Wie können Sie IoT-Sicherheitsherausforderungen und -Schwachstellen effektiv bewältigen?

Was ist ein IoT-Gerät?

Bevor wir uns mit den Problemen und Herausforderungen befassen, wollen wir uns ein besseres Bild machen von IoT Geräte. Geräte, an denen ein Sensor angebracht ist und die mithilfe des Internets Daten von einem Objekt zu einem anderen oder zu Personen übertragen, werden als IoT-Geräte bezeichnet. IoT-Geräte sind drahtlose Sensoren, Software, Aktoren und Computergeräte. Ein IoT-Gerät ist jedes Gerät, das sich mit einem Netzwerk verbindet, um auf das Internet zuzugreifen. Daher gelten PCs, Mobiltelefone, Lautsprecher und sogar einige Steckdosen als IoT-Geräte.

Heutzutage nutzen sogar Autos und Flugzeuge IoT-Geräte. Werden diese Geräte von Cyberkriminellen angegriffen, könnten sie entführt oder gestohlen werden. Angesichts der weltweit weit verbreiteten Nutzung von IoT-Geräten ist die Authentifizierung und Autorisierung von IoT-Geräten im Netzwerk Ihres Unternehmens unerlässlich. Wenn Sie nicht autorisierte IoT-Geräte in Ihr Netzwerk lassen, kann dies dazu führen, dass Cyberkriminelle diese Geräte für Schadsoftware-Angriffe in Ihrem Unternehmen nutzen.

Bedarf an IoT-Sicherheit

Sicherheitslücken bei IoT-Geräten können jederzeit auftreten, beispielsweise bei der Herstellung, der Netzwerkbereitstellung und bei Software-Updates. Diese Schwachstellen bieten Hackern Angriffspunkte, um Schadsoftware in das IoT-Gerät einzuschleusen und es zu beschädigen. Da alle Geräte mit dem Internet verbunden sind, beispielsweise über WLAN, kann ein Fehler in einem Gerät das gesamte Netzwerk gefährden und zu Fehlfunktionen anderer Geräte führen. Einige wichtige Anforderungen an die IoT-Sicherheit sind:

• Gerätesicherheit, wie z. B. Geräteauthentifizierung durch digitale Zertifikate und Unterschriften.
• Datensicherheit, einschließlich Geräteauthentifizierung sowie Vertraulichkeit und Integrität der Daten.
• Um gesetzlichen Anforderungen und Anforderungen nachzukommen und sicherzustellen, dass IoT-Geräte den Vorschriften der Branche entsprechen, in der sie verwendet werden.

IoT-Sicherheitsherausforderungen:

1. Malware und Ransomware

   Die Zahl der Schadsoftware und Ransomware, die zur Ausnutzung von IoT-Geräten eingesetzt wird, steigt in den kommenden Jahren weiter an, da die Anzahl der vernetzten Geräte zunimmt. Während klassische Ransomware Verschlüsselung Um Benutzer vollständig von verschiedenen Geräten und Plattformen auszuschließen, nimmt die Hybridisierung von Malware- und Ransomware-Stämmen zu, um mehrere Angriffe zu integrieren.

   Ransomware-Angriffe können Gerätefunktionen einschränken oder deaktivieren und gleichzeitig Benutzerdaten stehlen. Beispielsweise kann eine einfache IP-Kamera (Internet Protocol) vertrauliche Informationen aus Ihrem Haus, Büro usw. sammeln.

2. Datensicherheit und Datenschutz

   Datenschutz und -sicherheit sind in der heutigen vernetzten Welt die wichtigsten Themen. Große Unternehmen nutzen verschiedene IoT-Geräte wie Smart-TVs, IP-Kameras, Lautsprecher, Beleuchtungssysteme, Drucker usw., um ständig Daten zu erfassen, zu senden, zu speichern und zu verarbeiten. Alle Benutzerdaten werden häufig an zahlreiche Unternehmen weitergegeben oder sogar verkauft, was Datenschutzrechte verletzt und öffentliches Misstrauen schafft.

   Bevor IoT-Datennutzlasten gespeichert und von Informationen getrennt werden, die zur persönlichen Identifizierung von Benutzern verwendet werden könnten, muss das Unternehmen spezielle Compliance- und Datenschutzrichtlinien festlegen, die sensible Daten redigieren und anonymisieren.

   Mobile, Web- und Cloud-Apps sowie andere Dienste, die für den Zugriff, die Verwaltung und die Verarbeitung von Daten von IoT-Geräten genutzt werden, sollten diese Richtlinien einhalten. Zwischengespeicherte, aber nicht mehr benötigte Daten sollten sicher entsorgt werden. Bei der Speicherung der Daten ist die Einhaltung verschiedener rechtlicher und regulatorischer Vorgaben die größte Herausforderung.

3. Brute-Force-Angriffe

   Laut Regierungsberichten sollten Hersteller den Verkauf von IoT-Geräten mit Standardanmeldeinformationen vermeiden, da diese „admin“ als Benutzername und Passwort verwenden. Dies sind jedoch derzeit nur Richtlinien, und es gibt keine rechtlichen Sanktionen, die Hersteller zwingen würden, diesen riskanten Ansatz nicht mehr zu verwenden. Darüber hinaus sind fast alle IoT-Geräte aufgrund schwacher Anmeldeinformationen und Login-Daten anfällig für Passwort-Hacking und Brute-Force-Angriffe.

   Aus demselben Grund konnte die Mirai-Malware anfällige IoT-Geräte erfolgreich erkennen und sie mithilfe von Standardbenutzernamen und -kennwörtern kompromittieren.

4. Fähigkeitslücke

   Heutzutage mangelt es Unternehmen an IoT-Kompetenz, was sie daran hindert, neue Potenziale voll auszuschöpfen. Da es nicht immer möglich ist, ein neues Team einzustellen, sind Schulungsprogramme unerlässlich. Geeignete Schulungsworkshops und praktische Übungen sollten zum Hacken eines bestimmten Smart-Gadgets eingerichtet werden. Je mehr IoT-Wissen Ihre Teammitglieder haben, desto produktiver und sicherer wird Ihr IoT sein.

5. Fehlende Updates und schwacher Update-Mechanismus

   IoT-Produkte werden mit Blick auf Konnektivität und Benutzerfreundlichkeit entwickelt. Sie mögen beim Kauf sicher sein, werden aber anfällig, wenn Hacker neue Sicherheitslücken oder Schwachstellen finden. Darüber hinaus werden IoT-Geräte mit der Zeit anfällig, wenn sie nicht durch regelmäßige Updates behoben werden.

Die größten IoT-Sicherheitslücken

Das Open Web Application Security Project (OWASP) hat die IoT-Schwachstellen, eine hervorragende Ressource für Hersteller und Benutzer gleichermaßen.

1. Schwacher Passwortschutz

   Verwendung leicht zu erzwingender, öffentlich verfügbarer oder unveränderlicher Anmeldeinformationen, einschließlich Hintertüren in Firmware oder Client-Software, die unbefugten Zugriff auf bereitgestellte Systeme gewähren.

   Schwache, erratene, standardmäßige und fest codierte Anmeldeinformationen sind der einfachste Weg, Geräte direkt zu hacken und anzugreifen und weitere groß angelegte Botnetze und andere Malware zu starten.

   In 2018, Kalifornisches IoT-Gesetz SB-327 verabschiedet, um die Verwendung von Standardzertifikaten zu verbieten. Dieses Gesetz zielt darauf ab, die Schwachstellen bei der Verwendung schwacher Passwörter zu beheben.

2. Unsichere Netzwerkdienste

   Unnötige oder unsichere Netzwerkdienste, die auf den Geräten ausgeführt werden, insbesondere solche, die dem Internet ausgesetzt sind, gefährden die Verfügbarkeit, Vertraulichkeit und Integrität/Authentizität der Informationen und bergen das Risiko einer unbefugten Fernsteuerung von IoT-Geräten.

   Ungesicherte Netzwerke erleichtern es Cyberkriminellen, Schwachstellen in Protokollen und Diensten auf IoT-Geräten auszunutzen. Sobald sie das Netzwerk ausgenutzt haben, können Angreifer vertrauliche oder sensible Daten kompromittieren, die zwischen dem Gerät des Benutzers und dem Server übertragen werden. Ungesicherte Netzwerke sind besonders anfällig für Man-in-the-Middle-Angriffe (MITM), bei denen im Rahmen umfassenderer Cyberangriffe Anmeldeinformationen und Authentifizierungsdaten von Geräten gestohlen werden.

