Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Sicherheitslücken en masse

Kommentar: IoT-Security

Sicherheitslücken en masse

18. Juli 2014, 12:18 Uhr | Mathias Hein, freier Consultant in Neuburg an der Donau
Fortsetzung des Artikels von Teil 1

Noch mehr Sicherheitsattacken außerhalb der IT

Betrachtet man die Bereiche außerhalb der traditionellen IT, dann sind die Probleme noch weitaus umfassender. Integrierte Systeme sind heute in fast allen Bereichen des täglichen Lebens zu finden. Inzwischen drängen die großen Hersteller in den Consumer-Markt, obwohl diese wissen, dass die angebotene Hard- beziehungsweise Software von den kleinen Unternehmen beziehungsweise den Verbrauchern nicht ordnungsgemäß gemanaged und konfiguriert werden kann. Schlimmer noch, die Hardware-Anbieter verschieben die Sicherheitsfragen oft auf die eingebetteten Betriebssysteme. Doch genau das Gegenteil ist in der Praxis der Fall. Das amerikanische Sicherheitsunternehmen IOActive hat bei einer Untersuchung der verfügbaren Home-Office- und IoT-Produkte festgestellt, dass diese in der Regel unsichere und versteckte Protokolle, Administrationskonten mit nicht veränderbaren Anmeldeinformationen und leicht zu kompromittierende Authentifizierungsfunktionen nutzen.

Bei Industrieanlagen und Steuerungssystemen sieht es nicht besser aus, wie eine Untersuchung der Sicherheitsfunktionen von funkgestützten Fahrzeugerkennungstechnologie (diese wird direkt im Asphalt verbaut) von Sensys Networks ergab. Dabei entdeckten die Forscher eine Vielzahl an Designfehler und Sicherheitslöcher in den derzeit ausgelieferten Produkten. Dabei ist bemerkenswert, dass die in der Straße verbauten Sensoren über eine nicht gesicherte Kommunikationsstrecke mit den Access-Points verwendet um Daten zu übermitteln. Ein einigermaßen erfahrener Angreifer könnte damit problemlos die von den Sensoren übertragenen Daten fälschen und somit die Verkehrsmanagementsysteme manipulieren beziehungsweis deren Kontrolle übernehmen. Der Hersteller Sensys Networks wurde daraufhin mit den Untersuchungsergebnissen konfrontiert. Bei neueren Versionen der Hardware konnten einige Schwachstellen behoben werden. Das grundsätzliche Sicherheitsproblem hat ihre Ursache in der verbauten Hardware und diese lässt sich nicht per Software aktualisieren.

Die Hersteller verkaufen ihre Lösungen als „einfach zu bedienen“ und als „wartungsarm“. Das Problem besteht darin, dass die abgespeckten Systeme nicht über die richtige Mechanismen verfügen, um Sicherheitslücken beseitigen zu können. Wurde bereits beim Design des Geräts an der notwendigen Sicherheit gespart, gibt es nur wenige Optionen zur nachträglichen Absicherung der Komponente.

Unsicher aufgrund eines falschen Designs

Auch Industrieanlagen und Steuerungssysteme werden inzwischen gezielt angegriffen. Dank der in diesen Geräten vorhandenen Sicherheitsprobleme stellen diese dem Hacker keinen wirklichen Widerstand entgegen. Das Department of Homeland Security's Industrial Control System CERT (ICS-CERT) in den USA musste kürzlich einen Angriff auf ein ungeschütztes, mit dem Internet verbundenen Steuersystem, zugeben. Der Angriff erfolgte durch eine Manipulation des SCADA-Protokolls. Das Gerät war direkt über Internet zugänglich und wurde nicht durch eine Firewall oder einen Authentifizierungszugangskontrollen geschützt.

Viele Industrieanlagen und Steuerungssysteme und die auf den verwendeten Komponenten eingesetzten Protokolle sind bereits vom Design her unsicher. Meist wurden diese Systeme nicht für den vernetzten Betrieb konzipiert und lassen sich nicht mehr auf den neuesten Sicherheitsstandard aufrüsten.

Natürlich gleichen sich nicht alle IT-Systeme und die Sicherheitsexperten sind sich einig, dass es Anwendungsszenarien gibt, die nur geringe Sicherheitsfunktionen erfordern. In vielen Fällen müssen jedoch zusätzliche Schritte zur Härtung beziehungsweise zur Isolierung der gefährdeten Systeme unternommen werden. Allerdings wird es für die Unternehmen immer schwieriger sicherzustellen, dass die Systeme nicht über das Internet oder einem benachbarten Netz zugänglich sind. Kritische Infrastrukturen sind deshalb zu Konfigurations- oder Administrationszwecken oft nur über das Mobilfunknetz erreichbar. Dieses Zugangsverfahren stellt zwar nicht der Weisheit letzten Schluss dar, aber der Schutz der mangelhaft entwickelten Systeme erfordert manchmal Umwege.

Wie sieht es zukünftig mit der Sicherheit aus?

Da es in Sachen Sicherheit in vielen Bereichen nicht zum Besten steht, kann es in Zukunft nicht besser werden. Die Computing-Landschaft wird sich in den kommenden 10 Jahren vollkommen verändern. Tragbare Geräte, Sensoren und mit dem Internet verbundene Geräte werden das Internet of Things (IoT) bilden. Viele dieser Geräte werden außerhalb der traditionellen IT-Umgebungen eingesetzt. Im Gegensatz zu den in der Vergangenheit aufgebauten IT-Umgebungen werden die IoT-Geräte nicht mehr auf Technologiemonokulturen basieren. Daher wird die Abkündigung von Microsoft für die Unterstützung von XP weniger wichtig werden. Stattdessen wird eine andere Art von Monokultur aufgebaut: Auf Basis einer Standard-Hardware (preiswerte Prozessoren und Controller) liefern die unterschiedlichsten Sensoren-Hersteller ihre Lösungen aus. Die Verbreitung einer Vielzahl unterschiedlicher und langlebiger Smart- und Embedded-Geräte schafft ideale Voraussetzungen für massive Betriebsstörungen durch Cyber-Attacken, die die Mängel und Schwachstellen in einer Vielzahl unterschiedlicher Komponenten (smarte Kühlschränke, intelligente Bürgersteige, Verkehrsüberwachungssysteme, etc.) ausnutzen.

Fazit

Kurzfristig wird es keine schnelle Lösung für die genannten Probleme geben. Die Sicherheitsexperten müssen zusammen mit den Infrastrukturbetreibern die Schwachstellen analysieren und angemessene Maßnahmen entwickeln, die die betreffenden IT-Umgebungen vor Angriffen absichert. Da in den Unternehmen jedoch bereits eine Unzahl an unsicheren Komponenten im Betrieb sind, sind die bestehen Sicherheitsrisiken jedoch nicht problemlos zu beseitigen. Oftmals muss ein Kompromiss zwischen den notwendigen Sicherheitsanforderungen und den technischen Möglichkeiten eingegangen werden. Eine Veränderung der Sicherheitskultur in den Unternehmen ist daher unbedingt notwendig. Die verantwortlichen Ingenieure müssen die Unternehmenssicherheit verinnerlichen und dürfen nur noch Produkte einsetzen, die auch langfristig die Sicherheitsvorgaben der Unternehmen erfüllen.

Anbieter zum Thema

Rittal GmbH & Co. KG
Vertiv GmbH
nexspace data centers GmbH
AixpertSoft GmbH
Riello UPS GmbH
Matchmaker+
zu Matchmaker+
  1. Sicherheitslücken en masse
  2. Noch mehr Sicherheitsattacken außerhalb der IT

Lesen Sie mehr zum Thema

connect professional Server, Datacenter
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Server, Datacenter

Direktanschluss an Atomkraftwerk

Amazon plant 20-Milliarden-Investition in Rechenzentren

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Matchmaker+
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
elektrofachkraft.de

elektrofachkraft.de
gekartel AG

gekartel AG
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
AixpertSoft GmbH

AixpertSoft GmbH