[datensicherheit.de, 09.11.2021] Das sogenannte Internet der Dinge (IoT), insbesondere alle darin vernetzten drahtlosen „intelligenten“ Geräte, stellt offensichtlich eines der größten Risiken in der Informationstechnologie dar. Mit neuen Sicherheitsanforderungen möchte die EU-Kommission jetzt deutlich den Druck auf Hersteller, Integratoren und Händler von IoT Geräten erhöhen – zum Schutz von Unternehmen und Verbrauchern. Die neue Erweiterung zur sog. RED (Funkanlagenrichtlinie 2014/53/EU) soll demnach ab 2024 EU-weit in Kraft treten und für alle in der EU zum Verkauf zugelassenen Geräte gelten.

Größte europäische Plattform zur automatisierten Überprüfung der Firmware von IoT-Geräten

„Wir begrüßen die Initiative der EU sehr. Bei Untersuchungen in unserem Labor finden wir oft gravierende Schwächen in nahezu allen drahtlosen Geräten“, berichtet sagt Jan Wendenburg, „CEO“ des IT-Security-Unternehmens IoT Inspector. Die Spanne reiche dabei von Routern über Tablets, IP-Kameras, Smartspeakern, Babymonitoren bis zu smarten Geräten in Firmennetzwerken. Über diese Geräte könnten Hacker oft leicht Zugang zum lokalen Netzwerk, zu sensiblen Daten und Servern erhalten, warnt Wendenburg.
Neben dem eigenen Testlabor betreibe IoT Inspector auch die größte europäische Plattform zur automatisierten Überprüfung der Firmware von IoT-Geräten. Diese erkenne Sicherheitsrisiken und Compliance-Verstöße automatisch und zuverlässig. Problematisch sei laut Wendenburg allerdings die unzureichende Konkretisierung der Richtlinie. Damit werde eine Umsetzung für Hersteller erschwert – obwohl sie bald für alle Hersteller verbindlich in Kraft treten solle.

Hunderttausende IoT-Schwachstellen bereits im Umlauf

„Router und zahlreiche IoT-Geräte sind in Unternehmensnetzen bis zu zehn Jahre im Einsatz, in privaten Haushalten oft noch länger. Die bisher fehlende Verpflichtung, über Updates der Firmware für mehr Sicherheit zu sorgen, ist ein unkalkulierbares Risiko“, sagt Wendenburg. Erst kürzlich habe IoT Inspector schwere Sicherheitslücken in Komponenten von Realtek und Broadcom aufgedeckt, „die sich aufgrund mangelnder Transparenz in ,Supply Chain‘ und Produktentwicklung auf Hunderttausende Geräte von bis zu 65 namhaften Herstellern ausbreiten konnten“. Betroffen seien unter anderem Router, IP-Kameras, smarte Beleuchtungssteuerungen und zahlreiche andere Geräte, „die in Unternehmen und Haushalten weltweit zum Einsatz kommen“.
Eine Sicherheitsprüfung müsse daher bereits in der Produktentwicklung stattfinden, um potenzielle Schwachstellen noch vor Markteinführung zu identifizieren und zu beheben. Mit der Plattform von IoT Inspector stehe Produktherstellern und Produktintegratoren eine bewährte Lösung zur automatisierten Sicherheitsüberprüfung zur Verfügung, mit der IoT-Firmware während des gesamten Produktlebenszyklus automatisch überwacht werden könne. Durch Integration in die Produktentwicklung reduzierten sich damit fast automatisch Kosten, Ressourcen, Entwicklungszeit und Projektrisiken.

Auf Basis echter Ergebnisse und Analysen korrektive Maßnahmen für ein Plus an IoT-Sicherheit

Die EU-Kommission habe aufgezeigt, dass schon jetzt 80 Prozent der Cyber-Attacken auf drahtlose Geräte abzielten, und diese somit ein beliebtes Einfallstor für weitere Schäden in Netzwerken darstellten. Cyber-Bedrohungen entwickelten sich rasch weiter, die Technologien der Angreifer würden zunehmend komplexer und passten sich den Gegebenheiten immer besser an. „Cybercrime hat sich von der Arbeit einiger wenig organisierter Hacker längst zu einem veritablen Geschäftsmodell für kriminelle Vereinigungen entwickelt. Es ist kaum abzuschätzen, wie sich die Gefährdungslage in den kommenden Monaten entwickelt“, gibt Wendenburg zu bedenken.
Im neuen Lagebericht zur IT-Sicherheit schätze das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Situation als „angespannt bis kritisch“ ein, teilweise gelte bereits „Alarmstufe Rot“. Die Steigerung seit zwei Jahren sei überproportional. Daher sei Eile gefragt, wirkungsvolle Überwachungsgremien wie Prüf- und Zertifizierungsorganisationen in die Lage zu versetzen, auf Basis echter Ergebnisse und Analysen korrektive Maßnahmen für ein Plus an IoT-Sicherheit bewirken zu können.

Weitere Informationen zum Thema:

IoT Inspector, 16.08.2021
Kritische Sicherheitslücken in Realtek-Chips betreffen mehr als 65 Hardwarehersteller

EUR-Lex
Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/EG Text von Bedeutung für den EWR

[datensicherheit.de, 16.08.2021] Die Liste der durch die Realtek-Sicherheitslücken betroffenen Hardware-Hersteller sei lang: „AsusTEK, Belkin, D-Link, Edimax, Hama, Logitec, Netgear und viele weitere rüsten ihre WLAN-Devices mit verwundbaren ,Software Development Kits‘ (SDKs) von Realtek aus“, berichtet IoT Inspector in seiner aktuellen Stellungnahme und warnt: Eine solche Schwachstelle innerhalb des „Realtek RTL819xD“-Moduls erlaube Hackern den Vollzugriff auf das Gerät, installierte Betriebssysteme und weitere Netzwerkgeräte.

IoT Inspector stellt Plattform Hardware-Herstellern und Nutzern für kostenlosen Schnellcheck bereit

„Wir haben diese Schwachstelle, die Hunderttausende von Geräten umfasst, gefunden und analysiert. Realtek wurde von uns benachrichtigt und hat sofort reagiert und ein passendes Patch zur Verfügung gestellt.“ Hersteller, welche verwundbare Wi-Fi Module einsetzen, seien dringend dazu angehalten, ihre Geräte zu überprüfen und ihren Anwendern Sicherheitspatches zur Verfügung zu stellen, so Florian Lukavsky, Geschäftsführer von IoT Inspector.
Diese Security-Plattform untersucht nach eigenen Angaben die Firmware von IoT-Geräten wie bspw. Routern, IP-Kameras oder Druckern. Das Unternehmen habe in der Vergangenheit bereits eine Vielzahl von koordinierten Sicherheits-Advisories mit betroffenen Herstellern veröffentlicht und so mögliche Hacker-Attacken vereitelt. Für diesen besonderen Fall stellt IoT Inspector demnach nun seine Plattform potenziell betroffenen Herstellern und Nutzern für einen kostenlosen Schnellcheck zur Verfügung. Nur durch eine Analyse der jeweiligen Firmware könne ermittelt werden, ob noch verwundbare Komponenten eingesetzt werden.

Unkontrollierte Hardware-Lieferkette für Hunderttausende Geräte

Die von Realtek zugelieferten Chips würden von nahezu allen bekannten Herstellern verwendet und seien etwa in VoIP- und Wireless-Routern, Repeatern, IP-Kameras und smarten Beleuchtungssteuerungen zu finden. Eine detaillierte Liste der betroffenen Geräte sei im „Advisory“ von IoT Inspector enthalten, möglich seien jedoch noch weitere Anwendungen. Für einen erfolgreichen Exploit müsse sich ein Angreifer für gewöhnlich im selben Wi-Fi-Netzwerk befinden. Fehlerhafte ISP-Konfigurationen exponierten jedoch auch eine Vielzahl von verwundbaren Geräten direkt ins Internet. Ein erfolgreicher Angriff würde die vollständige Kontrolle des Wi-Fi-Moduls erlauben ebenso wie einen Root-Zugriff auf das Betriebssystem des eingebetteten Geräts.
Insgesamt seien in dem Chipsatz ein Dutzend Schwachstellen gefunden worden. „Es gibt derzeit noch viel zu wenig Sicherheitsbewusstsein für Geräte aus diesen Kategorien – weder bei den Nutzern noch bei den Herstellern, die in ihrer ,Supply Chain‘ ungeprüft auf Bausteine von anderen Herstellern setzen. Diese Komponenten oder Produkte werden so zum unkalkulierbaren Risiko”, unterstreicht Lukavsky. Hersteller seien daher dringend dazu angehalten, Richtlinien für „IoT Supply Chain Security“ umzusetzen.

