Risiken durch scheinbar harmlose Geräte im IoT:
Angriff der Toaster
Fortsetzung des Artikels von Teil 2
Die Masse macht‘s
Wenn jedoch ein Hacker viele internetfähige Toaster der gleichen Marke angreifen kann, ändert sich die Sachlage. Verkauft ein Hersteller 500.000 Modelle des gleichen internetfähigen Toasters, wird die Sache interessant. Ist der Hacker imstande, 5 % dieser Toaster zu infizieren, könnte er 1,25 Mio. US-Dollar damit verdienen. Würden alle Toaster infiziert, summierten sich die Einnahmen sogar auf 25 Mio. US-Dollar. Ein Hacker strebt daher an, so viele Toaster wie möglich anzugreifen und sie miteinander zu verknüpfen. Kurz gesagt, für Hacker ist es ein Anreiz, eine Armee von Malware-infizierten Toastern zu schaffen.
Entscheidend für einen solchen Angriff ist die Größe bzw. der Maßstab. Wie beim Szribi-Botnet bieten viele infizierte Knoten im IoT dem Angreifer einen hohen Wert.
Toaster gehackt – na und?
Dass es für einen Hacker wirtschaftliche Gründe gibt, einen internetfähigen Toaster anzugreifen, ist noch lange kein Grund, dies als Problem anzusehen. Vielleicht wird ein Malware-infizierter Toaster nur infiziert und niemand zieht einen Nutzen daraus. Dies wäre eine Möglichkeit. Es gibt aber eine Reihe weiterer Optionen, die ebenfalls möglich sind. Der Toaster könnte z.B.
- Ihr Internet verlangsamen,
- Ihre persönlichen Informationen stehlen,
- sich nicht einschalten lassen,
- Ihren Toast verbrennen,
- öffentlich als gehackt bekannt sein,
- Sicherheits-Software ignorieren und einen Brand verursachen.
Für den Verbraucher stellen sich diese Szenarien so dar, dass der Toaster entweder nicht dafür verantwortlich gemacht wird (langsames Internet, Stehlen persönlicher Informationen) oder dass eine wirklich beängstigende Situation eintritt (öffentlich als gehackt bekannt, unsicherer Betrieb und mögliche Brandgefahr). Diese Szenarien können wirklich zu einem Problem werden.
Ein Szenario bedarf besonderer Aufmerksamkeit: der sichere Betrieb des Toasters und die Brandvermeidung. Ein Kollege hat erlebt, wie sein Toaster klemmte, in Flammen ausbrach und die Küche ansengte. Dies war zwar ein mechanisches Versagen – wenn aber Toaster IoT-fähig werden, würden die Heizelemente zunehmend durch Software gesteuert. Infiziert ein Hacker also einen Toaster, könnte er sogar einen Hausbrand provozieren. Für den Verbraucher ist dieses Szenario äußerst beängstigend – genauso wie für den Hersteller.
Ein Problem für den Hersteller
Neben möglichen Problemen für den Verbraucher kann auch der Hersteller durch Malware-infizierte Toaster betroffen sein. Betrachtet man die o.g. Szenarien für Verbraucher, ergeben sich zwei Möglichkeiten:
- Niemand bemerkt, dass das Gerät infiziert ist. Dies trifft zu, wenn sich das Internet verlangsamt, persönliche Informationen gestohlen werden oder das Gerät infiziert ist und nichts passiert.
- Wird bemerkt, dass das Gerät nicht richtig funktioniert oder sogar infiziert ist, verlangen Verbraucher eine Beseitigung des Problems. Dies trifft zu, wenn sich das Gerät nicht einschalten lässt, der Toast verbrennt, das Gerät öffentlich als gehackt bekannt ist oder die Sicherheits-Software versagt und Brandgefahr besteht.
Das zweite Szenario kann für den Hersteller sehr teuer werden. Es gibt vier mögliche Kostenfaktoren, die auftreten: Garantie-Ersatz, Rückrufaktion, Rufschädigung für die Marke und Produkthaftungsverluste. Grobe Schätzungen der Kosten belaufen sich auf:
- Garantie-Ersatz: 1,75 Mio. US-Dollar bei einem Gerätepreis von 70 US-Dollar und einem Ersatz von 5 % aller Toaster.
- Rückrufaktion: 22,5 Mio. US-Dollar bei einem Gerätepreis von 60 US-Dollar und einer Rückrufrate von 75 % aller Toaster.
- Rufschädigung der Marke: 12,5 Mio. bis 40 Mrd. US-Dollar. Ist der Ruf einer Marke beschädigt, muss der Hersteller den Preis senken, um die gleiche Menge verkaufen zu können. Der Hersteller könnte alle Toaster nur für ein Jahr günstiger anbieten (12,5 Mio. US-Dollar) oder alle Geräte im Preis reduzieren (40 Mrd. US-Dollar).
- Produkthaftungsverluste sind schwer zu schätzen, würden aber extrem hoch ausfallen. Diese Zahl wäre besonders hoch, wenn die Haftung auf Brände ausgeweitet wird, die durch infizierte Toaster entstanden sind.
Angesichts dieser Kosten und Risiken scheint es ratsam für Hersteller internetfähiger Toaster, einen Angriff auf die Geräte ernst zu nehmen. Aber auch die Nutzer sollten Sorgfalt walten lassen.
Betrachtet man die eingangs erwähnten Fragen, sollten also drei Dinge berücksichtigt werden: Toaster und andere Kosumelektronik-IoT-Geräte sind mit Sicherheit angreifbar und ausnutzbar. Ein Hacker hat einen Anreiz, so viele Toaster wie möglich zu infizieren, um opportunistische Attacken durchzuführen. Wenn der Hacker erfolgreich ist, haben Verbraucher und Hersteller ein kostspieliges Problem.
Jobangebote+ passend zum Thema
Ein internetfähiger Toaster ist nur ein Beispiel. Es hilft, die Gründe opportunistischer Attacken zu veranschaulichen, bei denen viele ähnliche Geräte infiziert werden, anstatt gezielte Attacken auf einzelne Geräte durchzuführen. Opportunistische Attacken sind heute die größte Bedrohung für die meisten Dinge im IoT.
Wir erleben ein massives Wachstum im IoT und eine ständige Zunahme der Internetkriminalität. Daher sollte jedes Ding im Internet als mögliches Angriffsziel gesehen werden. Ebenfalls zu beachten ist, dass ein Gerät auch nur deshalb angegriffen wird, weil es einfach nur mit dem Internet verbunden ist, da genügend vernetzte Geräte für den Angreifer einen Wert ergeben.
Die Sicherheit für jedes Gerät und jede Einrichtung im Internet der Dinge ist daher von entscheidender Bedeutung und sollte stets überprüft werden. Nur so lässt sich die sonst unvermeidliche Armee Malware-infizierter Toaster verhindern.
Der Autor:
| Frank van den Berg |
|---|
| kam 1998 zu Green Hills Software, um das technische Zentrum für EMEA in den Niederlanden aufzubauen, wo er nun Kunden-Support und Engineering-Ressourcen für Europa und den Nahen Osten koordiniert. Seine Spezialgebiete sind funktionale und IT-Sicherheit im Automobilmarkt und in der Industrie-Automatisierung. Bevor er zu Green Hills Software kam, entwickelte er Embedded Software Tools und hatte Stellen in Entwicklungsteams und im Management inne. |
sales-ger@ghs.com
- Angriff der Toaster
- Ein lohnenswertes Ziel?
- Die Masse macht‘s
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
McAfee Labs Threat Predictions Report
Welche Cyber-Bedrohungen erwarten uns 2016 und bis 2020?
Produktpiraterie
Damit Software nicht in falsche Hände gerät
Mentor Graphics
Connected OS Software-Plattform für Infotainment-Systeme
Internet of Things
Infineon startet Security Partner Network (ISPN)
Sicher wie der Zufall
Optisches Sicherheitssystem lässt Hacker abblitzen
Entwicklungsunterstützung
EBV unterstützt bei IoT-Entwicklungen
