Es vergeht kaum ein Monat, in dem nicht irgendeine Malware smarte Geräte attackiert. Botnets wie Mirai haben sich auf Schwachstellen in vermeintlich intelligenten Endpunkten spezialisiert und sind enorm erfolgreich. Woran liegt das? Tatsächlich stecken in vielen Systemen alte Software und bekannte Schwachstellen, Kriminelle können diese einfach ausnutzen.
In 2015 haben wir einen Artikel namens „7 Gründe, warum IoT-Hacks möglich sind“ veröffentlicht –wir könnten diesen Beitrag 1:1 wieder online stellen und alle Bedrohungen sind immer noch aktuell. Das liegt nicht nur an den immer ausgefeilteren Angriffsmaßnahmen, die Bedrohung beginnt schon beim Hersteller.
Smart bedeutet nicht intelligent
Chips sind billig. Die Kosten für vermeintlich smarte Funktionen fallen ständig und Firmen packen Bluetooth- und Netzwerkfunktionen in alle möglichen und unmöglichen Geräte. Nur so ist zu erklären, warum es Gabeln mit Bluetooth-Funktion, intelligente Blumentöpfe oder Sex-Spielzeuge mit WiFi und Kamera (Keine Angst, der Link geht zu Heise und kann auch in der Arbeit gelesen werden) gibt. Das bedeutet aber nicht, dass in diesen Geräten Intelligenz steckt. Dazu reicht die verfügbare Rechenleistung oft doch nicht, stattdessen wird die eigentliche Analyse in der Cloud ausgeführt. Das bedeutet aber auch, dass in den Geräten selbst keine oder kaum Abwehrmaßnahmen haben. Gegen eine direkte Attacke können sie sich nicht wehren, im Gegenteil. Die Notwendigkeit einer Cloud-Verbindung sorgt dafür, dass die IoT-Systeme eine Lücke in die bestehende Netzwerksicherheit schlagen, um ungestört kommunizieren zu können.
Schnell auf den Markt, Sicherheit kommt später
Neben der vermeintlichen „Smartness“ spielt die Produktionszeit eine große Rolle. Heutzutage kann nahezu jedermann übers Internet eine Firma in Asien finden und IoT-Geräte produzieren lassen. Das sorgt für einen hohen Druck in klassischen Unternehmen. Wer zuerst auf dem Markt ist, bekommt den Großteil der Kunden. Das sorgt dafür, dass teilweise eine „Wir verkaufen jetzt und flicken später“-Mentalität herrscht. Dazu kommt der nächste Punkt:
Sicherheit kostet
IT-Sicherheit ist nichts, das es umsonst gibt. Die notwendigen Experten, die Code auf Schwachstellen abklopfen kosten Geld und sind teilweise schwer zu finden. Zudem verlängern diese Checks den Produktionsprozess – so erhöht sich die Chance, dass ein Konkurrent zuerst am Markt ist. Kunden tragen dabei teilweise eine Mitschuld: Sie mögen zwar Sicherheit, sind aber nur in den seltensten Fällen bereit, dafür einen Aufpreis zu bezahlen.
Alte Software, bekannte Lücken, keine Updates
Dieses Problem liegt ebenfalls an Nutzern wie Herstellern. Letztere setzen stark auf fertige Komponenten, die teilweise mit bekannten Schwachstellen ausgeliefert werden. Updates für diese oder neu entdeckte Sicherheitslücken werden langsam oder gar nicht entwickelt. Doch selbst wenn Patches ausgerollt werden, liegt es an den Nutzern, diese zu installieren. Smarte Geräte sind nichts anders als spezialisierte Computer. Diese müssen gepflegt werden, andernfalls sind sie ein gefundenes Fressen für Kriminelle.
Doch, seien wir realistisch: IoT wird nicht mehr verschwinden. Im Gegenteil, die Preise für Rechenleistung und Hardware gehen weiter nach unten, entsprechend wird es immer mehr vernetzte Produkte geben. Als Anwender muss man dies im Blick haben. Dazu gehört, dass die Firmware der Produkte aktuell gehalten wird – parallel dazu sollte man aber auch die eigene Sicherheit erhöhen, etwa mit Netzwerksicherheitsprodukten wie F-Secure Sense.
Kategorien