IoT macht alles einfacher, aber auch gefährlicher?

IoT macht alles einfacher, aber auch gefährlicher?

06/2021 Fachbeitrag IT-Sicherheit Swiss Infosec AG

 

Mit dem stetig wachsenden Bedarf an Vereinfachung, Automatisierung und Digitalisierung von täglichen Abläufen – oftmals wiederkehrende und gleichbleibende – werden zunehmend technische Mittel zur Unterstützung eingesetzt. Diese dienen dazu, den manuellen Aufwand von Personen zu reduzieren und Prozesse zu automatisieren und zu optimieren. Um diese Abläufe zu steuern und zu überwachen, werden vermehrt Systeme eingesetzt, welche zuvor unvernetzt betrieben wurden, jetzt aber über (TCP/IP-)Netzwerke verbunden werden können und dadurch aus der Entfernung steuerbar sind. Dieser Verbund aus verschiedenen Sensoren und/oder Aktoren sowie einer oder mehrerer intelligenter Recheneinheiten wird allgemein als IoT («Internet of Things») bezeichnet. Als Beispiel sind dies Geräte wie Sonnenstoren, Kühlschränke, Videokameras, intelligente Wasser- und Stromzähler, welche über LAN, WLAN, Bluetooth oder (Mobil-)Funk netzwerkfähig geworden sind. Dies bedeutet, dass diese direkt untereinander kommunizieren oder auch Befehle von Benutzern über ein Netzwerk erhalten sowie auch Befehle an diese versenden können.

 IOT Grafik

Abbildung 1: Übersicht der IoT-Komponenten (Legende: S = Sensoren, A = Aktoren)

 

IoT-Komponenten
IoT-Systeme können als separate Komponenten oder als Verbund in einem physischen Gerät verbaut sein. Die verwendeten Komponenten haben dedizierte Aufgaben, welche im Optimalfall wie folgt kategorisch unterteilt sind:

  • Sensoren: Sammeln Messdaten über uns und die physische Umgebung.
  • Aktoren: Steuern physische Objekte (bspw. Sonnenblende, Thermostat etc.).
    Ein Aktor führt Steuerungsbefehle lediglich aus und errechnet selbst keine eigenen Befehle.
  • IoT Access Gateway: Stellt Schnittstellen zur Kommunikation mit weiteren Anwendungen sicher, bspw. für die Übertragung von Log- oder Sensordaten an Anwendungen oder für den Empfang von Steuerungsinformationen.
  • IoT-Anwendung: Hier werden Steuerungsbefehle an die Access-Gateways abgesetzt, Sensordaten empfangen sowie die Administration der Geräte durch einen Menschen vorgenommen.
  • Backend-Services: Zusätzliche Dienstleistungen zum Betrieb der IoT-Systeme, beispielsweise Dienste zur Verwaltung von IP-Adressen (DHCP), Namensauflösung (DNS), Zeitsynchronisation (NTP), Überwachung (Logging & Monitoring) oder weitere relevante Komponenten.

Mögliche Bedrohungen
IoT-Systeme sind wie alle anderen IT-Systeme einer Vielzahl an Bedrohungen ausgesetzt. Die mit der physischen und digitalen Umwelt kommunizierende und agierende Hard- und Software bietet vielerlei Angriffsvektoren. Insbesondere ist zu beachten, dass IoT-Systeme oftmals an Stellen installiert sind, welche nur bedingt vor physischen Zugriffen geschützt sind. Eine nicht abschliessende Auflistung möglicher Angriffsvektoren sind:

  • Physischer Schutz: Der Zugriff auf das Gerät und dessen Bestandteile, wie beispielsweise ungesicherte USB-Anschlüsse, über den das Betriebssystem (Firmware) ausgetauscht werden kann.
  • Hardware: Hardware-Komponenten strahlen elektromagnetische Strahlen aus, welche analysiert, ausgewertet oder gar gestört werden können.
  • Betriebssystem und Software: Die Softwareschicht der IoT-Geräte wird, im Idealfall, in Reaktion auf bekanntgewordene Sicherheitslücken durch den Hersteller laufend weiterentwickelt. Je nach Ausstattung des IoT-Gerätes ist eine Aktualisierung der Software nicht oder nur unter erschwerten Umständen (vor Ort) aus einer Zentrale möglich.
  • Konfiguration: Unveränderte Standardkennwörter zu Serviceschnittstellen, welche durch den Hersteller nicht dokumentiert sind, oder Fehlkonfigurationen, welche es dem Gerät ermöglichen, mit älteren Geräten oder einem eines anderen Herstellers zu kommunizieren.
  • Kommunikation und Perimeterschutz: LAN, WLAN, Bluetooth oder (Mobil-) Funk können bei ungenügendem Schutz abgehorcht oder manipuliert werden. Ein bekanntes Beispiel dafür ist die Attacke Rolljam (englisch).

 

Mögliche Auswirkungen

Die Daten und Datenströme, welche durch IoT-Systeme produziert, verarbeitet, versandt und empfangen werden, liegen in der Verantwortung des jeweiligen Eigentümers der Systeme. Was im Privatgebrauch noch eine unkritische Temperaturüberwachung der Ferienwohnung bedeutet, kann im gewerblichen Umfeld bereits eine kritische Anwendung, wie bspw. die Steuerung von Zutrittssystemen oder medizinischen Geräten, sein.

Die rasant zunehmende Anzahl an IoT-Komponenten und deren Vernetzung hat zur Konsequenz, dass auch die Datenverbindungen für ungebetene «Gäste» an Attraktivität gewinnen. Deren Manipulation kann grössere Auswirkungen haben:

  • Eine Brand- und Feuermeldeanlage verfügt zur Wartung und Fehlerdiagnostik über eine unzureichend geschützte Bluetooth-Schnittstelle, die ständig auf eingehende Verbindungen horcht. Ein Passant bemerkt dies und «spielt» ein wenig mit der Konfiguration herum.
  • Der Eigentümer einer Ferienwohnung reduziert auf Grund seiner längeren Abwesenheit die Temperatur des Wohnbereiches. Der Befehl jedoch erreicht nie die Steuereinheit der Heizung, und die Kosten werden dem Eigentümer belastet.
  • Das Zutrittssystem einer Justizvollzugsanstalt wird zwar gesichert betrieben, jedoch wurde fälschlicherweise die Administrationsoberfläche der einzelnen Türschlösser im Internet publiziert. Ein Angreifer könnte dies mutwillig missbrauchen.

Zusammenfassend
Viele Unternehmen verfügen bereits über sehr effiziente Regeln und Massnahmen, die die Cyber-Risiken minimieren und somit einen störungsfreien und ordentlichen Betrieb der Informatik ermöglichen. Mit der Einführung von IoT-Systemen werden Unternehmen vor eine neue Herausforderung gestellt, für die die etablierten Regeln nicht mehr genügen.

Beispielsweise werden bestehende Werkzeuge (bspw. WSUS[1] und SCCM[2], welche für die Bereitstellung, Konfiguration und Aktualisierung von Software und Updates zuständig sind, neuen Herausforderungen gegenübergestellt, für die sie eigentlich nicht vorgesehen waren.

Es empfiehlt sich deshalb, die bestehenden Sicherheitsweisungen so zu erweitern, dass diese auch die Risiken dieser «neuen» Art von Geräten regulieren. Dabei ist hervorzuheben, dass zusätzliche Stakeholder wie das Beschaffungswesen oder die Gebäudetechnik ebenfalls miteinbezogen werden müssen, um eine integrale Sicherheit umfassend zu ermöglichen.

 

[1] Windows Server Update Services [2] System Center Configuration Manager

 

Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Gewährleistung des sicheren Betriebs von IoT in Ihrer Organisation sowie bei generellen Fragen zur IT-Sicherheit.

 

Fachteam IT-Sicherheit; 27.05.2021

Kontakt: +41 41 984 12 12, infosec@infosec.ch

 

IT-Sicherheit

 

IT-Sicherheit


Mehr als Technik

Gewährleistete Vertraulichkeit, Verfügbarkeit und Integrität: Schützen Sie Ihre Informationen, Systeme und Netzwerke mit durchdachter IT-Sicherheit..

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere IT-Sicherheitsspezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Mehr lesen