Ende Oktober 2016 brachen im Internet der Dinge alle Dämme: Hacker kaperten schlecht abgesicherte Geräte wie Überwachungskameras, digitale Videorekorder oder private Router und bauten damit ein riesiges Bot-Netz auf. Mit der Kraft der vernetzten IoT-Geräte starteten sie eine massive Distributed-Denial-of-Service-Attacke (DDoS) auf bekannte US-Online-Dienste, um diese ausser Gefecht zu setzen. Die Folge: Die Seiten und Services von Firmen wie Amazon, Paypal, Netflix, Spotify oder Twitter waren in Teilen der USA und Europas zeitweise nicht verfügbar.

„Wir haben es hier mit einer neuen Qualität von Angriffen zu tun. DDoS-Attacken stossen durch die Bot-Netze auf Basis von kompromittierten IoT-Geräten in völlig neue Dimensionen vor. Da Cyberkriminelle das Potenzial dieser oft ungeschützten vernetzten Dinge erkannt haben, werden wir derartige Bot-Netz-Attacken künftig häufiger erleben“, erklärt Marc Fliehe, Bereichsleiter Sicherheit beim IT-Branchenverband Bitkom. „Die Anbieter von IoT-Lösungen müssen daher bereits bei der Entwicklung ihrer Anwendungen den Faktor Sicherheit stärker berücksichtigen.“

Den Herstellern ist bewusst, dass sich die Angriffsfläche für den unbefugten Zugriff auf die Daten der Produkte durch die fortschreitende Vernetzung erhöht hat. Das zeigt die Studie „Internet of Things in Deutschland 2016“ von IDC. Demnach erlebte jeder vierte Anbieter von vernetzten Geräten oder Services in den letzten zwölf Monaten einen Sicherheitsvorfall.

Auch die Unternehmen selbst befürchten bei ihren IoT-Initiativen potenzielle Angriffe. Der IDC-Studie zufolge sehen die befragten Firmen Datenschutz und Datensicherheit als grösste Herausforderung oder Hürde bei IoT-Projekten, noch vor der Finanzierung. Auch deswegen sind IoT-Hersteller mehr denn je gefordert, sichere Produkte zu entwerfen. Doch die Realität sieht noch anders aus.

Gefährdet sind vor allem vernetzte Autos oder Industrieanlagen, die lange Produktlebenszyklen von fünf bis 20 Jahren aufweisen und entsprechend langfristig mit Software-Updates und Sicherheits-Patches versorgt werden müssen. Denn mit der zunehmenden Vernetzung von IT und Produktion im Internet der Dinge, Stichwort Industrie 4.0, wachsen auch die Herausforderungen in puncto Sicherheit. Berichte über Sabotage von Fahrassistenzsystemen oder Kraftwerken belegen die steigenden Gefahren. „Erschwerend kommt hinzu, dass Autos und bestehende Industriesysteme weder für eine Online-Verbindung konzipiert noch mit einem Fokus auf IT-Sicherheit entwickelt wurden“, gibt Marc Fliehe zu bedenken.

Besonders augenfällig sind die IoT-Gefahren auch beim Smart Home, dem Teil des Internets der Dinge für die Vernetzung und auch Steuerung verschiedenster Geräte im häuslichen Bereich: Es gibt unzählige Berichte über geknackte Steuereinheiten für Thermostate, Heizung und Licht, Alarmanlagen oder Rollläden. Einbrecher manipulieren den elek­tronischen Türöffner, schalten die Alarmanlage aus oder fahren die Jalousien herunter. Auch smarte TV-Geräte wurden bereits zum Spion umprogrammiert, der Gespräche im Wohnzimmer mithört und persönliche Daten nach aussen gibt. Oder Webkameras und Router werden Teil von Bot-Netzen.

„Problematisch ist, dass sich all diese Geräte von aussen über das Internet steuern lassen, aber oft nur durch einfache Default-Passwörter wie ‚1234‘ oder ‚0000‘ gesichert sind“, kritisiert Bitkom-Mann Marc Fliehe.

Er sieht jedoch auch die Hersteller in der Pflicht. Sie müssten transparent machen, welche Zugänge etwa für die Fernwartung existieren und wie diese abgesichert sind. „Zudem muss klar sein, wie oft und in welchem Abstand sie Software-Updates einspielen. Es muss eine Art digitales Mindesthaltbarkeitsdatum geben, bis zu dem ein Gerät mit Updates versorgt wird“, so Marc Fliehe.

Dirk Kollberg, Senior Security Researcher beim Antiviren-Spezialisten Kaspersky, sieht zudem ein grundsätzliches Manko: „Viele IoT-Anbieter haben wenig Erfahrung mit Security und unterschätzen die vielen IT-Probleme, die sie sich mit IoT-Geräten ins Haus holen. So fehlt beispielsweise häufig eine Update-Strategie für die Behebung von Sicherheitslücken. IoT-Sicherheit ist kein einmaliges Ereignis, sondern Firmen müssen sich auf Veränderungen einstellen und das Produkt auch in Zukunft unter dem Aspekt Sicherheit betreuen.“

Ein Beispiel: Hacker können durch die jährlich steigende Rechenleistung Verschlüsselungen nach älteren Methoden schneller aufbrechen. „Daher müssen Entwickler schon beim Design der Anwendung darauf achten, dass die ursprünglich eingesetzten Kryptografie-Schlüssel im Lauf der Zeit durch komplexere Schlüssel ersetzt werden können“, so Dirk Kollberg. Nur dann können sie auch in Zukunft ein hohes Sicherheitsniveau halten.

Im Bereich Smart Home legen viele Firmen den Fokus vor allem auf Funktionalität, schnelle Marktreife und einfache Bedienung. Dies gilt etwa für Überwachungskameras oder Thermostate, die sich direkt mit dem zentralen Router des Heimnetzwerks verbinden und mit einem einfachen Default-Passwort freigeschaltet werden. „Dahinter steckt auch eine falsch verstandene Benutzerfreundlichkeit. Die Anbieter von IoT-Geräten wollen es dem Anwender so einfach wie möglich machen, vernachlässigen dabei aber das Thema Sicherheit sträflich. Security war in diesen Fällen nicht Teil der Designphase des Produkts“, erklärt Stefan Strobel, geschäftsführender Gesellschafter und Gründer des auf Informationssicherheit spezialisierten Unternehmens cirosec.

Er fordert daher einheitliche Standards und Security by Design, sprich die Hersteller sollten bereits bei der Entwicklung ihrer Geräte an Sicherheitsfunktionen denken und in das Design integrieren. „Die Hersteller können beispielsweise Passwörter oder auch Kryptografie-Schlüssel in speziellen TPM (Trusted Platform Module)- oder Crypto-Chips ablegen, damit sie nicht ausgelesen werden können“, so Strobel.

Das Problem: Derartige Chips und ein grösseres Augenmerk auf Sicherheit erhöhen die Kosten bei der Entwicklung und verzögern die Marktreife des Produkts – und das in einem hart umkämpften Wettbewerb, bei dem Geschwindigkeit zählt. Daher bleibt im Zweifelsfall oft die IT-Sicherheit auf der Strecke.

Hackern bieten sich bei IoT-Anwendungen vier Einfallstore: die Endgeräte, die App auf dem mobilen Gerät, das Backend und die Übertragungswege.

Udo Schneider, Security Evangelist bei Trend Mi­cro, sieht hier klare Prioritäten bei den Cyberkriminellen: „Aus Sicht des Angreifers ist immer die Höhe des Returns on Investment entscheidend. Je näher am Backend, desto höher ist der Skaleneffekt für den Angreifer aus wirtschaftlicher Perspektive, da er am Backend viele Daten abgreifen kann und Kontrolle über alle verbundenen Geräte erhält.“ Er rät Firmen daher, besonderen Fokus auf den Schutz des zentralen Backends zu legen, etwa mit Verschlüsselung der Verbindung und Verifizierung über Passwort und Zertifikate. Laut Udo Schneider sind auch IoT-Anwendungen für übliche Angriffsarten wie SQL Injection oder XSS anfällig, da sich das Backend häufig in der Cloud befindet und meist auf einem Standard-Web-Stack basiert.

„Der Angriff auf ein einzelnes Gerät über die Luftschnittstelle lohnt sich für Hacker weniger, da Smart Devices oft nicht sehr intelligent sind und oft nur einen Bluetooth-Chip umfassen, der beispielsweise einen Motor steuert“, so Udo Schneider. Grösser sei die Gefahr bei intelligenteren Geräten, zum Beispiel Smartwatches. Die integrierten Beschleunigungssensoren können Aufschluss über die Aktionen des Benutzers geben. „Ein gewiefter Hacker kann darüber die PIN erkennen.“

Vielschichtiger ist das Problem bei Industrie 4.0. Hier ist das Risiko natürlich grösser, da Angreifer zum Beispiel mit der Suchmaschine Shodan einfach nach ungesicherten Industriegeräten und -systemen weltweit suchen können.

„Im Rahmen von Industrie 4.0 werden die Office-IT und der Shop-Floor oder das Produktionsnetz miteinander verknüpft. Diese beiden Umgebungen sind in der Regel heute noch voneinander isoliert, da in der Produktion sehr oft sehr alte, nicht veränderbare Systeme laufen. Nur allein durch die Vernetzung entstehen schon neue Risiken an den Netzwerkübergängen“, erklärt Martin Zeitler, Senior Manager Systems Engineering Germany bei Palo Alto Networks. Hier könnten beispielsweise Würmer, Trojaner oder andere unerwünschte Programme von der herkömmlichen Infrastruktur aus in die Produktionsumgebung gelangen.

„Ein zentrales Thema ist daher architekturelle Sicherheit durch Segmentierung des Netzwerks in Zonen wie Office-IT, SCADA und ICS-Segmentierung, Verschlüsselung sowie individuelle und sichere Authentifizierung. Jeder Benutzer, jedes System und jeder Dienst soll im Sinne des Least-Privi­lege-Prinzips nur die Rechte erhalten, die für eine spezielle Funktion absolut notwendig sind“, so Martin Zeitler.

Weitere grundsätzliche Massnahmen für IoT-Sicherheit wären etwa ein Intrusion Prevention System (IPS) mit intelligentem Umgehungsschutz sowie eine granulare Kontrolle der Anwendungen und Benutzeraktivitäten im Netzwerk. Eine Whitelisting-Funktion stellt sicher, dass ausschliesslich explizit freigegebene Programme Code ausführen. Denkbar ist auch der Einsatz von Netzwerk-Gateways mit inte­grierten Sicherheitsfunktionen, die die Daten der Sensoren oder anderer Endpunkte sammeln und sie zur Auswertung sicher in das Netzwerk oder die Cloud übertragen.

Vor dem sicheren Design der IoT-Anwendungen steht grundsätzlich immer eine Bedrohungs- und Risikoanalyse: Von wem geht das grösste Risiko für unser Geschäftsmodell aus, etwa von Mitbewerbern, Cyberkriminellen oder der NSA? Wie handelt der Angreifer, was wird er machen? Wie hoch ist die Wahrscheinlichkeit für einen Angriff? Was kann im schlimmsten Fall passieren? Welche Daten werden übertragen, welche Informationen sind unternehmenskritisch und welche Risiken sind für diese Daten ertragbar? Hier gilt: Unternehmen müssen immer den Compliance-Anforderungen entsprechen. Die Risikobewertung entscheidet letztendlich über die Präventivmassnahmen und die Priorisierung der weiteren Schritte.

