IoT-Security: Angriff und Verteidigung
So bleibt Malware chancenlos
Das Internet of Things ist ein beliebtes Angriffsziel für Cyberkriminelle. Zu viele Geräte sind nur schlecht geschützt, weil gewerbliche und private Nutzer oft nachlässig vorgehen. Doch mit nur wenigen Maßnahmen lassen sich IoT-Geräte ausreichend absichern.
Die Zahl der Cyberangriffe steigt und steigt, die Zahlen des BSI-Lageberichts zur IT-Sicherheit in Deutschland gehen stetig nach oben. Ebenso wachsen die Ausgaben der Unternehmen für Cybersecurity. Der IT-Branchenverband Bitkom meldet für 2022 ein Wachstum des deutschen Markts für IT-Sicherheit um 13 Prozent auf einen neuen Rekord von 7,8 Milliarden Euro.
Ein guter Teil dieser Angriffe gilt IoT-Geräten, die häufig nur unzureichend geschützt sind. Vor allem die IoT-Gadgets von Privatleuten, aber auch Geräte für Industrie 4.0 und das IIoT haben vielfach leicht ausnutzbare Schwachstellen. In Maschinenbau und Automatisierungstechnik sind IoT-Funktionen inzwischen fast Alltag. Doch die Hersteller verfügen in vielen Fällen nicht über die langjährige Sicherheitsexpertise von IT-Herstellern.
Angriffsflächen und Schadprogramme im IoT
IoT-Systeme für den privaten oder industriellen Einsatz haben viele Angriffsflächen – vom Gerät über das Funkmodul, die Datenübertragung zwischen Gerät und Anwendung sowie die eigentliche Anwendungsinfrastruktur bis hin zu den Anwendungen selbst. Hinzu kommt: Die Anzahl der im öffentlichen Internet zugänglichen IoT-Geräte wächst und wächst. Bei ihnen ist der Zugriff von jedem Ort der Welt aus möglich. Für die Nutzer ein Komfortmerkmal, für Cyberkriminelle eine attraktive Angriffsfläche.
Der derzeit häufigste IoT-Angriff ist die Mirai-Malware, die erstmals 2016 auftauchte. Sie scannt das gesamte Internet nach ungeschützten IoT-Geräten. Der Trick dabei: Sie versucht, eine Remote-Verbindung aufzubauen, und nutzt dafür eine recht umfangreiche Liste gängiger oder geleakter Standard-Benutzernamen und -Passwörter. Sobald ein Gerät infiziert ist, beginnt die Malware, weitere schlecht geschützte Geräte zu suchen. Gekaperte Systeme werden Teil des Mirai-Botnets, das die Angreifer über zentrale Server steuern. Der Sinn dahinter: Cyberkriminelle verkaufen DDoS-Angriffe, mit denen andere Personen die Webserver von Unternehmen lahmlegen können.
Ein Klassiker der Cyberkriminalität in der Industrie ist der Stuxnet-Computerwurm von 2010. Die Schadsoftware greift zunächst Windows-Rechner an. Sie achtet dabei besonders auf bestimmte Schwachstellen und lange Zeit nicht aktualisierte Systemversionen – bei Industrie-PCs ist das gar nicht selten. Auf dem Windows-Rechner sucht er nach der Step7-Software für die SPSen von Siemens. Anschließend installiert er sich darauf und übernimmt die Kontrolle.
Die beiden bekannten Malware-Systeme Brickerbot (2017) und Silux (2019) nutzen ähnliche Angriffsmuster wie Mirai. Sie scannen ebenfalls das öffentliche Internet und versuchen, sich mit bekannten Kombinationen aus Anmeldename und Passwort in einem IoT-Gerät anzumelden. Bei Erfolg überschreibt das Schadprogramm alle Daten und löscht die Netzwerkkonfiguration. Dadurch wird das IoT-Gerät unbrauchbar und muss ersetzt oder mit einem Factory-Reset aktualisiert werden. Diese Angriffsform ist besonders kritisch bei Geräten an unzugänglichen Stellen, beispielsweise vernetzten Maschinen in Windparks.
Geräte und Datentransporte sichern und verschlüsseln
Diese Beispiele für IoT-Malware zeigen, dass vor allem das öffentliche Internet ein typischer Zugangsweg von Cyberkriminellen ist. Fatal ist das vor allem, wenn in einem internen Unternehmensnetzwerk auf wichtige Werkzeugmaschinen oder Computer aus dem Internet zugegriffen werden kann. Deshalb ist es empfehlenswert, für das IoT eine eigene Netzwerk-Infrastruktur aufzubauen, statt gemeinsam genutzte Netzwerke (LAN oder WiFi) einzusetzen.
Das Vorgehen von Mirai oder Silex zeigt zudem, wie wichtig ein korrekter Zugriffsschutz für die Geräte ist. Denn diese Malware lässt sich abwehren, wenn die einzelnen Geräte zufällig gewählte Anmeldedaten besitzen, etwa ein Kennwort aus zwölf zufälligen Buchstaben, Ziffern und Sonderzeichen.
Eine sichere Alternative ist der Mobilfunk mit IoT-SIM-Karten, die sich in einem getrennten und geschützten Netzwerk befinden. Die SIM-Karte dient als Merkmal für die korrekte Authentifizierung, anhand derer die eindeutige Identität der IoT-Geräte festgestellt wird. Anschließend erhalten sie Nutzungsrechte und Dienste zugewiesen.
Verbindungen im IoT führen auf eine spezifische Plattform, die als Datendrehscheibe dient und fast immer in einer Cloudinfrastruktur arbeitet. Der Kommunikationsweg zwischen Mobilfunk und Cloud ist weniger sicher. Die Daten laufen über das öffentliche Internet, was Angriffsformen wie Man-in-the-Middle-Angriffe oder DNS-Spoofing erlaubt.
Deshalb ist für diese Verbindungen zusätzliche Sicherheit in der Transport- und der Netzwerkschicht unerlässlich. Bei Transport Layer Security (TLS) wird eine Verschlüsselung eingesetzt, die von Webzugriffen bekannt ist. Dabei wird anhand eines Gerätezertifikats die Datenübertragung zunächst authentifiziert und anschließend verschlüsselt. Best Practice im IoT ist die zweiseitige Authentifizierung, bei der sich nicht nur der Zielserver beim Gerät, sondern auch das Gerät in der Cloud authentifiziert. Dadurch entstehen spezifische Geräteidentitäten, auf deren Basis granulare Richtlinien durchgesetzt werden. So ist beispielsweise genau festlegbar, welche Daten das Gerät überhaupt senden oder lesen darf.
Das Netzwerk mit VPNs und IPSec absichern
Allerdings hat TLS auch Nachteile. So benötigen die Geräte mehr Ressourcen zum Verschlüsseln der Daten. Dies führt zu einem höheren Stromverbrauch – ein Problem bei Geräten an unzugänglichen Orten, die komplett auf eine Batterieversorgung angewiesen sind. Dabei entstehen auch höhere Kosten für die Datenübertragung, weil TLS die Datenmengen um bis zu 500 Prozent vergrößert. Zudem ist der Netzwerkpfad nicht sicher, denn Angreifer können den Datenverkehr für eigene Zwecke umleiten.
Eine empfehlenswerte Alternative ist Network Layer Security mit virtuellen privaten Netzwerken (IPSec/VPN). Sie ist vor allem hilfreich bei älteren Geräten, die nicht die aktuelle TLS-Version 1.2 unterstützen. Cloud-Provider unterstützen nur noch diese Version, keine älteren. Mit IPSec entsteht eine sichere Verbindung zwischen dem Mobilfunknetz und der Cloud, die vor allem älteren Geräten ein hohes Maß an Sicherheit bietet.
Das Grundprinzip: Das VPN ist ein verschlüsselter Tunnel zwischen zwei Endpunkten, der sich wie eine Verbindung in einem internen Netzwerk nutzen lässt. Dadurch wird die Verschlüsselung von den IoT-Geräten ausgelagert, was ihre Einrichtung vereinfacht und zusätzliche Kosten durch Daten-Overhead im Mobilfunknetz verhindert. Darüber hinaus befinden sich die Endpunkte eines VPN innerhalb desselben Netzwerks, sodass alle Geräte über private, statische IP-Adressen zugänglich sind. Im öffentlichen Internet erscheinen sie nicht.
Eine weitere Möglichkeit, Angriffe auf Remote-Verbindungen zu verhindern und Angriffe vollständig zu blockieren, ist der Einsatz einer Mobilfunk-Firewall. Dieser leistungsfähige Sicherheitsmechanismus beschränkt die Datendienste, auf die ein bestimmtes Gerät und eine SIM-Karte zugreifen kann. Sie darf nur mit einer bestimmten Untergruppe von IP-Adressen kommunizieren. Die Firewall selbst befindet sich nicht in den Geräten, sondern auf der Mobilfunkverbindung – außerhalb der Kontrolle des Angreifers.
IoT-Security richtig umsetzen
Es zeigt sich: IoT-Geräte für den Endkundenmarkt und für die Industrie lassen sich mit den richtigen Maßnahmen gut schützen und vor Cyberangriffen bewahren. Dafür müssen sowohl die Hersteller der Geräte als auch die Nutzer alle gängigen Best Practices für IT-Security einhalten. Sie sollten verschlüsselte Verbindungen vorsehen, die Verschlüsselung auch aktivieren und alle Geräte über sichere Passwörter schützen. Auch die Netz- und Cloudanbieter müssen ihren Teil der Sicherheitsmaßnahmen erfüllen, um bösartige Angriffe zu verhindern und das IoT abzusichern.
Der Autor
