Aktuelles, Branche, Gastbeiträge - geschrieben von am Montag, November 5, 2018 15:45 - noch keine Kommentare

Willkommen im Botnet: Über die Unsicherheit der Dinge

Christoph M. Kumpa benennt sieben Punkte zur Verbesserung der IoT-Security

[datensicherheit.de, 05.11.2018] Obwohl das Internet der Dinge und Dienste quasi immer noch in den Kinderschuhen steckt, hat es sich bereits jetzt einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht: Ob Router, Drucker, Smart-TV, Spielzeug oder Waschmaschinen – vernetzte Geräte werden für Cyber-Kriminelle zum Werkzeug für illegales Krypto-Mining, DDoS-Angriffe bis hin zur Lösegelderpressung durch angedrohte Datenlöschung. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, benennt sieben Punkte zur Verbesserung der IoT-Sicherheit.

Sicherheitsvorkehrungen meist noch rudimentär

Vernetzte Geräte werden für Cyber-Kriminelle zu einem Vehikel für illegales Krypto-Mining, DDoS-Angriffe bis hin zur Lösegelderpressung durch angedrohte Datenlöschung, wie im Fall des Spielzeugherstellers Spiral Toys, dessen Datenleck 2017 Schlagzeilen machte, weil mehr als 800.000 Nutzer betroffen waren.
Christoph M. Kumpa: „Die IoT-Malware-Landschaft entwickelt sich stetig weiter, während die Sicherheitsvorkehrungen meist noch rudimentär sind.“ Das Anfang des Jahres 2018 entdeckte Botnet „Hide and Seek“ bettet laut Kumpa, im Gegensatz zur berüchtigten DDoS-„Mirai“-Malware, eine Vielzahl von Befehlen wie Datenexfiltration, Code-Ausführung und Interferenz in den Betrieb des Geräts ein.

Christoph M. Kumpa, Digital Guardian

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

20 Milliarden installierte Geräte bis Ende 2020 geschätzt

Die Sicherheitsrisiken im IoT-Bereich seien zum Großteil auf das rasante Tempo zurückzuführen, mit dem IoT-Devices weltweit implementiert werden – 20 Milliarden installierte Geräte seien nach Schätzungen von Gartner bis Ende 2020 zu erwarten.
Im hart umkämpften Technologiesektor habe der Eifer, als erster mit erschwinglichen IoT-Geräten auf den Markt zu kommen, dazu geführt, „dass viele Hersteller selbst einige der grundlegendsten Sicherheitsprinzipien zugunsten schneller Entwicklungszyklen außer Acht gelassen haben“, so Kumpa.

Kaum Platz für zukünftige Updates oder Patches

„Hinzu kommt, dass die Kombination aus übertriebener Kostenkontrolle und dem Streben nach Benutzerfreundlichkeit noch weniger Raum für robuste Sicherheitsmaßnahmen lässt“, warnt Kumpa.
Viele IoT-Geräte verwendeten extrem preiswerte Verarbeitungseinheiten. Diese Geräte seien oft speicher- oder eingabebeschränkt, was wohl eine einfache Funktionalität ermögliche, aber wenig bis gar keinen Platz für zukünftige Updates oder Patches lasse. „Da die Lebensdauer dieser Devices oft bei über zehn Jahren liegt, stellen sie vor dem Hintergrund immer neuer Bedrohungen ein ernstzunehmendes Sicherheitsproblem dar.“

Verbesserung der IoT-Sicherheit in sieben Punkten:

  1. Geräteauthentifizierung und -identität:
    Die korrekte und sichere Authentifizierung mit individueller Geräteidentifikation ermöglicht den Aufbau einer sicheren Verbindung zwischen den Geräten selbst und den Backend-Steuerungssystemen.
    Wenn jedes Gerät seine eigene eindeutige Identität hat, können Unternehmen schnell bestätigen, dass das kommunizierende Gerät tatsächlich dasjenige ist, das es vorgibt zu sein. Dazu ist eine individuelle Geräteidentifikation auf Basis von Lösungen wie „Public Key Infrastructure“ (PKI) erforderlich.
  2. Physische Sicherheit:
    Die physische Sicherheit ist von größter Bedeutung! Deshalb sollte die Integration von Sicherungsmaßnahmen gegen Manipulation in Gerätekomponenten bei Entwicklern im Vordergrund stehen, um zu verhindern, dass sie dekodiert werden können.
    Darüber hinaus sollte dafür gesorgt werden, dass Gerätedaten im Zusammenhang mit Authentifizierung, Identifikationscodes und Kontoinformationen gelöscht werden können, wenn ein Gerät gefährdet ist, um Datenmissbrauch zu verhindern.
  3. Verschlüsselung:
    Beim Einsatz von IoT-Lösungen müssen Unternehmen sicherstellen, dass der Datenverkehr zwischen Geräten und Backend-Servern ordnungsgemäß verschlüsselt ist. Die Sicherstellung der Verschlüsselung von Befehlen und die Überprüfung der Befehlsintegrität durch Signierung oder starke Kodierung sind entscheidend.
    IoT-Geräte sollten auch alle gesammelten sensiblen Benutzerdaten verschlüsseln, um die Datensicherheit zu erhöhen.
  4. Firmware-Updates:
    In der Eile, neue IoT-Produkte auf den Markt zu bringen, bauen Hersteller manchmal Geräte ohne Firmware-Update-Fähigkeit.
    Ein konsistenter Prozess, der eine flexible Firmware-Bereitstellung bietet, ermöglicht die Entwicklung neuer Produkte. Gleichzeitig ist garantiert, dass wichtige Sicherheitsfixes universell über bestehende Produktlinien verteilt werden können.
  5. Sichere Kodierung:
    IoT-Entwickler müssen sichere Kodierungsverfahren implementieren und diese im Rahmen des Software-Build-Prozesses auf das Gerät anwenden.
    Die Konzentration auf Qualitätssicherung und die Identifizierung und Behebung von Schwachstellen als Teil des Entwicklungszyklus optimiert die Sicherheitsbemühungen und trägt dazu bei, Risiken zu minimieren.
  6. Schließen von Backdoors:
    Der Bau von Geräten mit Backdoors, sei es zu Überwachungs- oder Strafverfolgungszwecken, ist alltäglich geworden. Diese Vorgehensweise beeinträchtigt jedoch die Integrität und Sicherheit des Endbenutzers.
    Hersteller müssen dafür Sorge tragen, dass weder bösartiger Code noch Backdoors eingeführt werden und die UDID (Unique Device ID) des Geräts nicht kopiert, überwacht oder erfasst wird. So wird vermieden, dass, wenn sich das Gerät online registriert, der Prozess nicht abgefangen wird oder anfällig für rechtswidrige Überwachung ist.
  7. Netzwerksegmentierung:
    Wenn ein Netzwerk in sichere Segmente unterteilt ist, kann im Fall eines kompromittierten IoT-Geräts dessen Segment vom Rest des Netzwerks isoliert werden. Sollte das Gerät kompromittiert werden, sind nur Geräte in diesem Netzwerksegment betroffen.
    Die Zone kann unter Quarantäne gestellt, und es lassen sich Abhilfemaßnahmen ergreifen, ohne Risiken für andere Systeme.

Verstärkte Bemühungen um gemeinsame IoT-Sicherheitsstandards

Da sich bereits viele IoT-Geräte im Einsatz befänden, die praktisch unmöglich zu aktualisieren sind, erlebten wir wahrscheinlich auch zukünftig DDoS-Angriffe durch kompromittierte Geräte und das Auftreten von IoT-orientierter Ransomware, vermutet Kumpa.
Er blickt trotzdem mit Optimismus in die Zukunft: „Bemühungen um gemeinsame IoT-Sicherheitsstandards gewinnen jedoch an Fahrt, und wir werden in den oben genannten Bereichen bald auch deutliche Verbesserungen sehen.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

datensicherheit.de, 16.09.2018
Fünf Maßnahmen gegen die mobile Schatten-IT

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel



Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Mitgliedschaft

BISG e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung