IoT-Sicherheit betrifft uns alle: Auf dem Weg zu sicheren IoT-Systemen
Autor: Gabriel Fugli, Partner Account Manager bei der Paessler AG
Eine der schlimmsten Gefahren für das IoT war in den letzten Jahren das Mirai-Botnetz. Tausende Geräte wurden über Standard-Logins infiziert. Die Sicherheit beim Einsatz von IoT-Geräten muss daher hinterfragt werden.
Was kann getan werden? Eine mögliche und effektive Lösung für IoT-Sicherheit besteht darin, Benutzern die Möglichkeit einzuräumen, ihre Anmeldedaten für Smart-Geräte problemlos zu ändern. Das hilft zwar nur gegen die einfachen Methoden der Cyber-Kriminellen, doch genau diese wurden und werden ja am häufigsten eingesetzt. Die Hersteller können ihre Kunden beispielsweise dazu bringen, im Anmeldeprozess für ihre Geräte ein eindeutiges und „starkes“ Passwort zu vergeben. Ein einfacher Schritt, der durch diese Änderungen der Anmeldedaten die Anzahl „anfälliger“ Geräte reduziert. Für Hacker und Bots ist die Übernahme von IoT-Geräten dann nicht mehr so leicht möglich. Eine gute alternative Methode, die Hersteller von IoT-Geräten schnell einführen könnten ist, jedem einzelnen ein eindeutiges, zufällig generiertes Passwort zuzuweisen. Dieses wird dem Kunden zusammen mit dem Gerät übergeben.
Das Problem mit der Verschlüsselung
Es stellt sich jedoch als wesentlich schwieriger und aufwendiger heraus, Sicherheit gleich von Anfang an in Geräte zu integrieren. Ein Beispiel dafür ist Verschlüsselung. Dabei lassen sich die Daten, die ein IoT-Gerät sammelt, sowohl auf dem Gerät als auch während der Übertragung an ein anderes Gerät (oder während der Analyse in der Cloud) verschlüsseln. Beschäftigt man sich mit diesem Thema intensiver, dann findet man schnell heraus, dass es viele sehr gute Empfehlungen hinsichtlich geeigneter und verfügbarer Algorithmen und Schlüssellängen gibt. Dazu stehen auch einige interessante Open-Source-Verschlüsselungslösungen bereit. Es ist jedoch auch ein wichtiger Punkt, dass es wesentlich komplizierter ist, die damit jeweils verbundenen Codes zu schützen und zu verwalten – und durch unzureichendes Schlüsselmanagement wird der ganze Prozess hinfällig. Ein schlecht verwalteter Schlüssel kann die chiffrierten Daten unbrauchbar machen, wenn zum Beispiel der zum Verschlüsseln verwendete Code während der Authentifizierung nicht zur Verfügung gestellt werden kann. Hinzukommt, dass die enorme Anzahl an IoT-Geräten die Herausforderungen der Verschlüsselung und des Schlüsselmanagements exponentiell erhöht.
Ein Lichtblick
Hier sollte auch erwähnt werden, dass leider zu viele IoT-Gerät zu schwach sind für eine leistungsfähige Verschlüsselung. Ohne ausreichenden Speicherplatz ist eine gute SSL-Implementierung eigentlich unmöglich. Wir können davon ausgehen, dass Hersteller von IoT-Geräten, insbesondere für Endverbraucher, weiterhin Produkte auf den Markt bringen, die nur schlecht oder gar nicht gesichert sind. Das lässt sich aktuell nur schwer beeinflussen. Doch der Druck von außen auf die Produzenten und Lösungsanbieter nimmt zu. Die Nachfrage nach mehr Sicherheit und Datenschutz wächst im gleichen Maße. Es existiert bereits eine kleine, aber wachsende Gruppe Konsumenten, die sich ernsthaft Gedanken über die Sicherheit dieser Geräte macht. So sind zum Beispiel gerade die Geräte im Gespräch, die potenziell alles abhören können, was in ihrer Nähe gesprochen wird.
Die ersten großen Angriffswellen, wie durch das Mirai-Botnetz, haben zudem die Aufmerksamkeit von Sicherheitsexperten geweckt. Der durchschnittliche Kunde ist sich der Reichweite dieser Angriffe noch nicht bewusst.
IoT-Welt im Blick behalten Es lässt sich nicht jede Sicherheitslücke mit zuverlässiger IoT-Überwachung schließen. Doch durch kontinuierliches Monitoring können Sicherheitsrisiken besser identifiziert und dann Lücken geschlossen werden. Zuverlässig ist das nur möglich, wenn IoT-Geräte zentral verwaltet und überwacht werden. Geeignete Monitoring-Tools lassen sich schnell und problemlos integrieren. Dabei sollten sie über eine intuitiv zu bedienende Oberfläche verfügen, um jede IoT-Infrastruktur zuverlässig überwachen zu können.
https://www.paessler.com/