Vernetzte Gefahr

Wie sich Sicherheit für Embedded-Systeme im Internet of Things garantieren lässt

| Autor / Redakteur: Jürgen Kern * / Hendrik Härter

Schutz vor Angreifern im IoT: Verschiedene Szenarien eines Angriffs.
Schutz vor Angreifern im IoT: Verschiedene Szenarien eines Angriffs. (Bilder: NetModule)

Im Smart Home und dem Internet der Dinge sind Embedded-Systeme miteinander vernetzt. Doch wie sieht es mit den Sicherheitsaspekten aus? Wir zeigen Sicherheitslücken und wie man diese schließen kann.

Das Motto der modernen Informationsgesellschaft lautet: „Alles ist vernetzt“. Tatsächlich werden immer mehr Systeme miteinander vernetzt und kommunizieren miteinander, ohne dass wir etwas davon mitbekommen. Dabei werden teilweise sehr sensible Daten übermittelt. Das lockt Hacker und Cyber-Kriminelle auf den Plan.

Vernetzt ist dabei alles: Von Autos über Industrie-Anlagen bis hin zu Kühlschränken und anderen Haushaltsgeräten. Die Geräte senden oder empfangen Daten von mobilen Applikationen und Cloud-Services. Diese Entwicklung wird noch verstärkt durch den Einsatz von IPv6. So sagt das Marktforschungsunternehmen Gartner für das Jahr 2020 voraus, dass die Anzahl von vernetzten Geräten die Zahl von 26 Mrd. übersteigen wird. Statistisch gesehen sind das gut 3 Geräte pro Kopf der dann erwarteten Weltbevölkerung, wenn man von 7,76 Mrd im Jahr 2020 ausgeht.

Ergänzendes zum Thema
 
Sicherheit vernetzter Systeme garantieren

Mit der Anzahl der vernetzten Systeme steigt auch die Zahl möglicher Hacker und Cyber-Krimineller, die hier ein lukratives Aktionsfeld sehen. Die Sicherheit (Security) in den neu entstehenden Netzen scheint mit dieser Entwicklung allerdings nicht Schritt halten zu können. Immer häufiger werden durch Experten, NGOs und Nutzergruppen Sicherheitslücken in vernetzten Systemen entdeckt.

So wurde beispielsweise Ende 2013 in einer Studie des Unternehmens Proofpoint aus den USA festgestellt, dass mehrere Hunderttausend infizierte E-Mails über das Internet verbreitet worden sind, die nicht nur von normalen PCs und Computern stammten, sondern auch von Smart-TVs, vernetzten Kühlschränken und Kaffeeautomaten.

Neue und ganzheitliche Sicherheitsansätze sind notwendig

Ein Angriff beispielsweise auf eine intelligente Heizungssteuerung in einem Wohnblock erscheint auf den ersten Blick nicht sicherheitskritisch zu sein, aber einige hundert Bewohner sind sicher nicht sonderlich erfreut, wenn sie in Ihren Wohnungen frieren müssen oder kein Warmwasser haben. Angriffe auf andere Einrichtungen wie Strom- und Wasserversorgung oder Verkehrsleitsysteme beinhalten dagegen ein wesentlich höheres Schadenspotential. Das bedeutet, dass man neue und ganzheitliche Sicherheitsansätze benötigt, um das schnell wachsende Internet der Dinge zu adressieren.

Die enorme Vielfalt an vernetzten Geräten erhöht natürlich auch die Zahl möglicher Zielobjekte für Cyber-Angriffe. Weitere Gründe für ein erhöhtes Gefährdungspotenzial liegen aber auch im sorglosen Umgang mit Sicherheitsaspekten bei der Entwicklung und dem Betrieb von vernetzten Geräten:

  • Der Druck, Produkte schnell auf den Markt zu bringen, veranlasst viele Hersteller, Sicherheitsaspekte überhaupt nicht oder nur sehr mangelhaft im Design ihrer Produkte zu berücksichtigen,
  • wenn überhaupt, sind die Implementierungen häufig sehr eingeschränkt und unzureichend ausgeführt,
  • Entwickler herkömmlicher Embedded-Systeme kommen oft aus Bereichen, wo die Systeme in isolierten, abgeschirmten Netzwerken betrieben werden. Sie haben daher nicht immer die Sensitivität für die Notwendigkeit, die Systeme selbst umfassend zu schützen,
  • durch den zunehmenden Einsatz drahtlos vernetzter Sensoren und Aktoren öffnen sich zusätzliche Angriffsflächen für unerwünschte Attacken. Häufig wird das bei Entwicklung vermeintlich „dummer“ Systeme unterschätzt.

Im Jahre 2015 erschien eine interessante Studie von HP, die sich intensiv mit dem Thema Sicherheit im Internet of Things und der dabei verwendeten Geräte beschäftigt. Darin wird unter anderem festgestellt, dass bei den untersuchten Systemen:

  • 90 Prozent mindestens eine persönliche Information enthalten, auf die via Cloud oder Mobilapplikation zugegriffen werden kann,
  • 80 Prozent über in Länge und Komplexität unzureichende Passwörter geschützt werden,
  • 70 Prozent unverschlüsselte Netzwerk-Services verwenden,
  • 70 Prozent es Angreifern ermöglichen, durch einfache Methoden über Cloud- oder Mobilanwendungen gültige Benutzer-Accounts zu identifizieren und
  • 60 Prozent User Interfaces benutzen, die verwundbar hinsichtlich XSS und aufgrund schwacher Zugangsdaten sind.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44122623 / Safety & Security)