Die IoT-Angriffe, über die jeder Bescheid wissen sollte
Die Innovationen, die das IoT für Organisationen und das alltägliche Leben der Menschen mit sich gebracht hat, haben in den letzten Jahren stark zugenommen. So offenbart beispielsweise ein Blick auf die Montagelinie eines Automobilunternehmens intelligente Technologien, die sequenzielle oder Chargen-Aktivitäten mit minimaler oder keiner menschlichen Aufsicht ausführen.
Das britische Online-Supermarkt-Startup Ocado und Amazon haben beide umfangreiche Technologien zur Sortierung und Lieferung von Lebensmitteln entwickelt, die hauptsächlich auf IoT basieren. Es gibt auch Haushaltsgeräte und -einrichtungen, die aus der Ferne betrieben werden können. Gute Beispiele dafür sind Überwachungskameras, Beleuchtungssysteme, automatisierte Auffahrten, Sprinkleranlagen, die das Gras bewässern, nachdem sie den lokalen Wetterbericht analysiert haben, intelligente Mikrowellenöfen und vollständig synchronisierte Wohnungen.
Solche intelligenten Geräte mit IoT-Fähigkeiten benötigen zur optimalen Leistung eine aktive Internetverbindung. Der Anschluss von IoT-Geräten an das Internet macht sie jedoch anfällig für potenzielle Sicherheitsbedrohungen, wie sie für jedes Netzwerkgerät typisch sind. Die enormen Verbindungsmöglichkeiten, die das Internet bietet, stehen fast immer in Kontrast zu Sicherheitsherausforderungen. Es gibt immer noch Menschen, die nach Ressourcen (sowohl materielle als auch immaterielle) suchen, um das Internet auszubeuten. Hacker können Geräte, die so harmlos sind wie Geschirrspüler oder Thermostate, als verwundbare Lücke in einem ansonsten sicheren Netzwerk nutzen.
Sind IoT-Geräte anfällig?
Aber sind IoT-Geräte anfällig, oder sind die Behauptungen von Sicherheitsverletzungen auf ihnen nur Verschwörungstheorien, um Technologieliebhaber von der Einführung des IoT abzubringen? Die Geschichte von Sicherheitsverletzungen im Internet, die im nächsten Abschnitt hervorgehoben wird, und offensichtliche Belege dafür, dass IoT-Geräte regelmäßig verdächtigt werden, beantwortet diese Fragen.
Berühmte Beispiele für IoT-Angriffe
Es gibt mehrere Fälle von IoT-Angriffen; hier sind einige Beispiele, um ein klareres Bild zu schaffen:
1. Der Mirai-Angriff auf Dyn
Im späteren Verlauf des Jahres 2016 haben Hacker das Computernetzwerk von Dyn, einem bedeutenden Anbieter von Domain Name Services, verletzt. Zu dieser Zeit war Dyn der DNS-Anbieter für Unternehmen wie Twitter, Netflix, Reddit, CNN und The Guardian. Der DDoS-Angriff wurde von Hackern durchgeführt, die etwa 600.000 IoT-Geräte und andere Computer rekrutiert und mit Hilfe einer Malware namens Mirai die Fernsteuerung übernommen haben.
Der Mirai-Botnetz-Angriff lähmte Dyn für mehrere Stunden, indem er die Netzwerkressourcen des Unternehmens überforderte.
2. Gekaperte SUVs
Der Hack in diesem Fall war lediglich eine Simulation, aber ein Hack, der Anlass zur Sorge gibt. Eine Gruppe von Forschern hat 2015 eine Firmware-Aktualisierungsschwachstelle eines Jeep-SUV über ein Mobilfunknetz ausgenutzt. Nachdem sie Zugang zum Datenbus des Fahrzeugs erhalten hatten, konnten die Forscher das Auto verlangsamen, stoppen und von der Straße abbringen.
3. Wörtliche Herzattacken
Fortgeschrittene medizinische Wissenschaft hat es möglich gemacht, dass Personen, die Herzoperationen hatten und Herzschrittmacher oder Defibrillatoren eingesetzt wurden, um ihre schwachen Herzen zu unterstützen. Die US-amerikanische Lebens- und Arzneimittelbehörde (FDA) bestätigte Schwachstellen in den Herzgeräten, die es theoretisch möglich machen könnten, sie durch Manipulation eines Hackers inaktiv oder fehlerhaft zu machen. Die FDA machte diese Erkenntnis insbesondere hinsichtlich Herzimplantaten, die bei Patienten in einem bestimmten Krankenhaus verwendet wurden.