IoT-Hardware wie Router oder IP-Kameras im Visier

Zu diesem Ergebnis komme auch die aktuelle Studie von Forrester, „The State of IoT Security – 2021“: Nach Hacks von Unternehmenswebsites rangierten Angriffe auf IoT-Devices wie Router, IP-Kameras und viele mehr auf dem zweiten Platz bei Angriffen. Komplexe Patch-Richtlinien in Unternehmensnetzen und schwer zugängliche Geräte-Umgebungen blockierten den rechtzeitigen Schutz. Da eine physische Benutzeroberfläche in Form eines „Screens“ fehle, falle zudem der Bedarf kaum auf – anders als bei einem PC, bei dem die Systeme nötige Patches und Updates melden könnten.
Laut Forrester verfügten nur 38 Prozent der Sicherheitsentscheider in den Unternehmen weltweit über ausreichende Richtlinien und Tools zum korrekten Management von IoT-Devices. „Wir finden täglich neue Sicherheitslücken, die meisten davon im direkten Auftrag der Hersteller. Das IT-Sicherheitsdenken muss alle Geräte einbeziehen, die in Netzwerken eingebunden sind, regelmäßige Prüfungen und Patches umfassen – und selbst ein Patch ist manchmal sogar die Quelle für eine neue Lücke. Nur wenige betroffene Unternehmen reagieren so schnell und gründlich wie Realtek. Jetzt sind allerdings auch die Hersteller gefragt, verwundbare Realtek-Komponenten in ihren Geräten zu patchen, und die Nutzer, ihre ,Devices‘ zu überprüfen und nötigenfalls zu aktualisieren“, resümiert Lukavsky.

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2019
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand

IoT Inspector, 16.08.2021
Advisory: Multiple Schwachstellen in Realtek SDK an Hunderttausende Geräte über Supply Chains weitergegeben

/FORRESTER, Merritt Maxim & Elsa Pikulik, 09.07.2021
Report / The State Of IoT Security, 2021

[datensicherheit.de, 17.03.2021] Fünf bekannte chinesische Elektronikhersteller seien gemäß des US-amerikanischen „Secure Networks Act“ von der Federal Communications Commission (FCC) zur Bedrohung für die Nationale Sicherheit erklärt worden: „Neben Huawei und ZTE, die bereits seit 2019 als Sicherheitsrisiko gelten, betrifft es nun auch Hytera, Hikvision und Dahua.“ All diese Unternehmen stehen demnach ab sofort auf der Verbotsliste für den Einsatz in US-Behörden. Diese Produzenten arbeiteten auch als OEM-Hersteller (Erstausrüster / Original Equipment Manufacturer) für bekannte Unternehmen, deren Produkte in großer Stückzahl auch in Deutschland bzw. Europa im Einsatz seien.

IoT Inspector prüft IoT-Devices auf Sicherheitslücken in der Firmware

Rainer M. Richter, Geschäftsführer von IoT Inspector warnt eindringlich: „Die Lieferketten von IoT-Geräten sind komplex – das zeigt bereits das Beispiel von Huawei-Zertifikaten in Geräten von Cisco, die unser Team gefunden hat. Die jetzt betroffenen chinesischen Firmen zählen zu den größten OEM-Herstellern weltweit, ihre Technologie kommt ‚undercover‘ auch in Produkten namhafter Hersteller wie Abus oder Panasonic zum Einsatz.“
Das deutsche Unternehmen IoT Inspector prüft nach eigenen Angaben IoT-Devices auf Sicherheitslücken in der enthaltenen Firmware. Die Problematik reiche jedoch weit über die betroffenen fünf Unternehmen hinaus. Viele Überwachungskameras und Telekommunikationsgeräte enthielten Sicherheitslücken und kaum geschützte Zugänge, welche durch Angreifer oder Geheimdienste einfach ausgenutzt werden könnten. „Die Spanne reicht vom unerkannten Administrator-Zugang eines der OEM-Herstellers bis zu über ein IoT-Device leicht hackbaren WLAN-Zugang“, erläutert Richter. Dies betreffe auch außerhalb Chinas angesiedelte Hersteller.

