auch einfach nicht mehr mit Updates bedient. Das Opfer ist am Ende der Nutzer. Weitere Angriffsflächen sind beispielweise offene Ports und USB-Anschlüsse, SQL Injection, unsichere Web Interfaces, Buffer Overflow, Network Device Fuzzing sowie Cross-Site-Scripting (XSS). Im Fokus steht die Entwicklung neuer und innovativer Geräte, nicht aber ihre Sicherheit. Dafür sind viele Technologien einfach zu günstig, um die anfallenden Kosten für IT-Security tragen zu können.

Internet of Things ohne gesetzliche Sicherheitsstandards

Das System hinter einem „Smart Device“ unterscheidet sich sehr stark von dem eines Computers: Der Aufbau und die Funktionsweise sind wesentlich komplexer als beispielsweise das einer Glühbirne. Darüber hinaus hat ein Computer eine viel höhere Rechenleistung. Es gibt dementsprechend viele Möglichkeiten das System eines Computers vor unautorisierten Zugriffen zu schützen. Doch wie sichert man eine intelligente Glühbirne? Smarte Haushaltsgeräte oder vernetzte Maschinen haben nur eine geringe Rechenleistung, da es sich oftmals um nur kleine Sensoren handelt, die mit externen Servern in Verbindung stehen. Deshalb läuft auf den Geräten ein Skript, welches nur wenige KB groß ist. Die Möglichkeiten für eine Sicherung sind daher begrenzt.

Der Markt des Internet der Dinge ist noch recht neu, die Nachfrage wächst stetig und demensprechend schnelllebig ist die Branche. Vielen Herstellern fehlt oftmals die nötige Expertise, um die Geräte vor möglichen Cyberangriffen zu schützen, aber auch die Zeit ist ein Faktor, dem die Sicherheit zum Opfer fällt: Seitens der Unternehmen besteht ein großer Druck, neue und innovative Produkte schneller auf den Markt zu bringen als der Wettbewerb. Das hat schließlich zur Folge, dass Cyberkriminelle schneller neue Methoden entwickeln, um sich Zugang zu einem Gerät zu verschaffen, als dass dieses gesichert wird. Eine weitere Herausforderung für den wachsenden Markt der Industrial Internet of Things besteht darin, dass es keine gesetzlichen Produktionsstandards für Unternehmen gibt. Hacker sind sich des Fehlens solcher Normen bewusst und sehen IoT-Geräte als einfache Angriffspunkte. Hinzu kommt, dass sich Hacker durch die wachsende Anzahl an intelligenten Gadgets mit minimalem Aufwand eine große Reichweite aufbauen können.

Doch wo kein Kläger ist, da ist kein Richter: Es gibt derzeit keine Gesetze oder festgelegte Sicherheitsstandards, in welcher Form IoT und IIoT gesichert sein müssen. Dies sorgt sowohl beim Hersteller als auch beim Käufer für Orientierungslosigkeit, denn beide stellen sich dieselben Fragen: Ist das Gerät gut genug gesichert? Und: Wie gut ist das Gerät im Vergleich zu anderen Geräten geschützt?

Grundlagen für ein sicheres Internet of Things

Die wichtigste Maßnahme für mehr Sicherheit im IoT- und IIoT-Bereich ist die Hersteller von smarten Produkten in die Pflicht zu nehmen. Angesichts des steigenden Risikos veröffentlichte die britische Regierung in Kooperation mit dem Europäischen Komitee für Normung, dem European Telecommunications Standards Institute und dem Cybersecurity Tech Accord im Februar dieses Jahres ein Dokument mit der Bezeichnung ETSI TS 103 645. Wesentlicher Bestandteil des 16-seitigen Dokuments sind 13 Paragraphen bzw. Vorkehrungen, gerichtet an Unternehmen, welche als eine Art Leitfaden für die IoT-Verbrauchersicherheit bei der Herstellung von „Smart Devices“ dienen sollen. Diese umfassen folgende Punkte:

 

1. Keine universellen Standardkennwörter

2. Implementierung eines Tools zur Erfassung von Schwachstellen

3. Regelmäßige Updates der Software

4. Sichere Speicherung von Zugangsdaten und sensiblen Informationen

5. Sichere Kommunikation ermöglichen (Verschlüsselung)

6. Reduzieren von freiliegenden Angriffsflächen

7. Software-Integrität gewährleisten

8. Schutz personenbezogener Daten sicherstellen

9. Systeme ausfallsicher gestalten

10. Überwachung der System-Telemetriedaten

11. Verbrauchern die Löschung personenbezogener Daten erleichtern

12. Einfache Installation und Wartung von Geräten

13. Validierung der Dateneingabe

 

Die Paragraphen sind allerdings nur „Vorschläge“ und bisher nicht verpflichtend – sie könnten zumindest als Grundlage für ein IoT-Zertifizierungsverfahren dienen.
Darüber hinaus ermöglichen neue Tools wie „AutoSploit“ bereits bei der Herstellung mögliche Sicherheitslücken zu finden. Dank Künstlicher Intelligenz sucht das Tool voll automatisiert nach Code-Fehlern, die zu einer Cyberattacke führen könnten (Dan Mosca, 2018). Hier gilt wie immer in der IT-Branche: Secure by Design.