4. Thermo-Zugang zu einem Casino
Ein weit verbreiteter Fall von IoT-Sicherheitslücke wurde von einer Hackergruppe verübt, die eine Sicherheitslücke in der Form eines Thermometers fand, welches im Aquarium des Casinos installiert war. Nachdem sie Zugang zum Netzwerk des Casinos erlangt hatten, gelang es der Gruppe erfolgreich, auf die sensiblen Daten des Unternehmens zuzugreifen.
5. Der Zugang des Großen Bruders
Wie George Orwells großer Bruder sind mehrere mit dem Internet verbundene Kameras für Hacker zugänglich, die wissen, wo sie graben müssen. CNN gelang es, die Anfälligkeit dieser Geräte zu demonstrieren, indem sie Shodan, eine IoT-Suchmaschine, nutzte. Mit Shodan sendete das private Nachrichtenunternehmen live Bilder von Kameras zufälliger Menschen weltweit, möglicherweise ohne deren Wissen um deren Aussetzung.
Ursachen für Sicherheitslücken im IoT
Die Einführung von IoT-Technologien ist noch in ihren Anfangsjahren und muss noch einige kritische Fragen in ihrer Anwendung klären. Ja, IoT-Geräte können nützlich sein, aber die Entwickler sind noch mehr mit der funktionalen Stabilität der Geräte beschäftigt, bevor sie sich mit den täglich steigenden Meldungen über Sicherheitslücken auseinandersetzen.
Im Folgenden sind einige der wichtigsten Faktoren aufgeführt, die dazu geführt haben, dass die Sicherheitsbedrohungen bei IoT-Geräten weiterhin bestehen.
1. Missbrauch von IoT-Geräten durch Ausnutzung der Unwissenheit oder Nachlässigkeit der Nutzer
Wenn es um den Schutz vor Viren geht, die das Betriebssystem Ihres PCs angreifen, oder um das Kaschieren Ihrer Online-Aktivitäten bei der Nutzung öffentlicher WLAN-Netze, ist der durchschnittliche Nutzer solcher Technologien recht gut informiert. Aber wenn es um neuere Technologien wie IoT-Geräte geht, sind die Nutzer mehr damit beschäftigt, die Wettervorhersage auf der Benutzeroberfläche ihres neuen Kühlschranks zu prüfen, als sich um dessen Sicherheit zu kümmern. „Welches Risiko könnte ein Kühlschrank schon bergen?“ ist eine berechtigte Frage, die dem Durchschnittsnutzer in den Sinn kommen könnte.
In einigen Fällen sind die Nutzer von IoT-Technologien schlichtweg unwissend über die Auswirkungen einer Sicherheitsverletzung in ihren Geräten. Den Umgang mit unerwünschtem Spam im E-Mail-Posteingang stellen sie nicht in Frage. Aber eine zufällige Umfrage unter den Nutzern von IoT-Geräten würde zeigen, dass sie die Grundlagen der Absicherung dieser leicht angreifbaren Technologien nicht verstehen. Einige Hacker erhalten erst Zugang zu einem zuvor sicheren IoT-Gerät, nachdem der Nutzer durch Social Engineering eine Sicherheitslücke geöffnet hat.
2. Sicherheitsrisiko nach großen Angriffen
Nach jedem bedeutenden Botnet-Angriff, der das Internet erschüttert, sollten Technologiehersteller natürlich Geräte mit sicherheitszentrierten Patches aktualisieren. Jedoch macht die Häufigkeit von Angriffen im Internet Sicherheitsupdates mühsam. Und leider hinterlässt der akribische Aufwand der Hacker nach jedem Vorfall eine verwundbare Lücke, die oft wiederholt ausgenutzt wird, wenn sie nicht umgehend behoben wird.
Eine weitere große Herausforderung bei der Aktualisierung von IoT-Geräten besteht darin, dass die meisten dieser Patches automatisch installiert werden, ohne dass technische Unterstützung erforderlich ist. Meistens lädt das IoT-Gerät seine Dokumente in die Cloud hoch und erlebt eine kurze Ausfallzeit, während es versucht, seine Einstellungen neu zu starten oder zu konfigurieren. Solche Zeiträume könnten von Hackern ausgenutzt werden, insbesondere wenn die Internetverbindung nicht verschlüsselt ist.
