Best Practices für IoT-Security
Die weltweit vielen Millionen IoT-Geräte sind ein attraktives Ziel für Hacker, da viele von ihnen leicht für den Einsatz bei DDoS-Angriffen gekapert werden können. Doch mit einigen Maßnahmen lässt sich das leicht verhindern.
Das Internet of Things (IoT) ist ein beliebtes Angriffsziel für Hacker. Kein Wunder, denn aus Sicht der Cybersecurity sind IoT-Systeme ein Patchwork aus Angriffsflächen: das eigentliche Gerät, das Funkmodul, die Datenübertragung vom Gerät zur Anwendung, die dahinterliegende Infrastruktur in der Cloud und schließlich die Anwendungen selbst.
Hartcodierte Passwörter – der Trick funktioniert viel zu oft
Der häufigste Angriffsvektor bei IoT-Geräten sind ungeschützte Remote-Zugänge, die leicht über eine öffentliche IP-Adresse erkennbar sind. So lassen sich mit der Gerätesuchmaschine Shodan problemlos IoT-Kameras entdecken – die Eingabe von „IP Camera“ reicht völlig. Einige sind nur mit der fest in der Firmware kodierten Kombination aus Benutzername und Passwort versehen und damit ein leichtes Ziel. Oft gibt es auch eine Wörterbuch-Attacke mit einer Liste geleakter Passwörter. Auf diese Weise gehen Schadprogramme automatisiert vor und können damit rasch Hunderttausende von Geräten durchtesten und kapern.
Ein typisches Beispiel ist ein IoT-Angriff durch die Mirai-Malware von 2016, die seitdem stetig von kriminellen Hackern weiterentwickelt wurde. Sie scannt im öffentlichen Internet nach IoT-Geräten und versucht, eine Remote-Verbindung aufzubauen. Bei Erfolg wird es Teil eines Botnets, das die Angreifer über zentrale Server steuern und damit DDoS-Angriffe ausführen.
Ähnliche Angriffsmuster haben Brickerbot (2017) und Silux (2019). Sie kapern Geräte und löschen die Netzwerkkonfiguration sowie andere Daten, damit das Gerät unbrauchbar wird. Ein häufig vorkommendes Schadprogramm für vernetzte Industrieanlagen ist der Stuxnet-Computerwurm von 2010. Die Malware greift nicht aktualisierte Windows-Rechner mit bestimmten Schwachstellen an. Dort sucht sie nach der Step7-Software für die Speicherprogrammierbare Steuerung (SPS) von Siemens. Anschließend installiert er sich darauf und übernimmt die Kontrolle.
Für die Sicherheit der IoT-Geräte ist die Wahl der richtigen Konnektivitätsoption entscheidend. Vor allem für Geräte, die in Privathaushalten, an unzugänglichen Standorten oder in Transportfahrzeugen oder -behältern eingesetzt werden, ist Mobilfunk die beste Option. Dies gilt auch für Sicherheitsaspekte, denn spezifische IoT-SIM-Karten verlagern die Kommunikation auf ein getrenntes und geschütztes Netzwerk. Diese Option ist dank Private 5G sogar bei fest installierten IoT-Modulen von Werkzeugmaschinen möglich. Die Karten sorgt für eine korrekte Authentifizierung, sodass ein IoT-Gerät passende Nutzungsrechte und Dienste erhält.
Best Practices für mehr Sicherheit im Netzwerk
Doch Security sollte immer „Ende zu Ende“ gedacht werden. Es reicht nicht, die einzelnen Geräte abzusichern, Hersteller müssen den gesamten Verbindungsweg berücksichtigen. So führen IoT-Verbindungen per Mobilfunk immer auf eine Plattform, die sich normalerweise in der Cloud befindet und als Datendrehscheibe arbeitet. Dieser Kommunikationsweg führt in den meisten Fällen über das öffentliche Internet und ist deshalb weniger sicher. Angriffsformen wie Man-in-the-Middle-Angriffe oder DNS-Spoofing sind hier möglich.
Deshalb müssen Hersteller Transport Layer Security (TLS) einsetzen, aber im Unterschied zu Webserver-Verbindungen eine zweiseitige Authentifizierung nutzen. Bei dieser Best Practice im IoT authentifiziert sich nicht nur der Zielserver bei dem Gerät, sondern auch das Gerät in der Cloud. Durch Letzteres erhält jedes neu angemeldete Device eine spezifische Geräteidentität, auf deren Basis sich granulare Richtlinien durchsetzen lassen.
Eine Transportverschlüsselung ist aber nicht immer die beste Option. So benötigen die Geräte durch die Verschlüsselung mehr Ressourcen und haben dadurch oft einen höheren Stromverbrauch. Das ist ungünstig für Geräte, die auf einen längerfristigen Batteriebetrieb angewiesen sind. Letztlich können auch höhere Kosten für die Übertragung der Daten entstehen, da TLS das Datenvolumen um bis zu 500 Prozent aufbläht. Zudem ist es möglich, den Datenverkehr für eigene Zwecke umzuleiten.
Eine praktikable Lösung ist der Einsatz von Verschlüsselung in der Netzwerkschicht der Verbindung (IPSec). Dafür werden virtuelle private Netzwerke (VPN) genutzt. Mit einem IPSec-VPN entsteht eine sichere Verbindung zwischen dem Mobilfunknetz und der Cloud. Der Einsatz dieser Option ist vor allem bei älteren Geräten sinnvoll, die nicht das aktuelle TLS 1.2 unterstützen. Durch dieses Protokoll wird die Verschlüsselung von den IoT-Geräten ausgelagert, sodass sie weniger Ressourcen benötigen und keine zusätzlichen Kosten verursachen.
Daten im Mobilfunknetz und der Cloud schützen
Eine sichere Alternative, die den Übergang zwischen Mobilfunk und Cloud vermeidet, ist Intra-Cloud-Connect. Dabei müssen sich Mobilfunk-Infrastruktur und IoT-Plattform in derselben Cloud befinden. Bei diesem Ansatz ist meist ein Hyperscaler der Betreiber des Mobilfunknetzes. Die Daten werden ausschließlich innerhalb der Cloud übertragen. Öffentliche IP-Adressen sind in diesem Fall nicht nötig. Geräte und Anwendungen sind dadurch nach außen vollständig verborgen.
Eine weitere Möglichkeit der Absicherung der Geräte im Mobilfunknetz sind Netzwerk-Firewalls. Sie werden von Carriern benutzt, die sich auf den Betrieb von IoT-Systemen spezialisiert haben. Sie begrenzen die Datenübertragung auf bestimmte Ports, Services und IP-Adressbereiche. Dadurch können selbst von Malware gekaperte IoT-Geräte keinen großen Schaden anrichten.
Neben den auf das Netzwerk ausgerichteten Security-Optionen sollte die Anwendungssicherheit nicht vernachlässigt werden. Ein entscheidender Punkt: Die Anwendungen auf der IoT-Plattform werden mit regelmäßigen Sicherheitsaktualisierungen auf dem neuesten Stand gehalten. Zudem ist es empfehlenswert, für die Benutzer eine Multi-Faktor-Authentifizierung zu aktivieren sowie klar definierte Rollen und Rechte zu vergeben.
Das Monitoring aller Verbindungen, Identitäten und Daten, beginnend beim IoT-Gerät bis hin zu den Cloudanwendungen ist eine weitere Best Practice. Dadurch geraten Anomalien rascher in den Blick, sodass Cyberkriminelle keine Chance haben. Ihr Ziel besteht in aller Regel darin, Kontrolle über IoT-Geräte zu erlangen, was moderne IoT-Sicherheitstechnologie und die Berücksichtigung der hier vorgestellten Best Practices verhindern kann.
Martin Gies ist CTO und Mitbegründer von EMnify. Er ist für die technische Umsetzung der Produktvision verantwortlich und verfügt über 15 Jahre Erfahrung als Technologieexperte in der flexiblen Entwicklung von innovativen Telekommunikationsdiensten. Bevor er EMnify mitbegründete, war er technischer Vizepräsident bei Syniverse und MACH.