Die häufigsten Schwachstellen vernetzter Geräte in Ihrem Netzwerk

Die meisten Menschen sehen allein den Nutzen der vernetzten Geräte in ihrem Zuhause und sind sich der damit verbundenen Risiken für das Heimnetzwerk nur selten bewusst. Sie gehen oft davon aus, dass das schlimmste, was ihnen passieren könnte, die Einbindung in ein Botnetz ist, und dass die Auswirkungen auf Ihren Alltag kaum merklich bleiben würden.

Aber mit dieser Annahme können leider sie schmerzlich falsch liegen. Internetdienstleister könnten in Folge den Dienst wegen schädlicher Aktivitäten blockieren; noch schlimmer wiegt, dass IoT-Produkte die persönlichen Daten des Besitzers wie E-Mail, Namen, Karteninformationen und Passwörter oft missbrauchen und viel zu oft ist eine Absicherung dagegen nur Illusion.

Die von Bitdefender-Sensoren und der Bitdefender BOX, einem Gerät für die IoT-Sicherheit, erhobenen Daten zeigen, dass in einem durchschnittlichen Haushalt mehr als 10 vernetzte Geräte im Einsatz sind. Telefone, Tablets, Spielekonsolen, Router, Access Points, Drucker, IP-Kameras oder intelligente Temperaturregler sind in solchen vernetzten Umgebungen mittlerweile die Regel und bieten ein Einfallstor in das Heimnetzwerk. Betrachtet man jetzt noch alle wirklichen IoT-Geräte (so zum Beispiel Lampen und Haushaltsgeräte), wird die Angriffsfläche sogar noch größer. Wenn man bedenkt, dass es weltweit rund 100 Milliarden solcher Geräte gibt, wird das gesamte Ausmaß dieser Entwicklung erst deutlich.

IoT-Geräte sind im Prinzip kleine Computer, die in aller Regel nur über beschränkte Rechenleistung verfügen. Alexandru Balan, Chief Security Researcher bei Bitdefender, erklärt, dass Sicherheit mehr bedeutet als nur die Verschlüsselung der Kommunikation, sondern sich vielmehr bis in den Bereich des Anwendungscodes erstreckt. Und die Mehrzahl der genutzten Dienste sind angreifbar, weil sie nicht entsprechend aktualisiert werden.

So sollte man laut Balan zum Beispiel nach automatischen Firmware-Updates Ausschau halten, um zu prüfen, ob ein Produkt auf bewährte Sicherheitsverfahren setzt. Denn auf diesem Wege können Hersteller auch ohne Eingreifen des Nutzers sicherstellen, dass überarbeiteter Code bereitgestellt werden kann. Nur Firmen, die sich wirklich mit dem Thema Sicherheit beschäftigen, verfolgen derzeit diesen Ansatz. Es gibt immer noch sehr viele Geräte, die keinerlei Updates erhalten oder es dem Nutzer sehr schwer machen, diese einzuspielen. Und eben diese Geräte sind Angriffen aus dem Internet meist schutzlos ausgeliefert. Sie können problemlos kompromittiert und so zur willkommenen Quelle für sensible Benutzerdaten werden.

Zu den größten Unsicherheitsfaktoren bei IoT-Geräten zählt Balan durch den Hersteller eingebaute Hintertüren, offenes Telnet und die unzureichende oder nicht vorhandene Verschlüsselung bzw. Verschleierung von Daten bei der Kommunikation mit dem Server. Dem Sicherheitsforscher zufolge stellt die so genannte Command Injection die häufigste Sicherheitslücke dar. Eine solche Schwachstelle macht es möglich, beliebige Befehle auf dem Host auszuführen, indem diese über unterschiedlichste bereitgestellte Daten (z. B. Formulare, HTTP-Header) infolge unzureichender Eingabevalidierung eingeschleust werden.

Weiterhin verweist Balan auf die Möglichkeit des Cross-Site Scripting (XSS). Wird ein solche Sicherheitslücke ausgenutzt, kann ein Angreifer die Routersitzung eines authentifizierter Benutzers übernehmen. Dazu muss an das Opfer lediglich eine URL übermittelt werden. In der Folge könnte der Router angewiesen werden, bestimmte Aktionen durchzuführen (so kann zum Beispiel durch DNS-Manipulation auf schädliche Websites verwiesen werden).

Ein Angreifer benötigt nur die entsprechenden Informationen, um sich im Web auf die Suche nach anfälligen Geräten zu begeben und einen automatisierten Angriff durchzuführen, um diese zu kompromittieren. Diese Praxis ist zwar noch nicht weit verbreitet, könnte in Zukunft aber ein Problem darstellen.

Eine Möglichkeit, die Schwachstellen in IoT-Geräten in den Griff zu bekommen, wären einheitliche Sicherheitsverfahren für alle Hersteller. Unternehmen wie Google, Amazon und IBM engagieren sich hier verstärkt, konnten aber noch nicht genug Zugkraft entwickeln, um eine breiten Zusammenschluss aus Herstellern zu erreichen.