IoT-Security Wie alte IoT-Geräte zur Sicherheitsfalle werden

Redakteur: Alina Hailer

Vergessen oder alte IoT-Geräte können auf Dauer zu einem großen Sicherheitsrisiko für Unternehmen werden. Ein IT-Experte klärt auf, wo die häufigsten Fehler liegen und gibt sieben Tipps zum Umgang mit dem IoT.

Firmen zum Thema

Geräte wie zum Beispiel Webcams werden oft vergessen und stellen später ein hohes Sicherheitsrisiko dar.
Geräte wie zum Beispiel Webcams werden oft vergessen und stellen später ein hohes Sicherheitsrisiko dar.
(Bild: Eset)

Zwei drittel aller befragten Unternehmen nutzen laut einer Statista-Umfrage das Internet of Things. Das Problem dabei: Die IT-Sicherheit der Geräte scheint nicht im Fokus der Betreiber zu stehen. So passiert es beispielsweise, dass Hacker Sicherheitslücken nutzen, die bereits seit mehr als sieben Jahren bekannt sind. Eset – ein Unternehmen für Sicherheitssoftware – hat eine Top-10-Liste für Sicherheitslücken im Bereich Internet of Things aufgestellt. In der Liste befinden sich ausnahmslos Lücken aus den Jahren 2012 bis 2015.

Die zehn häufigsten Kombinationen aus Benutzername und Passwort

„Wer bekannte Schwachstellen über Jahre nicht schließt, riskiert mehr zu verlieren, als ihm lieb ist“, so Thomas Uhlemann, Security-Experte bei Eset-Deutschland. Aber auch die Absicherung der Geräte lasse zu wünschen übrig. Deren Zugänge sind über die Kombination von Benutzername und Passwort verschlüsselt - von einer Multi-Faktor-Authentifizierung fehlt jedoch jede Spur. Oft werden auch häufig genutzte Kombinationen von Benutzername und Passwort verwendet, die wenig Sicherheit garantieren. Die zehn am häufigsten gewählten Kombinationen von Benutzernamen und Passwörter sind:

  • Admin/Admin
  • Root/Root
  • Guest/1234
  • Support/Guest
  • User/Password
  • 1234/12345
  • Super/Support
  • 11111/Admin
  • Cisco/Super
  • tellabs/x-admin

Vier häufige Fehler beim Einsatz des IoT

Laut dem IT-Experten sollten, vor allem auch aufgrund der zunehmenden Hackerangriffe, alle Schwachstellen der IT-Security und bei den IoT-Geräten umgehend geschlossen werden. Laut Uhlemann gibt es vier Fehlergruppen, die den Einsatz des IoT problematisch machen kann:

  • 1. Sicherheitsprobleme bereits im Design der Geräte
  • 2. Fehlbedienungen oder -installationen durch den Menschen
  • 3. Sicherheitstechnisch und datenschutzrechtlich fragwürdige Apps zur Bedienung
  • 4. Ungewollte oder unbemerkte Datenübertragungen vom Gerät ins Internet

Abgesehen von Sicherheitslecks werden viele IoT-Geräte erst im Laufe der Zeit zur Gefahr für die Sicherheit. Die Lebensdauer der Geräte ist auf mehrere Jahre oder Jahrzehnte ausgelegt. Geräte wie beispielsweise Webcams werden oft über eine lange Zeit eingesetzt – und dann häufig vergessen.

Diese übertragen dann Live-Videos aus dem Unternehmen ins Internet. Mit wenigen Klicks könnte man so auf die Admin-Oberfläche der Kameras zugreifen. Auch ohne sich einzuloggen, können Hacker so wertvolle Informationen wie beispielsweise die öffentliche IP-Adresse oder Informationen über das Netzwerksegment in Erfahrung bringen.

Das bedeutet: Vergessene oder nicht inventarisierte Geräte bergen ein großes Sicherheitsrisiko. Dies passiert beispielsweise oft, wenn Projekte abgebrochen oder Firmen verkauft werden. Das Equipment gerät dann in den Hintergrund und wird erst später zur tickenden „Security-Bombe“.

Sieben Tipps zum Umgang mit IoT-Geräten

Das Security-Unternehmen Eset empfiehlt Unternehmen, diese sieben Tipps im Umgang mit IoT-Geräten zu beachten:

  • 1. Nutzung von Inventarisierungssoftware: Diese hilft, alle Teilnehmer des Netzwerkverkehrs anzuzeigen - inklusive der vergessenen. Unbekannte oder zwecklose Geräte sollten aus der Infrastruktur entfernt werden.
  • 2. Nutzung von Netzwerksegmenten: Getrennte (Sub-)Netze für verschiedene Anwendungsbereiche helfen, mögliche Gefahren schneller einzudämmen und Sicherheitsrichtlinien schneller und einfacher anzuwenden. Eine kompromittierte Webcam wird so beispielsweise schwer bis gar nicht zum Einfallstor für Ransomware oder DDOS-Attacken.
  • 3. Sichere Zugänge: Es gibt keinen Anwendungsfall, bei dem Benutzername und/oder Passwort irgendwelchen Standards entsprechen sollte. Personenbezogene Accounts und anwendungsbezogene Passphrasen helfen, Wörterbuchattacken oder Angriffe mit Passwortlisten ins Leere laufen zu lassen. Dort wo es möglich ist, sollte auch bei internen Systemen eine Multi-Faktor-Authentifizierung zum Einsatz kommen, sodass gestohlene, wiederverwendete oder zu einfache Zugangsdaten kein Problem darstellen.
  • 4. Sensoren, Aktoren und Co. sind genauso wichtig wie Server und PCs: Sobald ein Gerät vernetzt ist, gibt es keine unwichtigen Geräte mehr. Smarte Geräte sollten mit gleicher Sorgfalt und Vorsicht wie alle anderen digitalen Arbeitsmittel behandelt werden. Das gilt auch insbesondere für Smart-Devices wie TV und Kühlschrank, die sich im Unternehmen befinden.
  • 5. Updates: Sie dienen hauptsächlich zum Schließen von entdeckten Sicherheitslücken. Das gilt für Server und PCs wie auch für alle smarten Geräte. Selbst ein Sensor kann unter Umständen ein Update benötigen. Updates sollten geplant werden, um diese zeitnah und möglichst unterbrechungsfrei einzuspielen. Es können zudem Tools ausgewählt werden, die diesen Vorgang ermöglichen und eventuell automatisieren.
  • 6. Security ins Design: Sollten Entwicklungen im Bereich IoT oder 5G geplant sein, sollte die Sicherheit aller Geräte im Voraus miteingeplant werden. Dies kann auch von externen Schwachstellenprüfern kontrolliert werden. Diese kennen die gängigen Methoden der Cyber-Angriffe und wissen um die häufigsten Fehler. Vorausschauende Planung kann unnötige Ausgaben durch beispielsweise Ransomware oder durch Betriebsunterbrechungen plus Aufräumarbeiten verhindern.
  • 7. Nutzung von zusätzlicher Schutzsoftware: Dort wo es möglich ist, sollte Security-Software zum Einsatz kommen. Diese kann Schadcode aber auch Exploits erkennen und blockieren. Windows-Plattformen für SCADA-Systeme, Linux-Gateways und Fileserver, Geräte mit Android und natürlich alle Desktop-Systeme sollten über Softwareschutz verfügen, der sich zentral administrieren und in ein Security-Gesamtkonzept einfach integrieren lässt.

Erstveröffentlichung auf unserem Partnerportal Industry of Things.

(ID:47493780)