Im Internet der Dinge kommunizieren eine Vielzahl von Geräten miteinander und sind damit auch potenziell von Cyberkriminellen bedroht. Marco Di Filippo, Head of Cyber Security Engineering und Cyber Security Evangelist bei der Koramis GmbH, sieht für die Sicherheit gleichermaßen Hersteller wie Anwender in der Pflicht. Im Interview mit eco – Verband der Internetwirtschaft e.V. erläutert er Angriffspunkte und stellt Schutzmechanismen vor.
Herr Di Filippo, mit dem Internet der Dinge entstehen auch neue Bedrohungsszenarien. Wo sehen Sie potenzielle Angriffspunkte?
Im Internet der Dinge werden eine Vielzahl Geräte miteinander und der Außenwelt kommunizieren. Das gilt sowohl im privaten Bereich, etwa beim Smart-Home als auch im wirtschaftlichen Umfeld, beispielsweise, wenn wir an die Smart Factory im Umfeld von Industrie 4.0 denken.
Potenzielle Angriffspunkte werden da zu finden sein, wo die Sicherheit vernachlässigt wurde. Das Worst-Case-Szenario sind natürlich Endgeräte, die ohne jeglichen Zugriffsschutz vom Internet aus erreichbar sind. Insbesondere Systeme, die mit einem veralteten Betriebssystem laufen – etwa Produktionsanlagen, die eine Laufzeit von 10-20 Jahre haben – stellen hier ein gravierendes Problem dar.
Aber auch schwache Passwörter – ich nenne hier einmal beispielhaft den Klassiker „1234“ – schrecken einen Hacker nicht ab. Ebenso problematisch sind Netzwerke, die kaum oder gar nicht segmentiert sind. Dort besteht die Gefahr, dass sobald ein vorhandener Schutz erst einmal überwunden ist, das gesamte System dem Angreifer offen steht.
Usability auf Kosten von Security
Netzwerke sollten möglichst segmentiert sein. Im Idealfall liegt jedes internetfähiges Endgerät in einem eigenen Segment. Das ist allerdings meistens kaum umsetzbar, zumindest nicht unter wirtschaftlichem Blickwinkel. Trotzdem sollte eine Segmentierung möglichst fein erfolgen. Somit ist bei einem Sicherheitsvorfall gewährleistet, das nicht auf einen Schlag alle Systeme betroffen sind.
Das sind aber technische Aspekte. Das größte Problem ist das fehlende IT-Sicherheitsverständnis in weiten Teilen der Gesellschaft. Solange genügend Menschen unreflektiert jeden E-Mail-Anhang öffnen, alles Mögliche, aus weiß Gott welchen Quellen auf ihren Rechnern installieren, einen einzigen USB-Stick für berufliche und private Zwecke nutzen, diesen von Pontius zu Pilatus tragen und an alle möglichen Geräte anschließen – solange haben Hacker leichtes Spiel.
Dabei ist aber nicht nur der User in der Pflicht. Auch die Hersteller von IoT-Equipment müssen ihre Hausaufgaben machen. Derzeit gibt es am Markt eine Vielzahl von Geräten, die mit in der Szene bekannten Standardpasswörtern ausgeliefert werden oder gar Hard-Coded-Default-Passwörter aufweisen. Hier haben wir oft das Problem, dass Security zugunsten der Usability vernachlässigt wird.
Welche bereits existierende Szenarien wirken sich aus Ihrer Sicht besonders gravierend im IoT aus?
Sprechen wir von IoT, meinen wir eigentlich eine weltweit extrem stark vernetzte IT. Eine Welt, in der fast jedes physikalische Gerät über das Internet kommuniziert. Ob Computer, Smartphone, smarte Lampe, smarter Kühlschrank, Kameras, Smart-Home-Server oder interntefähiger Fernseher – alles kommuniziert fortwährend mit- und untereinander.
Wir sprechen, auch wenn die Einzelgeräte unter Umständen sehr wenig Rechenleistung mitbringen, in der Summe von einer enormen Rechenpower. Das macht die Sache für gewisse Kreise sehr interessant. Nehmen wir das Mirai-Bot-Netz. Das nutzt die kulminierte Rechenkraft von hunderttausenden, infizierten Endgeräten aus, um sogenannte DDoS-Attacken auszuführen. Dabei merken die Eigentümer häufig gar nicht, dass eines oder mehrere ihrer Smart-Home-Geräte Teil eines weltweiten Bot-Netzes sind.
Auch die aktuell für Aufsehen sorgende „WannaCry“-Attacke macht nur in einem IoT-Umfeld wirklich Sinn. Die Malware verbreitet sich nämlich – nachdem sie einen einzigen Rechner eines Netzwerkes infiziert hat – automatisch, ohne dass eine weitere User-Interaktion notwendig wäre, im gesamten Netzwerk. Was – und damit wären wir wieder bei der Netzwerksegmentierung, besser gesagt bei der fehlenden Segmentierung – verheerende Folgen nach sich ziehen kann.
IT-Security muss Kernkompetenz sein
Ein weiteres längst schon aktuelles, von der Security-Warte aus gesehen höchst bedenkliches Szenario ist die Art der Installation von IoT-Endgeräten. Wer verbaut die in den eigenen vier Wänden und richtet sie ein? Der User selbst oder ein Handwerker. Ohne einer der beiden Gruppen zu nahe treten zu wollen, IT-Security ist nicht unbedingt deren Kernkompetenz.
Der Schreiner mag eine 1a-Tür einbauen, aber ob er die Fähigkeit hat, das von ihm mitgebrachte smarte Türschloss richtig und sicher einzurichten, steht wiederum auf einer ganz anderen Karte. Auch der Fernsehtechniker oder Elektriker ist auf seinem Gebiet sicherlich ein Fachmann – aber eben nicht, wenn es um IoT und Security geht. Trotzdem verkaufen und verbauen sie IoT-Geräte.
Oftmals geht Usability vor Security! Das birgt natürlich Gefahren. Eigentlich bräuchte es hier zumindest eine Zusatzausbildung, besser noch eine ganz neue, IoT-gerechte, qualifizierende Ausbildung, die eingehend auf diese neuen Aspekte eingeht und den zukünftigen Fachkräften das nötige Rüstzeug für eine Welt 4.0 mit an die Hand gibt.
5 Tipps für mehr Schutz
Welchen Schutz empfehlen Sie den Anwendern?
- Für das Internet der Dinge muss Security nicht neu erfunden werden. Beachtet man die gängigen Standards, ist auch die voll vernetzte Welt weitestgehend sicher. Das fängt mit der Wahl eines sicheren Passwortes an. Dieses Passwort sollte mindestens acht besser zwölf Zeichen lang sein und dabei eine zufällige Folge von Zeichen, Ziffern und Sonderzeichen beinhalten.
- Wichtig ist es, nach Möglichkeit niemals ein und dasselbe Passwort an mehreren Stellen zu verwenden. Sprich für jede Anwendung, jeden Account, alles wofür ein Passwort benötigt wird, sollte ein eigenes genutzt werden. Da das heutzutage natürlich recht schnell unübersichtlich zu werden droht, kann man auf Passwordsafes zurückgreifen. Zudem bietet die sogenannte Zwei-Faktor-Authentifizierung weiteren Schutz.
- Außerdem sollte man sein Netzwerk segmentieren, sprich nicht alle Geräte in ein- und demselben Netzwerk betreiben. Außerdem ist es ratsam sich beim Einrichten des Netzwerkes schon Gedanken darüber zu machen, wie dieses ausgestaltet werden soll, wer von wo welche Zugriffsrechte hat und inwiefern dieses Netz mit anderen kommunizieren darf.
- Diese Netzwerke sollten die gängigen Schutzfunktionen aufweisen und zudem mit einem Perimeterschutz, etwa einer Firewall, zusätzlich abgesichert werden. Zusätzlich sollte darauf geachtet werden, dass die Software, insbesondere Betriebssystem und Antivirenprogramme, immer auf dem aktuellsten Stand sind.
- Insgesamt sollten Netzwerke, ob private oder in der Wirtschaft, dem „Defense-in-Depth“-Modell folgen und den Schutz in mehreren Schichten gestalten.