Beleuchtungssysteme und Überwachungskameras

Mehrzahl aller IoT-Systeme ist angreifbar

| Redakteur: Peter Schmitz

Sicherheitsexperten gehen davon aus, dass schon 2020 ein Viertel aller Cyberattacken in Verbindung mit IoT-Devices stehen wird
Sicherheitsexperten gehen davon aus, dass schon 2020 ein Viertel aller Cyberattacken in Verbindung mit IoT-Devices stehen wird (© gemeinfrei / Pixabay)

Viele IoT-Geräte, wie smarte Beleuchtungssysteme und Überwachungskameras, sind standardmäßig so eingerichtet, dass sie über unverschlüsselte Protokolle kommunizieren, was das Abgreifen und Manipulieren vertraulicher Informationen ermöglicht. Das ist eine wichtige Erkenntnis einer neuen Untersuchung des Security-Anbieters Forescout zur IoT-Sicherheit.

Ein Team von Sicherheitsexperten von Forescout konnte zeigen, wie Überwachungskameras, smarte Lichter und andere IoT-Geräte in intelligenten Gebäuden von Cyberkriminellen angegriffen werden könnten. Die Experten demonstrierten auch, wie man diese Attacken verhindern kann. Die Ergebnisse dieser Untersuchung hat Forescout jetzt in dem Report „Rise of the Machines: Transforming Cybersecurity Strategy for the Age of IoT“ veröffentlicht.

Um die Cyberrisiken eines Smart Buildings zu demonstrieren, hat das Researcher-Team eine reale Gebäudeumgebung mit Videoüberwachung, intelligenter Beleuchtung und anderen IoT-Geräten eingerichtet und analysiert, wie ein Angreifer einen ersten Zugang zu diesem Netzwerk erhalten und welche Angriffe er für jedes Subsystem durchführen könnte.

Bei der Auswahl der Geräte, Systeme und Protokolle richtete sich Forescout nach deren Nutzungszahlen. Deshalb lassen sich die vorgestellten Angriffe auch auf Unternehmen übertragen. Eine Shodan-Abfrage für das genutzte Lichtsteuerungssystem Philips Hue zeigt beispielsweise 9.300 bedrohte Systeme, davon 3.408 in den USA, 730 in Kanada und 727 in Deutschland. Hiervon verwenden 5.804 (62 Prozent) das unsichere Protokoll HTTP. Auch das Messaging- & Steuerungsprotokoll MQTT wird bei vielen IoT-Devices eingesetzt. Laut Shodan finden sich hier 76.768 gefährdete Geräte, davon 19.368 in China, 13.515 in den USA und 4.798 in Deutschland.

Öffentliche Sicherheit

Im Falle der Kamerasteuerung wurde fremdes Bild- und Videomaterial eingeschleust. Gerade in Bereichen mit hohem Schutzbedarf (Banking, Einzelhandel aber auch öffentliche Sicherheit) kommen IP-basierte Systeme zum Einsatz die hier betroffen sind. Die Researcher machen deutlich, dass viele Systeme über die Jahre erst stückweise erweitert werden. Viele Einrichtungen sind sich dessen allerdings nicht bewusst und haben keine Gegenmaßnahmen eingeleitet.

Im Forescout-Bericht wird deutlich, dass viele Schutzmechanismen wie Verschlüsselung der Geräte nicht unterstützt oder standardmäßig deaktiviert wurden. Bei der Analyse der Video Surveillance Systeme (VSS) wird fast immer auf das unsichere Real-Time Transport Protocol (RTP) zurückgegriffen, obwohl sichere Versionen vorhanden wären. Bei der Nutzung von modernen Protokollen waren Sicherheitsmechanismen in der Regel deaktiviert.

„Die heutige vernetzte Welt besteht aus Milliarden von Geräten, die eine Vielzahl von Betriebssystemen und Netzwerkprotokollen verwenden, um Daten über Branchen und Grenzen hinweg auszutauschen“, sagt Elisa Costante, Senior Director der Forescout Research Labs. „Wir haben Forescout Research Labs gegründet, um die Sicherheitsimplikationen dieser hyper-vernetzten Welt zu erforschen und die damit verbundenen Bedrohungen und Risiken zu untersuchen, die von diesen Geräten ausgehen.“

Schwachstellen von Bluetooth & Co.

Der Report bezieht zahlreiche Protokolle und Konnektivitätslösungen mit ein. Neben IP dokumentieren die Forscher zum Beispiel auch Schwachstellen in anderen Standards wie Bluetooth, Zigbee oder weitere Protokolle. Gängige Sicherheitstools sind hier oft wirkungslos, obwohl dieser Bereich ebenfalls heute schon fest zu IT-Welt gehört. Im Rahmen der Untersuchung wurde kein Spezialequipment eingesetzt. Viele Schwachstelle sind bereits seit Jahren bekannt, werden aber nicht geschlossen. Die Researcher könnten zum Beispiel ohne Probleme einen Raspberry Pi als lokalen Host für einen Angriff einsetzen. Außerdem zeigt Forescout, wie Sicherheitsmechanismen wie Tokenisierung durch Schwachpunkte in anderen Bereichen umgangen werden können.

Für die Studie wurde kein konkretes Unternehmen attackiert, allerdings lassen sich die Mechanismen auf fast jede Organisation übertragen. Forescout warnt vor der Gefahr durch unverwaltete Geräte. Bis 2020 werden 30 Milliarden Endpunkte online sein. Gerade im OT- und IoT-Bereich greifen klassische Sicherheitsmechanismen nicht mehr. Durch das extreme Wachstum gehen Analysten davon aus, dass im nächsten Jahr bereits ein Viertel aller Cyberattacken in Verbindung mit IoT-Devices stehen werden.

Knapp 200 Kameras haben in Hessen öffentliche Plätze im Blick

Videoüberwachung

Knapp 200 Kameras haben in Hessen öffentliche Plätze im Blick

30.07.19 - Das Sicherheitsgefühl der Hessen soll sich verbessern. Um Straftaten schneller aufzuklären oder gar zu verhindern, unterstützt deshalb das Innenministerium Kommunen, die Videokameras installieren. lesen

Akzeptanz von Videoüberwachung steigt

„Wir bitten Dich, überwache uns!“

Akzeptanz von Videoüberwachung steigt

07.11.18 - Zwischen den abstrakten Begriffen „Freiheit“ und „Sicherheit“ gilt es Zielkonflikte auszuloten. Freiheit gibt es ohne Sicherheit nicht und doch sind Sicherheitsmaßnahmen dazu imstande, Freiheit einzuschränken. Derzeit steigt die Akzeptanz, was Überwachung angeht. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46055716 / Standards & Technologie)