3. Unsichere Ökosystemschnittstellen

   Unsichere Web-, Backend-API-, Cloud- oder mobile Schnittstellen im Ökosystem außerhalb des Geräts, die eine Gefährdung des Geräts oder seiner zugehörigen Komponenten ermöglichen. Häufige Probleme sind fehlende Authentifizierung/Autorisierung, fehlende oder schwache Verschlüsselung sowie fehlende Ein- und Ausgabefilterung.

   Nützliche Identifikationstools helfen dem Server, legitime Geräte von böswilligen Benutzern zu unterscheiden. Unsichere Ökosystemschnittstellen, wie z. B. Anwendungsprogrammierschnittstellen (APIs), Webanwendungen und mobile Geräte ermöglichen es Angreifern, Geräte zu kompromittieren. Unternehmen sollten Authentifizierungs- und Autorisierungsprozesse implementieren, um Benutzer zu authentifizieren und ihre Cloud- und mobilen Schnittstellen zu schützen.

4. Unsichere oder veraltete Komponenten

   Verwendung veralteter oder unsicherer Softwarekomponenten/Bibliotheken, die eine Gefährdung des Geräts ermöglichen könnten. Dazu gehören unsichere Anpassungen von Betriebssystemplattformen und die Verwendung von Software- oder Hardwarekomponenten von Drittanbietern aus einer kompromittierten Lieferkette.

   Das IoT-Ökosystem kann durch Code- und Softwareschwachstellen sowie Altsysteme gefährdet sein. Die Verwendung unsicherer oder veralteter Komponenten, wie Open Source oder Software von Drittanbietern, kann Sicherheitslücken schaffen, die die Angriffsfläche eines Unternehmens vergrößern.

5. Mangelnder Datenschutz

   Auf dem Gerät oder im Ökosystem gespeicherte persönliche Informationen des Benutzers, die unsicher, unsachgemäß oder ohne Erlaubnis verwendet werden.

   IoT-Geräte erfassen häufig personenbezogene Daten, die Unternehmen sicher speichern und verarbeiten müssen, um verschiedene Datenschutzbestimmungen einzuhalten. Der mangelnde Schutz dieser Daten kann zu Geldstrafen, Reputationsverlusten und Geschäftsverlusten führen. Mangelnde Sicherheitsmaßnahmen können zu Datenlecks führen, die die Privatsphäre der Nutzer gefährden.

6. Unsichere Standardeinstellungen

   Geräte oder Systeme werden mit unsicheren Standardeinstellungen ausgeliefert oder es fehlt die Möglichkeit, das System sicherer zu machen, indem Bedienern die Änderung von Konfigurationen untersagt wird.

   IoT-Geräte verfügen wie private Geräte über fest programmierte Standardeinstellungen, die eine einfache Konfiguration ermöglichen. Diese Standardeinstellungen sind jedoch sehr unsicher und anfällig für Angreifer. Sobald sie kompromittiert sind, können Hacker Schwachstellen in der Firmware eines Geräts ausnutzen und umfassendere Angriffe auf Unternehmen starten.

7. Mangelnde physikalische Härtung

   Fehlende physische Härtungsmaßnahmen ermöglichen es potenziellen Angreifern, an vertrauliche Informationen zu gelangen, die bei einem zukünftigen Remote-Angriff hilfreich sein können, oder die lokale Kontrolle über das Gerät zu übernehmen.

   Die Natur von IoT-Geräten lässt darauf schließen, dass sie eher in entfernten Umgebungen als in leicht zu verwaltenden, kontrollierten Szenarien eingesetzt werden. Dies macht es Angreifern leicht, kritische Systeme innerhalb einer Organisation anzugreifen, zu stören, zu manipulieren oder zu sabotieren.

8. Fehlende sichere Update-Mechanismen

   Fehlende Möglichkeit, das Gerät sicher zu aktualisieren. Dazu gehören fehlende Firmware-Validierung auf dem Gerät, fehlende sichere Übermittlung (unverschlüsselt während der Übertragung), fehlende Anti-Rollback-Mechanismen und fehlende Benachrichtigungen über Sicherheitsänderungen aufgrund von Updates.

   Nicht autorisierte Firmware- und Software-Updates stellen eine große Gefahr für Angriffe auf IoT-Geräte dar.

Fazit

Referenzen

• www.networkworld.com/article/3332032/top-10-iot-vulnerabilities.html
• wiki.owasp.org/index.php/OWASP_Internet_of_Things_Project