Wie steht es um Sicherheit im IoT – dem Internet der Dinge?

IoT – Wie sicher ist das Internet der Dinge?

Aufmacherbild: (C) Geralt via Pixabay, CC0 Creative Commons
Autor: Stefan Achleitner

Das Internet der Dinge oder IoT für Internet of Things ist in aller Munde. Doch zunehmend stellt sich die Frage, wie es um die Sicherheit all der vernetzten Sensoren, Aktoren und Kommunikationsmodule bestellt ist. Und ein kritischerer Blick auf die Eigenschaften und Konzepte bestehender IoT-Geräte gibt da leider Anlass zur Sorge. Doch erfreulicherweise gibt es auch intelligente Ansätze, wie sich diese Probleme lösen lassen könnten.

Was ist das Internet der Dinge und welche Geräte sind Teil davon?

Der Begriff „Internet of Things” entstand erst Ende der 1990er Jahre, obwohl es schon früher ähnliche Systeme gab – vor allem Netzwerke von Sensoren. Ein Definitionsansatz für „IoT“ wäre, dass damit Geräte bezeichnet werden, von denen man nicht unbedingt erwarten würde, dass sie mit dem Internet verbunden sind.

Der Bodensensor informiert per Narrowband-IoT über freie Parkplätze, die zugehörige Smartphone-App hilft dem Fahrer, den Stellplatz dann auch zu finden.
Ein Bodensensor informiert per IoT über freie Parkplätze, .

Dabei sind der Fantasie fast keine Grenzen gesetzt. Vom Toaster, der sich mit WLAN verbinden kann, bis zum Sensor, der sich meldet, wenn ein Mülleimer voll oder ein Getränkeautomat leer ist. Viele solcher Konzepte sind längst Realität – beispielsweise Sensoren, die messen und übers Internet mitteilen, ob ein Parkplatz besetzt ist oder nicht. Einen PC mit Internetverbindung oder ein Smartphone würde man laut dieser Definition hingegen nicht zum Internet der Dinge zählen.

Nach aktuellen Schätzungen gibt es derzeit ungefähr 8 bis 9 Milliarden solcher vernetzten IoT-Geräte. Große Einigkeit herrscht in der Branche, dass diese Zahl in den nächsten Jahren rasant wachsen wird. So soll es im Jahr 2020 schon mehr als 20 Milliarden Geräte im Internet der Dinge geben.

Wo genau ist das Internet der Dinge?

Ein großer Anwendungsbereich von IoT sind Smart Homes. Vom mitdenkenden Thermostat bis zur internetfähigen Waschmaschine sind hier bereits jede Menge Anwendungen verfügbar – und an vielen weiteren wird mit Hochdruck entwickelt.

(C) Mixabest; CC BY-SA 3.0
Auch in der industriellen Produktion kommt das Internet der Dinge zunehmend zum Einsatz. (C) Mixabest; CC BY-SA 3.0

Aber nicht nur im Haushalt findet das IoT seine Anwendung, auch die Industrie hat es für sich entdeckt. Um industrielle Einsätze von IoT-Systemen begrifflich abzugrenzen, spricht man hier auch vom „Industrial Internet of Things“. Dort werden vor allem Sensoren eingesetzt, um Produktionsstraßen und Maschinen zu überwachen und durch die gesammelten Daten Produktionsprozesse effizienter zu machen.

Im IoT gibt es eine ganze Reihe von Kommunikationskanälen. Vom WLAN-Netz in Gebäuden über das Mobilfunknetz (hier wird vor allem 5G als wichtiger Standard für IoT erwartet) bis hin zur Satellitenverbindung können IoT-Geräten ganz unterschiedliche Kommunikationsanbindungen verwenden. In abgelegenen Gebieten, wo oft keine Abdeckung durch das Mobilfunknetz verfügbar ist, können IoT-Geräte auch sogenannte Ad-Hoc-Netze bilden und die gesammelte Daten von Gerät zu Gerät weiterreichen, bis eine Möglichkeit zur Übertragung ins Internet besteht.

Wie steht es mit der Sicherheit im Internet der Dinge?

Die große Schwachstelle im Internet der Dinge ist laut Experten die Sicherheit. Das hat mehrere Gründe.

IoT-Geräte sammeln in vielen Fällen sehr sensible Daten, zum Beispiel von Privatpersonen in ihrem häuslichen Umfeld oder von Maschinen in Produktionsstraßen von Unternehmen. Das macht IoT-Geräte zu interessanten Quellen für Datenklau.

Das wirkt sich umso verheerender aus, weil bei IoT-Geräten oft nicht einmal grundlegende Sicherheitstechniken wie das Verschlüsseln der Daten angewendet werden.

Die knappen Hardware-Ressourcen von IoT-Geräten lassen oft nicht viel Kapazität für Sicherheitsfunktionen oder Updates. (C) Gareth Halfacree via Flickr (CC BY-SA 2.0)
Die knappen Hardware-Ressourcen von IoT-Geräten lassen oft nicht viel Kapazität für Sicherheitsfunktionen oder Updates. (C) Gareth Halfacree via Flickr (CC BY-SA 2.0)

Dies liegt nicht zuletzt an der sehr schwach ausgelegten Hardwareleistung – IoT-Geräte sollen preisgünstig sein und zudem wenig Energie verbrauchen, damit sie mit einer Batterie möglichst mehrere Jahre durchhalten. Industrie-Insider berichten zudem davon, dass die Entwicklungszeiten aus Kostengründen und zum schnellen Erreichen von Marktreife oft so knapp angesetzt sind, dass Programmierer nur die Basisfunktionen stabil zum Laufen bringen können. Für die Implementation von Sicherheitsfunktionen bleibt dann schlicht keine Kapazität mehr.

Aber nicht nur Datenlecks im IoT, sondern vor allem das Hacken von IoT-Geräten und die anschließende Übernahme der Kontrolle durch Angreifer ist ein erhebliches Sicherheitsrisiko. Denkt man beispielsweise an die vielen vernetzten Sensoren in Autos oder auch kritische Funktionen in Haushalten wie die Kontrolle über Strom und Wasser, wird das Ausmaß der Risiken schnell deutlich.

IoT aus prinzipiellen Gründen interessantes Ziel für Angreifer

Hinzu kommen weitere Aspekte, die sich aus der Natur des Internet der Dinge ergeben: Die große Menge an Geräten im IoT macht es zum attraktiven Ziel für Botnets – also vernetzte Geräte, die von Cyberkriminellen kontrolliert werden und für Angriffe eingesetzt werden. Botnetze aus IoT-Geräten lassen sich dann zum Beispiel für DDoS-Angriffe (Distributed Denial of Service) verwenden, bei denen ein Angreifer eine bestimmte Zieladresse mit einer grossen Anzahl von Anfragen bombardiert, um das Zielsystem zu überlasten. Wenn das lokale Netzwerk von IoT-Geräten nicht entsprechend überwacht wird, bekommt sein Eigentümer oft nicht einmal mit, dass es infiziert ist und als Teil eines Botnets agiert.

Ein weiteres Angriffsszenario ist das Schürfen von Coins von Kryptowährungen, wofür Angreifer IoT-Geräte missbrauchen könnten. Zwar bietet jedes einzelne Gerät nur beschränkte Prozessorleistung – doch die große Masse solcher Geräte macht sie für entsprechende Missbräuche doch wieder interessant.

Zum Teil schlechte Voraussetzungen für Sicherheit

Die große Anzahl von IoT-Geräten stellt im Hinblick auf die Sicherheit ohnehin eine große Herausforderung für die Betreiber solcher Netze dar. So ist es leider weit verbreitet, dass das Standard-Passwort von IoT-Geräten schon aufgrund ihrer großen Anzahl bei der Installation nicht geändert wird. Dies macht sie natürlich zu einem leichten Ziel für Angreifer.

IoT-Geräte sollen kostengünstig und kompakt sein. Dies führt auch dazu, dass ihre Hersteller oft beim lokal verfügbaren Speicherplatz sparen. Das kann spätestens bei einem erforderlichen Software-Update zum Verhängnis werden – ist der knappe Speicher voll, können im Gerät keine Updates mehr installiert werden. Dann bleiben bekannte Sicherheitslücken, die von Angreifern ausgenutzt werden können, um das Gerät zu kapern, schlicht offen.

Sicherheit wird zum Knackpunkt

Trotz dieser unerfreulichen Analyse steht außer Frage, dass Sicherheit ein entscheidender Faktor für den Erfolg oder Misserfolg von IoT sein wird. Hier sind vor allem die Hersteller gefragt. Schon durch einfache Mindeststandards wie das Verwenden von Verschlüsselung oder den Zwang zur Änderung des Passworts bei der Installation kann die Sicherheit im Internet der Dinge deutlich erhöht werden.

Ein weiterer Ansatz, um die beschriebenen Probleme zu lösen, ist die Überwachung von IoT-Netzen durch leistungsstarke Netzwerkanalysetools. Da den IoT-Geräten lokal gegebenenfalls zu wenig Rechen- und Speicherleistung für eigene Sicherheitsanalysen zur Verfügung steht, muss ein kritischer Blick „von außen“ verdächtige Aktivitäten beziehungsweise Anzeichen eines möglichen Angriffs aufspüren.

Erste Ansätze für mehr IoT-Sicherheit werden bereits verfolgt

Security Operations Center wie hier der Deutschen Telekom überwachen den Datenverkehr im gesamten Netz. (C) Deutsche Telekom
Security Operations Center wie hier der Deutschen Telekom überwachen den Datenverkehr im gesamten Netz. (C) Deutsche Telekom

Solche Ansätze werden erfreulicherweise bereits auf vielen Ebenen verfolgt. So beobachten und analysieren Netzbetreiber wie die Deutsche Telekom in aufwändigen Security Operations Centern den Datenverkehr in ihren Netzen und weltweite Zugriffe auf die darin angemeldeten Geräte. Dabei ist so ein „SoC“ quasi das Cockpit, das eine Vielzahl von spezialisierten Netzelementen für Sicherheitsanalysen wie „Deep Packet Inspection“ oder Protokoll-Analysatoren überwacht und steuert.

Die "Bitdefender Box" soll das Smart Home gegen Angriffe aus dem öffentlichen Internet schützen.
Die „Bitdefender Box“ soll das Smart Home gegen Angriffe aus dem öffentlichen Internet schützen.

Im Bereich Smart Home liegen außerdem Lösungen im Trend, bei denen etwa der heimische Router oder ein spezielles Security-Gateway die Aktivitäten im heimischen IoT-Netz überwacht und verdächtige Angriffe beziehungsweise Zugriffe aus dem weltweiten Internet erkennt und abblockt. Da solche Geräte dann über ausreichend Prozessorleistung und Speicherkapazität verfügen, können sie die Defizite der von ihnen überwachten IoT-Geräte ein Stück weit ausgleichen.

Klar ist aber auch, dass diese Entwicklung noch ganz am Anfang steht – und wie bei Sicherheits-Themen üblich, ist ein Hase-und-Igel-Rennen zwischen Angreifern und Verteidigern abzusehen.

Das IoT bietet unzählige Möglichkeiten. Ihnen gegenüber stehen aber fast noch mehr Herausforderungen, bis das Internet der Dinge auch die Sicherheit der gesammelten Daten und verfügbaren Applikationen gewährleisten kann. Hier wartet auf Entwickler, Sicherheitsforscher, Netzbetreiber und Dienst-Anbieter noch jede Menge Arbeit.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.