Bewusstsein für Security im IoT längst noch nicht ausreichend ausgeprägt

Das Verbot der US-Behörden gehe derweil noch einen Schritt weiter und umfasse auch „subsidiaries and affiliates of these entities“ sowie „telecommunications or video surveillance services provided by such entities or using such equipment“. Subunternehmer, Sicherheitsdienstleister oder Firmen, die Produkte dieser OEM-Zulieferer und Partner mit eigenem Label versehen oder einsetzen, seien damit ebenso Teil des neuen US-Banns, der möglicherweise auch in Europa Schule machen werde.
„Bei unseren Untersuchungen haben wir häufig Überraschungen erlebt und verborgene Lieferketten aufgezeigt. Der einzige Weg zur Offenlegung der Supply-Chain und Identifikation des originalen Herstellers ist die Untersuchung der Firmware – zusätzlich zur Analyse auf Sicherheitslücken“, berichtet Richter. Im Regelfall arbeiteten sein Unternehmen und dessen Partner gemeinsam mit dem jeweiligen Hersteller an der Identifikation und Behebung der Lücken – ein generelles Bewusstsein für Security im Internet der Dinge (IoT) sei allerdings längst noch nicht ausreichend ausgeprägt, so Richters Erfahrung.

IoT sollte nicht als „Plug, Play & Forget“ betrachtet werden!

Es herrsche „immense Sorglosigkeit bei der Implementierung dieser Geräte“, die in Kritischer Infrastruktur und immer mehr Unternehmen sowie Haushalten eine stille Gefahr darstellten. „Es muss klar sein, dass jede dieser Einrichtungen in einem IT-Netzwerk eingebunden ist und entsprechend als Trojanisches Pferd missbraucht werden kann. IoT sollte nicht als ‚Plug, Play & Forget‘ betrachtet werden!“, fordert Richter auf.
Insofern könne das klare Verbot durch die US-Behörden als „Warnschuss auch für die hiesigen Unternehmen“ verstanden werden – denn es sei definitiv zu erwarten, dass Geräte wie Sicherheitskameras dieser Hersteller auch in deutschen Kritischen Infrastrukturen im Einsatz seien. Die Hersteller und sogenannten Inverkehrbringer seien daher dringend angehalten, die Firmware am besten schon vor der Installation auf Sicherheitslücken zu untersuchen und dann gezielt abzusichern. Aber auch die heimischen Behörden und Netzwerkbetreiber sollten mehr Bewusstsein für das mit IoT-Geräten verbundene Risiko entwickeln und die Infrastruktur und deren Komponenten entsprechend gegen diese Gefahren sichern.

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2021
Sicherheitslücken in IoT-Geräten bieten Hackern Vollzugriff

IoT Inspector
Huawei Schlüsselmaterial in Cisco Firmware

FCC Federal Communications Commission, 12.03.2021
FCC Releases List of Equipment & Services That Pose Security Threat

S&O Global Market Intelligence, 13.07.2020
FCC explores adding additional companies to US subsidy ban list

[datensicherheit.de, 07.03.2021] Egal, ob Überwachungskameras für Häuser und Firmen, Babycams, der Saugroboter oder die smarte Schließanlage – immer öfter fänden IoT-Geräte den Weg in Netzwerke und öffneten damit „Tür und Tor“ für Hacker-Attacken. Nahezu jedes Device habe teils gravierende Lücken, warnen Security-Experten von IoT Inspector:

Bewusstsein für IoT-Sicherheit weder bei Anwendern, noch Herstellern oder Inverkehrbringern wirklich vorhanden

Das Bewusstsein für die notwendige Sicherheit dieser Geräte sei weder bei den Anwendern, noch bei den Herstellern oder Inverkehrbringern wirklich vorhanden. „Ein im Klartext aus dem Staubsauger auslesbarer WLAN-Schlüssel oder ein für den Benutzer unsichtbares Admin-Account mit gefährlichem Vollzugriff in der Firmware einer Überwachungskamera, der vom OEM-Hersteller in China stammt, sind dabei nur einige der immensen Sicherheitslücken, die wir immer wieder sehen“, erläutert Rainer M. Richter, Geschäftsführer von IoT Inspector.
Sein Unternehmen hat demnach die Sicherheitsprüfung der Firmware smarter Devices automatisiert und ermögliche so in wenigen Minuten eine tiefe Analyse, „die eine Vielzahl von Schwachstellen aufdeckt und deren gezielte Behebung ermöglicht“. Auch Verletzungen internationaler Vorgaben zu IT-Sicherheit würden durch den integrierten „Compliance Checker“ geprüft.

