© Liashko/Shutterstock.com
Heimautomation und Security

Wenn das IoT ins Haus einzieht ...


Dass IoT für „Internet of Things“ steht, ist zumindest die offizielle Erklärung. Es gibt aber auch noch andere Erklärungsmöglichkeiten. Aus der Sicherheitsperspektive ist das zum Beispiel ein „Internet of Targets“. Denn so unsicher, wie viele dieser „Things“ sind, stellen sie für alle möglichen Angreifer ein verlockendes Ziel dar.

Vor den Risiken des IoT warnen die Sicherheitsexperten schon sein Langem, aber lange Zeit ist ja auch nichts Schlimmes passiert. Warum sollte man sich also groß über die Schwachstellen aufregen, die nutzt ja sowieso keiner aus.

Seit Kurzem ist es damit aber vorbei. Es gab bereits Ransomware-Angriffe auf elektronische Schlösser, auch wenn die dabei nur ein „Kollateralschaden“ waren [1]. Und das aus kompromittierten IoT-Geräten bestehende „Mirai“-Botnet wurde für großmaßstäbliche DDoS-Angriffe genutzt [2], und die zwangen sogar Akamai in die Knie.

Es ist also allerhöchste Zeit, sich um die Sicherheit der IoT-Geräte zu kümmern. Dass es mit der nicht weit her ist, habe ich schon in mehreren Artikel gezeigt. In diesem Artikel dreht sich alles um die Heimautomatisierung oder Gebäudeautomatisierung, also vernetzte Geräte im Haushalt, in der Regel mit Internetzugang. Selbige waren auch schon einmal Thema eines Artikels [3], der 2014 erschienen ist. Seitdem hat sich die Lage nicht verbessert – ganz im Gegenteil. So gab es damals z. B. mehrere Schwachstellen in Belkins WeMo-Geräten. Die wollten die Entdecker über das US-CERT an Belkin melden, was aber nicht gelang. Nach einiger Zeit schritten Entdecker und US-CERT daher zur Veröffentlichung der Schwachstellen. Diese „öffentliche Zustellung“ war erfolgreich, Belkin meldete sich beim US-CERT und gab an, die Schwachstellen bereits behoben zu haben.

Belkin: Lektion gelernt – und doch nicht genug getan

Nach dieser doch etwas peinlichen Vorführung hat man bei Belkin gelernt, dass man seine IoT-Geräte absichern muss. Nicht nur, dass man die meisten Schwachstellen behob, zusätzlich gibt es seitdem regelmäßig Updates. Was bei weitem nicht bei allen Herstellern von IoT-Geräten der Fall ist.

Wie Scott Tenaglia und Joe Tanen von den Invincea Labs (jetzt Two Six Labs) auf der Black Hat Europe 2016 gezeigt haben [4], waren alle diese Bemühungen aber nicht ausreichend. Denn die beiden haben nicht nur zwei neue Schwachstellen gefunden, sondern gleich auch noch zwei neue Angriffe entwickelt: Zum einen das Ausführen von Code über eine SQL Injection in eine SQLite-Datenbank eines Embedded Device, zum ander...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang