Sind IoT-Geräte ein Hintertürchen in unser Zuhause?
Mit jedem Tag haben wir mehr und mehr Geräte im und ums Haus, die sich mit dem Internet verbinden und mit anderen Geräten kommunizieren. Müssen wir uns Sorgen um unsere Sicherheit machen? Was können wir tun, um uns zu schützen? Das eigene Haus hat mittlerweile mehr Türen als nur die Eingangstür.
Eine neue Tür ins Heim
Jedes Zuhause hat mehrere Eingänge. Von der Haustür, über die Fenster bis hin zu, ja, auch den Wänden. Kein Schloss ist perfekt und kann durchbrochen werden. Das gleiche ist bei unserer Internetverbindung der Fall, ist sie nicht entsprechend gesichert, ist es ein leichtes einzusteigen.
Jede Tür kann ein Hintertürchen sein
Mittlerweile können immer mehr Geräte mit dem Internet verbunden werden. Immer seltener ist in einem Haushalt kein Smart-TV vorhanden. Sogar Kühlschränke werden smart, erkennen selbstständig, was im Sortiment fehlt und bestellen es einfach nach. Die Industrie liefert uns immer mehr Geräte, die wir über das Internet kontrollieren können, egal wo wir uns gerade befinden. Diese Geräte gehören zur Kategorie des Internet of Things, kurz IoT. Die Möglichkeiten sind endlos, aber um Richard Nixon zu zitieren: “Aus großer Macht folgt große Verantwortung”.
Sicherheit ist Teil unseres täglichen Lebens und in der “physischen” Welt absolut selbstverständlich, das Selbe kann aber nicht über die Sicherheit im Internet gesagt werden. Es ist völlig klar, dass man ein Fahrrad nie einfach ohne Schloss irgendwo abstellen würde, aber beim heimischen Router lassen viele einfach das voreingestellte Kennwort unberührt, ohne das Gefühl zu haben, hier die eigene Sicherheit außer Acht zu lassen. Vielen fehlt hier auch einfach das technische Wissen, aber wir können uns schützen.
Die Internet-of-Things-Branche liefert sehr gute, fertige, Produkte, die einfach nur in Betrieb genommen werden müssen. Ein anderer Trend setzt auf “DIY” (Do it yourself). Vom Raspberry Pi hin zu Überwachungskameras, nahezu alles kann heutzutage auf Wunsch mit dem Internet verbunden werden.
Kauft man ein fertiges Produkt, muss man auf den Hersteller vertrauen, dass die eingesetzte Software entsprechend zuverlässig und abgesichert ist. Viel mehr ist im Endeffekt nicht möglich und man hat wenig Kontrolle.
Ist man eher ein Freund von “DIY” gibt es viele Dinge zu beachten, und nicht nur die regelmäßigen Updates der Software. Nutzt man zum Beispiel einen Raspberry Pi um die eigene Festplatte aus der Ferne erreichen zu können, installiert man gerne die Standard-Software und beachtet nicht, einen neuen User anzulegen geschweige denn das Kennwort zu ändern. Verbindet sich das Gerät nun mit dem Internet, ist der Zugang zu unserem Heimnetzwerk nicht mehr sonderlich schwer.
Das Haus hacken
IoT-Geräte verbinden sich also mit dem Internet und sind so theoretisch für jeden über das Netzwerk erreichbar. In der Datenbank Shodan finden wir jedes aktuelle IoT-Gerät, und auch dessen Sicherheitslücken. Hier bekommt man schnell einen Eindruck, wie einfach erreichbar diese Geräte letztendlich sind, für uns und für jeden anderen, der Interesse daran hat.
Aus diesem Grund müssen wir uns Gedanken um die Sicherheit der Geräte machen, die wir kaufen und in unserem Haus installieren. Natürlich ist diese Sicherheit vor allem vom Hersteller abhängig.
Ein paar Beispiele, wie IoT-Geräte missbraucht werden können
In den letzten Jahren sind immer mehr Menschen online gegangen. Aktuell sind über 7 Milliarden Geräte mit dem Internet verbunden und es werden täglich mehr. Diese Internetverbindung kann aber eben auch missbraucht werden.
Am 21. Oktober 2016 litt Dyn, der größte DNS-Anbieter, unter einer DDoS-Attacke (Denial of Service), welcher durch ein Botnet aus Millionen an IoT-Geräten ausgeführt wurde. Dabei versuchen all diese Gerät zur gleichen Zeit die Server aufzurufen, die von Dyn gemanagt wurden, was zum Zusammenbruch selber führte. Unter anderem waren Twitter, GitHub, PayPal, Amazon, Reddit, Netflix und Spotify von der Attacke betroffen.
Ein weiteres Beispiel war ein paar Tage später im Büro von Oracle zu beobachten. Dank einer Drone konnte ein Signal an mehrere intelligente Glühbirnen in den Büros gesendet werden, um den Morse Code für SOS anzuzeigen.
Sicherheitskameras sind manchmal nicht so sicher, wie sie eigentlich sein sollten. Im Jahr 2014 wurden knapp 73.000 Sicherheitskameras gehackt und Bilder geschossen. Vor kurzem wurde bekannt, dass eine recht günstigere Sicherheitskamera für knapp US$55 in 98 Sekunden gehackt werden konnte.
8/x: Actually, it took 98 seconds for first infection pic.twitter.com/EDdOZaEs0V
— Rob Graham (@ErrataRob) 18 de noviembre de 2016
In 2014 ist einem Team aus Computerspezialisten gelungen, die Kontrolle über einen Jeep zu übernehmen, während dieser auf dem Highway unterwegs war. Die Reaktion des Herstellers war nicht zufriedenstellend, da es Monate gedauert hat, um die Software des Fahrzeugs zu updaten. Das war leider kein gutes Licht auf Jeep.
Wie man sich zuhause schützen kann
Es gibt allerdings auch viele Unternehmen, die sich vornehmlich um die Sicherheit der IoT-Geräte kümmert, wie zum Beispiel Cisco und Google. Wie die Vergangenheit zeigt, werden aber Geräte, die gehackt werden können, auch früher oder später eben gehackt. Wir möchten Euch also ein paar Tipps an die Hand geben, wie Ihr Eure Systeme etwas sicherer machen könnt:
- Stellt vor dem Kauf sicher, dass der Hersteller schnell auf Sicherheitslücken reagiert
- Ändert die Standard-Einstellungen eines IoT-Geräts
- Deaktiviert Universal Plug-and-Play (UPnP)
- Deaktiviert das Remote Management Protocol Eures Routers
- Haltet die Software Eures Geräts stets auf dem aktuellen Stand
- Optional könnt Ihr auch ein Firewall-Gerät kaufen
Habt Ihr Euch schon mit IoT-Geräten ausgestattet? Was tut Ihr, um Euch vor Angriffen zu schützen?
"Hunderttausende verwundbare IoT-Geräte allein in Barcelona"
https://www.heise.de/newsticker/meldung/Hunderttausende-verwundbare-IoT-Geraete-allein-in-Barcelona-3639585.html
Da passt ja der Artikel dann auch wunderbar dazu:
https://www.heise.de/tp/features/Aus-dem-Internet-der-Dinge-wird-eine-Armee-der-Dinge-3357527.html
Quelle: Telepolis
"aus grosser macht folgt grosse verantwortung" ist doch von spiderman,nixon hat den zwar auch abgelassen aber ich meine,dass der spruch schon vor '72 in den comics auftauchte :-))
Vieles bei IoT sieht nach technischem Spielzeug für Nerds aus 😎
Für die meisten normalen Haushaltsdinge brauchen die Geräte nicht unbedingt eine Internetkompatibilität. Superbeispiel dafür sind elektrische Zahnbürsten.
elektrische Zahnbürsten? Wäre doch praktisch, wenn die je nach Putzhäufigkeit und - dauer einen Termin bei deinem Zahnarzt machen könnten. Mit integrierter Kamera könnte auch gleich ein "Schadensbild" mitgeschickt werden 😂
Das Problem am IoT sind nicht irgendwelche Hacker sondern die Hersteller, die nicht über die Geräte sondern durch die Nutzung der selbigen Geld machen - kurzum über den Anwender.
Mein Routerkennwort ist dem Rest des Internets relativ unwichtig, sweet sweet Metadata sind doch die interessanten Sachen. Die 3 Ddos Hacker sind unser geringeres Problem.
Es reicht ein DDoS-Hacker, wenn er genügend Geräte erreicht, die er für sein Tun nutzen kann. Ich würde das nicht so abtun!
Die Hersteller müssten besser absichern und vor Risiken warnen. Aber solange die Leute alles unkritisch kaufen, wird auf die Hersteller kein Druck ausgeübt. Daher ist meiner Ansicht der Anwender auch in der Pflicht. Er muss sich halt überlegen, dass jeder seine Aldi-Webcam abfragen könnte, wenn er selbst sie aus der Ferne abfragen will und wie er das unterbinden kann.
Darüber macht sich aber kaum jemand Gedanken, fällt aber auch allen Wolken, wenn es ihn selbst betroffen hat. Schuld sind dann immer die anderen. So geht es auch nicht!
@aries
du verlangst ein "bisschen" zu viel vom anwender ! jetzt schon sind millionen "helferlein" ungeschützt im netz ohne das die "eigentümer" irgend etwas davon ahnen .
wenn selbst ausgewiesene "profis" wie oracle davon "überrascht" werden , willst du wirklich den "anwender" hier in die pflicht nehmen ? .... wie sollte der überhaupt in die lage versetzt werden vorsorge oder abhilfe zu schaffen ?
der größte teil kann nicht mal den eigenen router konfigurieren , geschweige das eigene smartphone !
Dann müssen alle IT Experten sein und programmieren können, wie soll das gehen. Ich selber programmiere in c, c++ so wie in Python, ich weiß das es nicht einfach ist und man sich dafür schon interessieren muss.
Jeder benutzt IT wie die Stereo-Anlage, den alten Röhren-TV oder die Kaffeemaschine. Kaum jemand bastelt aber anhand Anleitungen im Internet am Fahrwerk seines Autos rum.
IT ist komplex. Richtig! IT durchdringt nicht jeder. Richtig! Vielleicht sollte die Gesellschaft sich klarmachen, dass es nicht so einfach ist, wie die Werbung verspricht, wenn es zugleich halbwegs sicher sein soll? it dem Internet of Things wird das ganze noch komplexer.
Wer kein Know How hat oder es sich nicht aneignen kann/will, der sollte sich um professionelle Hilfe bemühen. Klar, das kostet Geld.
nein, er sollte dann die dienstleistung schon beim preis mit bezahlen ! nur die Hersteller selbst sind dazu nicht in der lage, ansonsten würden sie ja updates und patches anbieten . hier gehts aber nur um die schnelle mark
* Aries
Du übertreibst wieder mal ein röhren tv und Stereo Anlagen gehören nicht dazu. So einfach ist es nicht, IT und EDV sind mitlerweile zusammen geschmolzen und es wird nur noch IT genannt Inofmastionstechnik wo auch daten verarbeitet werden und zwar vom Nutzer. Im röhren tv kann man nicht verarbeiten nur empfangen, ein smart tv mit Internet Anschluss und wenn man apps drauf laden kann, das gehört noch dazu aber bitte kein röhren tv oder Stereo Anlage.
schon jetzt gibt es soviel "schrott" der nie ein patch oder update sehen wird ! das DDoS auf twitter,PayPal,github u.s.w .... wird erst der anfang (testlauf) gewesen sein und wird die größte bedrohung der wirtschaftsräume im 21 jahrhundert sein !
Mela, DDos-Attacken sind uralt und es gab schon mehrere schwere. Es stimmt - durch diese entstehen Milliardenschäden, diese können aber auch beispielsweise durch Bahnstreiks kommen. Eine gesunde Volkswirtschaft muss das verkraften können. Die von dir genannten Firmen bieten Webdienste an - und keine Geräte oder Anwendungssoftware, die für den Kunden gepflegt werden müssen. Außerdem ist das Risiko eines Datenlecks einer reinen DDos-Attacke wirklich minimal.
da bist du voll aufm holzweg ! Iol sind rund um die uhr verfügbar millionenfach ohne das der besitzer was ahnt .mit dieser masse in einem bot sind die betreiber in der lage, das grosse teile wenn nicht gar das komplette Internet lahm zulegen . keine kommunikation , weist du was das heißt ?
Das ist jetzt übertrieben, nicht gleich das komplette Internet. Aber wichtige Seiten die Millionen Nutzer haben und nutzen wie z.b Facebook und Google.
Also die DDos-Attacke, die alle Google-Server lahmlegt, möchte ich sehen. Das wäre eine neue Dimension - und schlichtweg unrealistisch, weil extrem schwierig umzusetzen.
Außerdem habe ich doch schon gesagt, dass das Prinzip der DDos-Attacken uralt ist. Die Webdienstanbieter haben heute recht effektive Maßnahmen, um solche Attacken abzuwehren.
ich denk das ist wieder der holzweg
die DDoS haben eine ganz andere qualität und intensität
im oktober wurde der größte DNS anbieter ausgeschaltet, paypal, ebay lamgelegt ....
das sieht sehr nach einem probelauf aus
jetzt meldet google massiv probleme bei der user-einwahl und von amazon "verschwinden" rechenzentren aus dem netz !
ich kann da nicht an einen zufall glauben . hier wird was "großes" vorbereitet !
Ich glaub ich spar mir die Mühe auf solche Kommentare zu antworten...
du hast kein mehr weil dir das wissen fehlt