IoT-Devices im privaten Einsatz können leicht gehackt werden

Eine besondere Gefahr sehen die Experten dabei „in der drastischen Zunahme von Menschen im Home-Office“: IoT-Devices im privaten Einsatz könnten leicht gehackt werden, erlaubten z.B. den Zugriff auf ein WLAN und erhöhten damit das Infektionsrisiko für sich darin befindende Computer und andere IT-Komponenten. Der Schritt in ein abgesichertes Firmennetzwerk – beispielsweise per VPN-Verbindung – sei dann nur noch der krönende Abschluss einer möglichen Hacker-Strategie.
Aber auch direkt in Unternehmen seien mehr und mehr smarte Geräte mit Internetverbindung unterwegs: Nicht nur Fertigungssteuerungen, auch Schließ- und Überwachungssysteme seien rund um die Uhr online. „Es muss sich scheinbar erst etablieren, dass der mit IoT-Geräten in der IT-Infrastruktur verbundene Komfort auch beachtliche Sicherheitsrisiken mit sich bringt. Wer sich längst an Firewall und Virenscanner gewöhnt hat, darf in Punkto IT-Security nicht bei smarten Devices – also IoT Devices – aufhören“, betont Richter.

IoT-Geräte wie Drucker, Router, smarte Licht- und Klimakontrollen als potenzielle Einfallstore

IoT-Geräte umfassten auch Drucker, Router, smarte Licht- und Klimakontrollen, die sich ebenfalls als potenzielles Einfallstor für Hacker eigneten. Sie könnten als sogenannte Trojanische Pferde missbraucht werden und so die Infiltration von Netzwerken, den Diebstahl von Daten oder die Platzierung von Ransomware ermöglichen. Dabei seien zahlreiche der bereits von IoT Inspector durchleuchteten Devices auch in Kritischen Inftrastrukturen (KRITIS) im Einsatz – ein immenses Risiko und gleichzeitig ein Bruch der Vorgaben an IT-Compliance.
Gleichzeitig müsse auch klar sein, dass IoT-Security nicht durch eine einmalige Prüfung dauerhaft gegeben sein könne. Jedes Firmware-Update – von der smarten Kamera über den Router und jede weitere IoT-Anschaffung – berge das Risiko neuer Sicherheitslücken. „Eine Überwachungsfunktion innerhalb der IoT Inspector-Plattform ermöglicht die tägliche Prüfung auf neue Risiken und die laufende Einhaltung der internationalen Vorgaben, die sich je nach Land auch von Zeit zu Zeit ändern“, berichtet Richter.

Weitere Informationen zum Thema:

datensicherheit.de, 09.12.2020
Tausende IoT-Schwachstellen unter dem Weihnachtsbaum

datensicherheit.de, 26.08.2020
Die Top 5 Mythen der IoT-Sicherheit / Palo Alto Networks rät, sich in der IoT-Welt auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät

datensicherheit.de, 19.08.2020
IoT-Sicherheit: 7 zentrale Erkenntnisse / Palo Alto Networks betont Bedeutung Maschinellen Lernens für verbesserte IoT-Sicherheit

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

[datensicherheit.de, 09.12.2020] Nicht nur billige Ware aus Fernost sei von Schwachstellen betroffen – auch Produkte namhafter Hersteller wiesen „eklatante Sicherheitslücken“ auf, warnt aktuell IoT Inspector. Auch 2020 werde wohl jeder Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben. Gerne landeten dabei technische „Gadgets“ wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik unter dem Weihnachtsbaum. IoT Inspector hat deshalb nach eigenen Angaben beliebte Artikel namhafter Hersteller (u.a. aus den USA und Deutschland) untersucht und sei zu erschreckenden Ergebnissen gekommen: „Jedes dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen.“ Die Angreifer seien dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.