Udo Schneider von Trend Micro rät Unternehmen, dass sie bereits in der Design-Phase externe Sicherheitsexperten mit an Bord holen sowie den Entwicklern Tools für Tests des Quellcodes an die Hand geben: „Anschliessend sollten umfangreiche Penetrationstests folgen, um Sicherheitslücken zu entdecken. Diese Tests sind natürlich sehr aufwendig und verzögern den Rollout der Produkte. Der Schaden ist aber viel grösser, wenn die Sicherheitslücke erst nach dem Marktstart entdeckt wird.“

Grundsätzlich gibt es genügend Best Practices für die sichere Entwicklung. Die von com! professional befragten Experten empfehlen als Leitfaden für die sichere Entwicklung von IoT-Anwendungen ISO-Normen wie die ISO 27034, den Microsoft Security Development Lifecycle und vor allem die OWASP-Top-10-Listen (Open Web Application Security Project), die über die häufigsten Bedrohungen bei Webanwendungen informieren.

Und so bleibt stellvertretend am Ende das Resümee von Udo Schneider: „IoT-Anbieter dürften keine Probleme bekommen, wenn sie diese Best Practices beherzigen. Letztendlich ist IoT-Sicherheit immer eine Frage der Kosten und der Risikoabwägung.“

Rüdiger Weyrauch ist Director System Engineering Central & Eastern Europe beim Security-Anbieter FireEye. Im Gespräch mit com! professional erklärt er die Sicherheitsherausforderungen im IoT, bedauert den Mangel an Security-Fachkräften und fordert Auflagen für Hersteller.

com! professional: Herr Weyrauch, welche Herausforderungen stellen sich für Hersteller bei der sicheren Entwicklung von IoT-Anwendungen?

Rüdiger Weyrauch: Hier muss man grundsätzlich zwischen B2B und B2C differenzieren. Im Consumer-Bereich, etwa im Smart Home, sind immer die Kosten entscheidend. Nehmen Sie das Beispiel Funksteckdosen: Im Baumarkt gibt es Produkte für 10 Euro, aber auch für 50 Euro. Die teureren Geräte integrieren bereits Sicherheitsfunktionen etwa zur Authentifizierung oder Verschlüsselung, die billigen nur selten. Hier handeln viele Hersteller nach der Devise „Market First“, bringen ihr Produkt also möglichst schnell auf den Markt. Und es steht die Usability im Blickpunkt. Das Gerät soll möglichst einfach zu bedienen sein. Im Zweifel steht Sicherheit dann hinter Kosten, Time-to-Market oder einfacher Bedienung.

com! professional: Wie bringt man diese Hersteller dazu, dass sie der Sicherheit höhere Priorität einräumen?

Weyrauch: Eine grosse Rolle spielen die Anwender. Der wirtschaftliche Schaden für die Hersteller von IoT-Produkten kann erheblich sein, wenn ihre Geräte wegen mangelnder Sicherheit in die Schlagzeilen geraten. Die Nutzer haben hier eine grosse Macht, wenn sie bei der Kaufentscheidung auf höhere Sicherheit Wert legen. Sie können so den Druck auf die Hersteller verstärken. Voraussetzung dafür ist aber eine Awareness bei den Anwendern. Sie sollten die Risiken beim Kauf eines IoT-Geräts kennen. Hier sind auch die Hersteller gefragt. Sie müssen offenlegen, welche Sicherheitsmassnahmen sie ergreifen oder was mit den Daten der Nutzer geschieht. Es geht um Transparenz.

com! professional: Was halten Sie von gesetzlichen Massnahmen?

Weyrauch: Gesetze und Regulierungen sind eine gute Möglichkeit, den Druck auf die Hersteller zu erhöhen, zum Beispiel durch eine erweiterte Produkthaftung. Allerdings müssen die Strafen abschrecken, damit mehr Geld für Sicherheit in die Entwicklungskosten einbudgetiert wird. Firmen reagieren erst, wenn die maximale Geldbusse wie bei der EU-Datenschutz-Grundverordnung bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes beträgt. Das sind andere Hausnummern.

com! professional: Wie kann so eine Regulierung aussehen?

Weyrauch: Wir benötigen auch für die IoT-Welt Mindeststandards zur Erhöhung der Sicherheit. So sollten beispielsweise starke Authentifizierung oder der verschlüsselte Versand von Daten verpflichtend werden. Durch den Regulierungsdruck dürfte die Sicherheit der IoT-Geräte weiter steigen. Vielleicht kommt es sogar soweit, dass die Behörden irgendwann ein Produkt wegen mangelnder Sicherheit aus dem Verkehr ziehen oder – wie derzeit angedacht – über das BSI Schwachstellen gemeldet werden und entsprechend
Warnungen ausgesprochen werden.

com! professional: Interessant. Apropos aus dem Verkehr ziehen mittlerweile werden auch vernetzte Autos zum Ziel von Hackern.

Weyrauch: Einfache Hacker wie organisierte Profis suchen alle Geräte nach Schwachstellen ab, die mit dem Internet vernetzt sind. Dazu gehören neben Geräten aus dem Smart Home auch Connected Cars und IoT-Anwendungen in der Industrie. Autos und Industrieanlagen sind meist proprietär und wurden ursprünglich nicht für die Verbindung nach aussen gebaut. Durch den Zugang zum IPNetzwerk steigen die Gefahren. Hacker suchen sich die schwächste Stelle, um in das System einzubrechen.

com! professional: Wie können sich Unternehmen und Hersteller gegen diese Gefahren wappnen?

Weyrauch: Sie müssen auf allen Ebenen Sicherheit einbauen, sprich im Endgerät, in der Service-Plattform oder App für die Steuerung sowie im Backend. Es bringt nicht viel, wenn das IoTGerät oder das Auto selbst sicher sind, der Hacker aber beim Service-Portal Log-in-Daten klauen und die Identität der Nutzer
übernehmen kann.

Grundsätzlich gelten hier auch die allgemeinen Prinzipien der sicheren Software-Entwicklung. Ich denke hier etwa an Hardening,also die Freigabe nur derjenigen Funktionen, die für den Betrieb absolut erforderlich sind, Netzwerksegmentierung, regelmässige Updates und Patch-Management.

Eine Studie von FireEye ergab, dass 30 Prozent der in Industriekontrollsystemen entdeckten Schwachstellen zum Zeitpunkt der Veröffentlichung ungepatcht waren und längere Zeit blieben. Das
darf nicht sein.

Sehr wichtig: Die Hersteller sollten während der Entwicklung nicht nur funktionale Tests, sondern auch sicherheitsspezifische Tests durchführen, eventuell auch mit externer Hilfe. Das kostet zwar Zeit und Geld, kann jedoch ein wichtiges Verkaufsargument bilden.

com! professional: Dafür braucht man jedoch auch das passende Personal…

Weyrauch: Ja, da sprechen Sie ein kritisches Thema an. Wir sehen grundsätzlich einen Fachkräftemangel im Bereich IT-Sicherheit. Das gilt natürlich auch für IoT-Security. Die Firmen verfügen meist nicht über eine genügende Anzahl qualifizierter Security-Spezialisten. Und der Markt ist ständig in Bewegung.

Nehmen Sie das Beispiel Connected Cars. Hier entsteht das neue Marktsegment Automotive Security mit einem grossen Bedarf an Fachkräften. Allein eine Stichprobe bei LinkedIn ergab kürzlich 300 offene Stellen in diesem Bereich. Wenn wir Deutschland als Vorbild für IT-Sicherheit entwickeln wollen, sollten wir ähnlich wie Grossbritannien in weiterführenden Schulen und Universitäten „Cybersecurity Guidelines“ in die Lehrpläne aufnehmen. Denn IT-Sicherheit wird auch in Zukunft” extrem wichtig bleiben.