Sicherheit im “Internet of Things” (IoT)

Als “Internet of Things” (IoT), oder zu Deutsch: „Internet der Dinge“, werden Gegenstände und Geräte bezeichnet, welche mit einem Netzwerk wie z.B. dem Internet verbunden sind und über dieses miteinander kommunizieren oder Informationen zur Verfügung stellen. Ein solcher Gegenstand kann beispielsweise eine Web-Cam, ein Netzwerk-Speicher (NAS) oder ein Modem sein. Des Weiteren finden sich aber auch „intelligente Lichtschalter“, Kühlschränke oder Smart-TVs darunter, welcher über eine Netzwerkschnittstelle an ein internes Netzwerk oder das Internet angeschlossen sind.

Auswirkungen und Gefahren 

Solch mehr oder weniger intelligente Geräte werden zunehmend ans Internet angeschlossen. Dadurch steigt nicht nur die Anzahl der Kommunikationsteilnehmer im Internet, sondern auch die Anzahl verwundbarer Geräte, welche von Hackern missbraucht werden können.  Diese werden dann beispielsweise verwendet, um Spam E-Mails zu versenden oder Angriffe auf andere Internet-Teilnehmer durchzuführen (z.B. DDoS).

Solche Geräte müssen sowohl abgesichert (individuelle Passwörter, eingeschränkter Zugang) wie auch regelmässig aktualisiert werden. Eine Aktualisierung sollte auch hier rasch erfolgen, wenn kritische Sicherheitslücken in der Software solcher Geräte entdeckt werden und von Hackern ausgenutzt werden können. Anders als beim Desktop-Computer oder Smartphone denkt aber beim intelligenten Lichtschalter oder Kühlschrank noch kaum jemand daran, dass auch diese Geräte Software-Updates brauchen.

Ein noch grösseres Gefahrenpotenzial geht von Gegenständen und Geräten aus, auf welche über das Internet mit Standard-Zugangsdaten (Benutzername und Passwort) zugegriffen werden kann. Solche Geräte können grundsätzlich von jedem gefunden werden (beispielsweise mit einem Portscan oder einer Suchmaschine wie Shodan. 

Massnahmen

Präventive Massnahmen

Um zu verhindern, dass Ihr intelligenter Lichtschalter, Ihre Web-Cam oder ein sonstiges IoT Gerät von Hackern missbraucht wird, empfiehlt MELANI folgende präventive Massnahmen:

  • Bevor Sie sich netzwerkfähige Gegenstände oder Geräte anschaffen oder diese in Ihrem Haus installieren, erkundigen Sie sich über deren IT-Sicherheitsvorkehrungen:
    • Wie oft erscheinen Software-Updates?
    • Werden diese automatisch eingespielt oder ist eine Interaktion des Benutzers notwendig?
    • Wie erfährt der Benutzer, dass ein Update verfügbar ist?
    • Ist das Gerät über das Internet erreichbar?
    • Über welche Schutzmechanismen verfügt dieses, um unbefugten Zugriff zu verhindern?
    • Unterstützt das Betriebssystem des Geräts Zugriff über eine geschützte Verbindung wie SSH oder HTTPS?
    • Lassen sich die vom Hersteller voreingestellten Zugangsdaten (Benutzername / Passwort) ändern?
       
  • Stellen Sie sicher, dass das Gerät nicht über das Internet erreichbar ist, wenn die Verwendung dies nicht erfordert (z.B. durch die Verwendung einer Firewall oder eines separaten Netzwerkes, welches nicht mit dem Internet verbunden ist)

  • Falls das Objekt über das Internet erreichbar sein muss (z.B. weil über das Internet Informationen zur Verfügung gestellt werden sollen), empfehlen wir folgendes:
    • Richten Sie für Ihre vernetzten Geräte ein eigenes Netzwerksegment ein, welches keinen Zugriff auf Ihre persönlichen Daten hat (PC, NAS, etc.). Es kann somit nur noch mit dem Internet kommunizieren, nicht aber mit Ihrem internen Netz. Viele moderne Router unterstützen heute solche Ansätze. Somit stellen Sie sicher, dass Ihr internes Netz nicht via eines Ihrer IoT Geräte angegriffen werden kann. 
    • Schränken Sie den Zugriff aus dem Internet auf das Gerät ein, beispielsweise durch die Verwendung eines IP-Adressfilters (indem der Zugang zum Gerät nur bestimmten IP-Adressen gestattet wird) oder durch die Verwendung eines Geo-IP-Filters (indem der Zugang zum Gerät beispielsweise auf Schweizer IP-Adressen beschränkt wird). Ihr IoT Gerät wird dazu kaum in der Lage sein, aber evtl. der vorgeschaltete Router.
    • Verwenden Sie nur Protokolle, die eine geschützte Verbindung ermöglichen, wie SSH oder HTTPS. Verwenden Sie niemals Klartext-Protokolle wie Telnet oder HTTP.
    • Verwenden Sie keine Standard-Ports (z.B. 23 – Telnet, 443 – HTTPS, etc.), da Ihr Gerät sonst mittels eines einfachen Portscans gefunden werden kann.  Verwenden Sie stattdessen einen high-port (z.B. 2323 anstelle von 23, 43443 anstelle von 443 etc.), um das Auffinden des Geräts zu erschweren
       
  • Verwenden Sie keine voreingestellten Zugangsdaten (Benutzername, Passwort). Diese sind weitläufig bekannt und können von Hackern einfach verwendet oder erraten werden. Ändern Sie gleich bei der Inbetriebnahme des Objektes den Benutzernamen und das Passwort.

  • Verwenden Sie ein komplexes Passwort, welches nicht erraten werden kann (mindestens 12 Zeichen, Zahlen und Buchstaben sowie Sonderzeichen).

  • Verwenden Sie wenn immer möglich einen zweiten Faktor für die Authentifizierung (z.B. SMS, Google Authenticator, Hardware-Token, etc.)

  • Falls Sie ein Gerät nicht mehr benötigen, trennen Sie es vom Netzwerk bzw. Internet.

  • Deaktivieren Sie die UPnP-Funktion (Universal Plug and Play) Ihres Routers. Erkundigen Sie sich bei Ihrem Internetzugangsanbieter oder Router-Lieferanten über Konfigurationsmöglichkeiten sowie Funktionseinschränkungen und mögliche weitere unbeabsichtigte Konsequenzen, die diese Massnahme auslösen kann.


Massnahmen nach einem erfolgreichen Angriff

Sollten Sie bereits Opfer eines Angriffes auf ein vernetztes Gerät geworden sein, empfehlen wir Ihnen, dieses auf die Werkseinstellungen zurück zu setzen (Factory-Reset). Nach dem Factory-Reset empfehlen wir Ihnen, die unter „Präventive Massnahmen“ beschriebenen Punkte zu beachten und die entsprechenden Massnahmen zu treffen, um eine erneute Kompromittierung zu verhindern.

Wie Sie das Gerät auf die Werkseinstellungen zurücksetzen, finden Sie in der Betriebsanleitung oder auf der Webseite des jeweiligen Herstellers.

 

Letzte Änderung 21.11.2016

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/themen/internet_of_things.html