In 6 Produkten renommierter Hersteller insgesamt über 7.000 Schwachstellen gefunden

Security-Experten von IoT Inspector hätten einen fiktiven Geschenkkorb mit sechs Produkten renommierter Hersteller untersucht und dabei insgesamt über 7.000 Schwachstellen gefunden. „In den meisten Fällen kam veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version.“ Bei dieser Untersuchung seien jedoch auch bislang unbekannte Schwachstellen identifiziert und umgehend an die Hersteller gemeldet worden.
Zudem hätten die Spezialisten mangelhafte Wartungszugänge gefunden, die Angreifern eine Fernsteuerung des Geräts ermöglichten. Hierdurch könnten die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden.

WiFi-Passwort im Klartext: In Verbindung mit anderen Schwachstellen kann Passwort ausgelesen werden

„Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden: So nutzen die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyber-Kriminelle können so den Datenverkehr umleiten und Malware in die Geräte einschleusen“, erläutert Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH.
Bei einigen Geräten werde auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen könne das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Richter: „Diese sind typische Gründe, weshalb die Schwachstellen von IoT-Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen.“

Untersucht wurden folgende Geräte auf Schwachstellen:

• „Smart Speaker“ mit „Voice Control“ eines bekannten deutschen Herstellers: 1.634 Schwachstellen
• als „sicher“ beworbener „Messenger“ für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
• Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
• „Smart Home“-Kamerasystem eines US-amerikanischen Branchenriesen: 1.242 Schwachstellen
• Haustier-Überwachungskamera (häufig auch als Babycam verwendet): 643 Schwachstellen
• mit „größter Datensicherheit“ beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen

Richter: „Uns war wichtig, nicht nur ‚No Name‘-Billigprodukte zu untersuchen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern.“ Insgesamt müsse die ganze Branche endlich die Sicherheit von IoT-Geräten von Anfang an mitbedenken und umsetzen.

Schwachstellen weit verbreitet: Grundsätzlich bei IoT-Devices Vorsicht walten lassen

Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten. Darüber hinaus sollten Käufer laut IoT Inspector folgende Tipps beherzigen:

• Prüfen Sie, ob der Hersteller eine Website hat! Viele Hersteller, die ihre Produkte auf den gängigen Online-Marktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
• Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt!
• Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird!
• Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen! Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie, Ihren Kindern auf. Fragen Sie sich, ob ein Gerät wirklich all diese Informationen benötigt!
• Seien Sie sich der Angriffsfläche bewusst. So beträgt die Reichweite (und damit auch die Angriffsfläche) von „Bluetooth“-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

datensicherheit.de, 04.10.2019
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand / Vorstellung auf der „it-sa 2019“ in Nürnberg

[datensicherheit.de, 02.07.2020] „Obwohl Security-Experten seit Jahren regelmäßig gefährliche Sicherheitslücken in Routern aufdecken und nachdrücklich vor den damit verbundenen Risiken warnen, bleiben die Hersteller davon scheinbar unbeeindruckt“, kritisiert Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH, in seiner aktuellen Stellungnahme. Anders lässt es sich demnach nicht erklären, dass Sicherheitsforscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) in einer Überprüfung von 127 verschiedenen Home-Routern jüngst „erneut inakzeptable Schwachstellen“ wie voreingestellte Hersteller-Passwörter, fehlende Exploit-Schutzmaßnahmen oder private Krypto-Schlüssel gefunden haben. Für die Nutzer der Geräte bedeute dies letztlich, dass sie selbst aktiv werden und nach Schwachstellen suchen müssten, „wenn sie ihre Cyber-Angriffsfläche reduzieren wollen“, so Richter.

Foto: SEC Technologies GmbH

Rainer M. Richter: Nutzer von IoT-Geräten müssen selbst aktiv werden und Sicherheitslücken identifizieren!

Erinnerung an „Mirai“-Attacken auf Router im Jahr 2016

Welche Gefahren Router-Schwachstellen nach sich ziehen, sollte spätestens seit den großangelegten „Mirai“-Attacken im Jahr 2016 jedermann verstanden haben (diese „Linux“-Schadsoftware hatte damals IoT-Geräte gezielt nach Sicherheitslücken gescannt, infiziert und anschließend über Bot-Netze flächendeckend lahmgelegt).
Richter erinnert an den Vorfall: „Betroffen waren unter anderem auch Hunderttausende Router der Deutschen Telekom. Und auch im vergangenen Jahr waren Telekom-Router negativ in den Schlagzeilen, als eine einfache Fehlkonfiguration eines Ports einen schweren Datenschutzvorfall verursacht hatte, der rund 30.000 sensible Patientendaten über einen ,Windows‘-Server für jedermann im Internet frei zugänglich gemacht hat.“

Hersteller von Routern und anderen IoT-Geräten wissen nun seit Jahren von Schwachstellen

Für zu viele Hersteller von IoT-Geräten habe Sicherheit nach wie vor keine Priorität – wenn die Hersteller von IoT-Geräten (denn das Problem beschränke sich leider nicht nur auf Router) nun seit Jahren von den anhaltenden Schwachstellen wüssten, „stellt sich die Frage, warum sie überhaupt nicht oder nur spärlich handeln“.
Eine Erklärung ist laut Richter, dass für viele von ihnen eine günstige Entwicklung und schnelle Time-to-Market oberste Priorität hat, was dazu führt, dass eine wirksame Überprüfung auf mögliche Sicherheitslücken vernachlässigt wird bzw. das Entfernen von bekannten Schwachstellen unter den Tisch fällt.
Richter: „Nicht ganz so einfach zu erklären ist, warum die Hersteller auf Hinweise von Nutzern oder externen Sicherheitsanalysten, die Schwachstellen in ihren IoT-Geräten identifiziert haben, in vielen Fällen ablehnend, ja sogar drohend reagieren, anstatt das Gespräch zu suchen und gemeinsam an zufriedenstellenden Lösungen zu arbeiten.“

IoT-Schwachstellenbehebung: Reaktion schädlicher als Prävention

Dabei gingen sie ein hohes Risiko ein: Abgesehen von drohenden Reputationsschäden im Fall von Cyber-Vorfällen oder Datenschutzverletzungen, müssten sie sich bewusst machen, dass eine nachträgliche Behebung von Sicherheitslücken – zum Beispiel in Hunderttausenden, weltweit eingesetzten IoT-Komponenten – sie mehr kosten werde als eine frühzeitige Analyse und eventuelle Schwachstellenbehebung vor dem Rollout.
Solange die Hersteller selbst nicht aktiv werden und für ausreichend Sicherheit ihrer Kunden und derer Systeme und Daten sorgen, liege es letztlich an den Nutzern und auch Serviceprovidern selbst, für Transparenz zu sorgen und potenzielle Verwundbarkeiten in den eingesetzten Geräten aufzudecken.
Dabei müssten sie sich zunächst bewusst machen, welche Risiken von IoT-Devices – dazu zählen neben Routern klassischerweise auch Drucker, IP-Kameras, VoIP Telefone oder Thermostate – tatsächlich ausgehen. „Die Router-Analyse des FKIE bietet hier Augen öffnende Einblicke: So basiert ein Drittel der getesteten Geräte auf ,Linux‘-Kernelversionen, die seit über neun Jahren keine Sicherheitsupdates mehr bekommen. Zudem fanden die Forscher durchschnittlich knapp fünf private Krypto-Schlüssel pro untersuchtem Firmware-Image sowie werksseitig voreingestellte Passwörter, die teilweise nirgends aufgeführt sind.“

IoT-Firmware-Schwachstellen: Anwender müssen selbst aktiv werden!

Wer sich und sein Unternehmen diesen Risiken nicht blindlings aussetzen möchte, „dem ist angeraten, selbst aktiv zu werden und nach Schwachstellen in den eingesetzten IoT-Devices zu suchen. Schon heute stehen Unternehmen, Infrastrukturanbietern, Herstellern und IT-Beratern automatisierte Analyse-Tools und -Plattformen zur Verfügung, die Transparenz darüber bieten, was sich in einem Firmware-Image befindet und klassische IoT-Firmware-Schwachstellen wie Lücken in der Systemkonfiguration, festeingestellte Passwörter oder SSH Host-Keys sichtbar machen.“
Fortschrittliche Werkzeuge seien dabei auch mit den gängigen internationalen Sicherheitsstandards für IoT-Geräte – man denke an die „ENISA Baseline Security Recommendations for IoT“ oder die „IoT-Richtlinien“ des Deutschen Instituts für Normung – vertraut und somit in der Lage, anzuzeigen, ob die Geräte gegen Compliance-Vorschriften der jeweiligen Branche verstoßen.
Da ein Umdenken und eine größere Sicherheitsverantwortung von Seiten der Hersteller auch in der nächsten Zeit eher nicht zu erwarten sei, sollte eine selbstständige Analyse der IoT-Firmware für viele Unternehmen und Provider zur Selbstverständlichkeit werden. „Nur so können Sicherheitsmaßnahmen an den Gefahren angepasst und die Cyber-Angriffsfläche minimiert werden“, unterstreicht Richter.

Weitere Informationen zum Thema:

datensicherheit.de, 01.07.2020
The IoT is broken – gebrechlich aber heilbar / Neuer TÜV SÜD-Podcast „Safety First“ mit Mirko Ross

datensicherheit.de, 27.06.2020
Fast alle getesteten Router mit Sicherheitsmängeln / „Home Router Security Report 2020“ vom Fraunhofer FKIE veröffentlicht

datensicherheit.de, 29.11.2016
Angriff auf Router von Telekom-Kunden zeigt Verletzbarkeit der IKT-Infrastruktur / G DATA warnt: Angriffe auf Router lohnen sich!

[datensicherheit.de, 04.10.2019] Die Sicherheit der Firmware für Komponenten im Internet der Dinge und Dienste (IoT-Firmware) wird offensichtlich nach wie vor stark vernachlässigt, obwohl nach Expertenschätzungen bis zum Jahr 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Die Analyseplattform „IoT Inspector“ soll nun Herstellern und Anwendern ein hilfreiches Werkzeug zur Verfügung stellen, um die Firmware von IoT-Geräten automatisiert auf potenzielle Schwachstellen und Sicherheitslücken zu untersuchen. „IoT Inspector“ soll auf der „it-sa“ vom 8. bis 10. Oktober 2019 am Partnerstand Nr. 316 bei Exclusive Networks in Halle 9 vorgestellt werden.

Automatisierte Erkennung von Schwachstellen in IoT-Geräten

Erst vor wenigen Wochen hat das Forscher-Team rund um den „IoT Inspector“ nach eigenen Angaben die Leistungsfähigkeit der Plattform bei der automatisierten Erkennung von Schwachstellen in IoT-Geräten wieder einmal bestätigen können: Auf mehreren WLAN-Access-Points habe der automatisierte Scan einen FTP-Server mit einem hartkodierten Benutzer inklusive Passwort identifizieren können.
Diese Anmeldedaten könnten von Unbefugten dazu verwendet werden, sich in den FTP-Server des „Access Points“ einzuloggen und die gesamte WLAN-Konfiguration, d.h. alle SSIDs und Passwörter, auszulesen. Auf diese Weise könnte sich ein Angreifer Zugriff auf geschützte Netzwerke verschaffen und dort weiteren Schaden anrichten.

Großteil gängiger Sicherheitslücken in IoT-Geräten vermeidbar

„Der Großteil der gängigen Sicherheitslücken in IoT-Geräten – seien es hartkodierte Kennwörter, nicht entfernte Debugging-Tools oder Schwachstellen bei der Authentifizierung – ist vermeidbar“, sagt Rainer M. Richter, „Director Channel“ für den „IoT Inspector“. Dafür sei letztlich nur eine kurze Überprüfung der Firmware mithilfe eines automatisierten Tools wie dem „IoT Inspector“ nötig.
„Für die Hersteller der Geräte rechnet sich diese Investition definitiv, denn die nachträgliche Behebung einer Sicherheitslücke in beispielsweise Zehntausenden, weltweit eingesetzten IoT-Komponenten ist in aller Regel weitaus teurer und aufwändiger, als eine Analyse der Firmware und eventuelle Schwachstellenbehebung vor deren Rollout.“ Diese Rechnung sollten sich die Hersteller stets vor Augen halten, meint Richter.

Weitere Informationen zum Thema:

SEC Consult
HARDCODED FTP CREDENTIALS IN ZYXEL NWA/NAP/WAC WIRELESS ACCESS POINT SERIES

datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke

datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig / Kriminelle könnten Fotos verschlüsseln und Lösegeld erpressen

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe