Risiken durch scheinbar harmlose Geräte im IoT: Angriff der Toaster

Können Toaster eine Bedrohung der IT-Sicherheit sein? Der Sinn der IT-Sicherheit wird bei harmlosen Geräten immer wieder in Frage gestellt. Sind solche Geräte nun wirklich harmlos oder kann von ihnen eine Bedrohung ausgehen?

Das Internet der Dinge enthält sicherheitskritische Knoten wie solche, die das Stromnetz, Medizingeräte und Fahrzeuge kontrollieren. Natürlich ist es bei solchen Geräten Voraussetzung, dass die Sicherheit in die Designs integriert ist. Aber im IoT versammelt sich auch eine Menge Konsumelektronik, die keinerlei Sicherheitsstandards unterliegt und bedenkenlos verwendet wird. Sollten die Verbraucher und Hersteller also über die Sicherheit dieser Geräte besorgt sein?

Diese Frage soll hier anhand eines hypothetischen, internetfähigen Toasters betrachtet werden. Kann ein Toaster eine Bedrohung sein? Sind Toaster und andere Endkunden-IoT-Geräte für Hacker verwertbar? Warum sollte ein Hacker einen Toaster angreifen? Ergibt sich ein Problem, wenn ein Hacker einen Toaster angreift?

Wie anfällig ist Konsumelektronik?

Die Frage lohnt sich, ob Toaster und andere Konsumelektronikgeräte für Hacker überhaupt nutzbar sind. Leider muss diese Frage mit „ja“ beantwortet werden, denn heutige Geräte weisen zahlreiche Schwachstellen auf und sind häufig viele Jahre ungesichert ans Internet angebunden – selbst wenn die Anfälligkeit bemerkt wird. Eine Studie der Fortify Division von HP aus dem Jahr 2014 bestätigt dies. Das Team wählte zehn der beliebtesten Konsum-IoT-Geräte und fand eine alarmierende Zahl an Schwachstellen in jedem Gerät. Bei 70 % der Geräte war die Kommunikation in die Cloud überhaupt nicht oder nicht korrekt verschlüsselt. 60 % verwendeten überhaupt keine Verschlüsselung beim Download von Software Updates. Diese Studie zeigt, wie weit verbreitet Schwachstellen in Konsum-IoT-Geräten heute sind.

Hinzu kommt, dass diese Geräte keine regelmäßigen Updates erhalten. Geräte, die bekannt für ihre Schwachstellen sind, sind dann im Internet für weitere 5 bis 15 Jahre anfällig – selbst nachdem die Schwachstelle bekannt geworden ist und beseitigt werden könnte. Eine kürzlich bekannt gewordene Schwachstelle, der „Misfortune Cookie“, ermöglichte einem Hacker, aus der Ferne die Kontrolle über ein Embedded-System zu übernehmen. Der Anbieter des Web-Server fand die Schwachstelle im Jahr 2002 und hat sie 2005 beseitigt. Bei einem aktuellen Internet-Scan fand man heraus, dass von den 133.660 öffentlich zugänglichen Hosts mit dem betroffenen Web-Server immer noch mehr als die Hälfte schädliche Kopien des Codes enthalten (Bild). Zehn Jahre später sind diese Geräte immer noch nicht aktualisiert und somit schädlich für das öffentliche Internet!

Diese zwei Gründe veranlassten den Sicherheitsexperten Bruce Schneier zu der Bemerkung: „Wir sind an einem kritischen Punkt angelangt, wenn es um die Sicherheit von Embedded-Systemen geht, in denen die Datenverarbeitung in die Hardware selbst integriert ist – wie es beim Internet der Dinge der Fall ist. Diese Embedded-Rechner sind voll mit Sicherheitslücken, und es gibt keine universellen Mittel, diese zu beseitigen.“

Konsum-IoT-Systeme sind leider anfällig. Dies könnte jedoch weniger von Belang sein, wenn sie ein uninteressantes Ziel wären. Die nächste Frage sollte also lauten, warum ein Hacker einen Toaster angreifen sollte.