3. Geräteexposition aufgrund von Herstellern, die Sicherheitsstandards nicht einhalten
Wie bereits erwähnt, sind die Hersteller mehr darum bemüht und davon besetzt, die funktionalen Bedürfnisse ihrer Verbraucher zu erfüllen, und bringen glamouröse und innovative Geräte auf den Markt, ohne potenzielle Sicherheitslücken zu bewerten, die damit einhergehen. Diese Erkenntnis bedeutet, dass mit jedem neuen IoT-Gerät auf dem Markt eine neue Lücke für Hacker zur Ausnutzung entsteht.
Die Hersteller sind nach wie vor aktiv und bemühen sich um Innovationskraft, und es fehlt noch immer ein Konsens über die zu befolgenden Sicherheitsstandards. Ein gemeinsamer Nenner, ähnlich dem, den offene Zugangstechnologien für die IoT-Sicherheit bieten, würde viele der zunehmenden Herausforderungen eliminieren, die ihnen zugeschrieben werden. Aber leider sind die Hersteller darauf aus, den größten Marktanteil zu erzielen, indem sie Verbraucher mit Geräten mit verbesserter Funktionalität, aber mangelnder Sicherheit verblüffen.
4. Physische Anfälligkeit von IoT-Geräten
Die Funktionalität der meisten IoT-Geräte beinhaltet ihre Arbeitsfähigkeit ohne menschliche Kontrolle nach der Installation. Zum Beispiel werden die automatisierten Lager von Ocado, die in etwa die Fläche von zwei normalen Fußballfeldern umfassen, hauptsächlich von durch IoT betriebenen Robotern und nur wenigen menschlichen Mitarbeitern überwacht. Jeder kann jedoch leicht IoT-Geräte kapern, die an abgelegenen Standorten installiert sind, ohne eine Form menschlicher Überwachung – zum Beispiel, indem Malware installiert wird, über die verfügbaren Ports am Gerät. Beispielsweise könnten Überwachungskameras leicht manipuliert oder sogar als Zugangspunkt in ein ansonsten gesichertes Netzwerk genutzt werden.
Beispielsweise könnte der physische Zugang zu nur einem der Lebensmittelsortierroboter von Ocado zu einem Sicherheitskompromiss aller Lagerhäuser des Unternehmens weltweit führen, vorausgesetzt, sie haben ein gemeinsames Netzwerk.
5. Einfache Rekrutierung in Botnets
Aufgrund der Notwendigkeit, Sicherheitspatches intermittierend zu aktualisieren, sind IoTs für Hacker zu Geräten von leichter Tugend geworden. Bevor Hacker einen Botnet-Angriff starten, bauen sie ihre Botnet-Armee auf, indem sie über eine von mehreren Methoden Malware auf anfällige Geräte installieren. Danach bekommt das kompromittierte Gerät einen Handler, in der Regel einen Controller-Server, der sie dann nutzt, um einen koordinierten DDoS-Angriff auf einen ausgewählten Internetnutzer auszuführen.
Außerdem wird es aufgrund der gestiegenen Popularität von IoT-Geräten in sensiblen Systemen für Hacker möglich, essentielle Einrichtungen wie das Stromnetz, Heizsysteme oder die Verkehrssteuerung zu sabotieren.
6. Manipulation von IoT-Geräte in Spionage-Software
Stellen Sie sich vor, ein Hacker hätte Zugang zur Babycam Ihres Kindes und überträgt Aufnahmen, während Sie auf einer Geschäftsreise sind. Solche Personen könnten die Situation ausnutzen und Lösegeld fordern, um die Privatsphäre Ihrer Familie zu wahren. Die technischen Teams der zentralen Sicherheitseinheiten von technologisch fortschrittlichen Nationen könnten IoT-Geräte wahrscheinlich zur Spionage einsetzen.
Fazit – Sicherheit beim Gebrauch von intelligenten Geräten
Sicherheit sollte ein großes Anliegen sein, wenn Sie ein IoT-Gerät erwerben, da es einige Schwachstellen gibt, die Hacker ausnutzen könnten. Wenn es erforderlich wird, ein IoT-Gerät zu erwerben, sollten Sie vor dem aktiven Einsatz den Standard-Benutzernamen und das Standard-Passwort ändern. Lesen Sie das Handbuch des Herstellers, um die Schritte zur Aktualisierung der Firmware des Geräts zu verstehen. Die Updates schützen Sie vor Bedrohungen, die aus Lücken entstehen könnten, die das Sicherheitsteam des Herstellers erfolgreich geschlossen hat.