Wie schütze ich mein Unternehmen vor IIoT-Angriffen?

Den derzeitigen Gegebenheiten zufolge kann man als Nutzer, egal ob privat oder im Unternehmen, nicht davon ausgehen, dass vernetzte Geräte sicher sind. Im Bereich der Digitalisierung nutzen viele Unternehmen das Internet der Dinge als Teil ihrer digitalen Transformation. Dazu verbinden sie eine wachsende Anzahl und Vielfalt an IoT-Geräten mit dem Unternehmensnetzwerk. Diese interagieren bzw. kommunizieren mit anderen wertvollen IT-Ressourcen und verarbeiten oftmals sensible Informationen. Gerade deshalb müssen Unternehmen Vorkehrungen treffen, um IT-Sicherheit zu gewährleisten, Zugänge und Daten zu schützen, ohne aber den Anschluss an die digitale Zukunft zu verlieren.

Cyber-Risiko-Analyse
Bevor ein IoT-System eingeführt wird, sollte das Cyber-Risiko analysiert und in das Risk-Management des Unternehmens integriert werden. Eine Bewertung der Sicherheit für alle geplanten IoT-Services und -Produkte ist unerlässlich. Regelmäßige Überprüfungen und Zertifikate von IoT-Services bieten darüber hinaus den Kunden einen qualifizierten Nachweis darüber, dass Unternehmen und Hersteller personenbezogene Daten gut schützen und für die Nutzer transparent verarbeiten.

Regelmäßige Kontrolle durch eine verantwortliche Person
Auch während des Betriebes muss die regelmäßige Überprüfung der Sicherheit von vernetzten Geräten gegeben sein. Aus diesem Grund ist es wichtig, eine verantwortliche Person zu bestimmen, die die Sicherheit dauerhaft garantiert. So muss der Verantwortliche regelmäßig prüfen, ob alle Updates installiert sind, wann das letzte Update bereitgestellt wurde und welche Hacks im Internet aufgetaucht sind und eventuell eine Bedrohung für das System des Unternehmens darstellen könnten. Tools wie Shodan kontrollieren, ob Geräte aus dem eigenen Netzwerk im „freien“ Internet sichtbar sind.

Wie schütze ich mich als Privatperson vor einem Hack meines Smart Homes?

Auch für private Endnutzer gibt es derzeit kein Qualitätssiegel als Anhaltspunkt, um die IT-Sicherheit von IoT-Geräten zu vergleichen. Deshalb muss der Käufer selbst Sicherheitsvorkehrungen treffen. Die folgenden Tipps sollte man beachten, um die Sicherheit seiner IoT-Systeme zu erhöhen:

Nur Geräte kaufen, die man updaten kann

Regelmäßig Software-Updates installieren

Default-Passwort eines Gerätes sofort nach Inbetriebnahme ändern

Passwörter für alle IoT-Geräte im Haus sollten unterschiedlich sein

Wenn möglich, alle Geräte und das Netzwerk regelmäßig auf Viren scannen

Den Zugriff zugehöriger Apps auf ein Minimum limitieren

Meldungen über aktuelle Cyber-Angriffe einholen

Nicht benötigte Ports im Netzwerk schließen

IoT-Systeme mit einem technisch veralteten Web Interface vermeiden

Daten sollten per SSL/TLS verschlüsselt werden

Einige dieser Tipps erfordern ein gewisses technisches Know-how. Jedoch kann man bereits mit wenig Aufwand die Sicherheit steigern: Aktuelle Software und sichere Zugangsdaten sind die grundlegendsten Empfehlungen, um sein IoT-System vor einem Hackerangriff zu bewahren.

Fazit: Fortschritt bewahren und Sicherheit gewährleisten

Die Möglichkeiten, die das Internet of Things bietet, sind unglaublich groß. Obwohl IoT-Geräte bereits voll im Alltag angekommen sind, stehen wir hier erst am Anfang eines riesigen technischen Fortschritts. Auch wenn Innovation bei den Marktteilnehmern an erster Stelle steht, sollte der Schutz von IoT-Technologien nie außer Acht gelassen werden, dass machen gemeldete Vorfälle bereits sehr deutlich. In Zeiten der gegenwärtigen und immer noch steigenden Cyberkriminalität ist womöglich die Sicherheit der Faktor, um sich von der Konkurrenz abzuheben und Kunden für sich zu gewinnen.