Sicherheitslücken in IoT-Geräten bieten Hackern Vollzugriff

IoT-Devices als Trojanische Pferde – Gefahr durch von Home-Office erhöht

[datensicherheit.de, 07.03.2021] Egal, ob Überwachungskameras für Häuser und Firmen, Babycams, der Saugroboter oder die smarte Schließanlage – immer öfter fänden IoT-Geräte den Weg in Netzwerke und öffneten damit „Tür und Tor“ für Hacker-Attacken. Nahezu jedes Device habe teils gravierende Lücken, warnen Security-Experten von IoT Inspector:

Bewusstsein für IoT-Sicherheit weder bei Anwendern, noch Herstellern oder Inverkehrbringern wirklich vorhanden

Das Bewusstsein für die notwendige Sicherheit dieser Geräte sei weder bei den Anwendern, noch bei den Herstellern oder Inverkehrbringern wirklich vorhanden. „Ein im Klartext aus dem Staubsauger auslesbarer WLAN-Schlüssel oder ein für den Benutzer unsichtbares Admin-Account mit gefährlichem Vollzugriff in der Firmware einer Überwachungskamera, der vom OEM-Hersteller in China stammt, sind dabei nur einige der immensen Sicherheitslücken, die wir immer wieder sehen“, erläutert Rainer M. Richter, Geschäftsführer von IoT Inspector.
Sein Unternehmen hat demnach die Sicherheitsprüfung der Firmware smarter Devices automatisiert und ermögliche so in wenigen Minuten eine tiefe Analyse, „die eine Vielzahl von Schwachstellen aufdeckt und deren gezielte Behebung ermöglicht“. Auch Verletzungen internationaler Vorgaben zu IT-Sicherheit würden durch den integrierten „Compliance Checker“ geprüft.

IoT-Devices im privaten Einsatz können leicht gehackt werden

Eine besondere Gefahr sehen die Experten dabei „in der drastischen Zunahme von Menschen im Home-Office“: IoT-Devices im privaten Einsatz könnten leicht gehackt werden, erlaubten z.B. den Zugriff auf ein WLAN und erhöhten damit das Infektionsrisiko für sich darin befindende Computer und andere IT-Komponenten. Der Schritt in ein abgesichertes Firmennetzwerk – beispielsweise per VPN-Verbindung – sei dann nur noch der krönende Abschluss einer möglichen Hacker-Strategie.
Aber auch direkt in Unternehmen seien mehr und mehr smarte Geräte mit Internetverbindung unterwegs: Nicht nur Fertigungssteuerungen, auch Schließ- und Überwachungssysteme seien rund um die Uhr online. „Es muss sich scheinbar erst etablieren, dass der mit IoT-Geräten in der IT-Infrastruktur verbundene Komfort auch beachtliche Sicherheitsrisiken mit sich bringt. Wer sich längst an Firewall und Virenscanner gewöhnt hat, darf in Punkto IT-Security nicht bei smarten Devices – also IoT Devices – aufhören“, betont Richter.

IoT-Geräte wie Drucker, Router, smarte Licht- und Klimakontrollen als potenzielle Einfallstore

IoT-Geräte umfassten auch Drucker, Router, smarte Licht- und Klimakontrollen, die sich ebenfalls als potenzielles Einfallstor für Hacker eigneten. Sie könnten als sogenannte Trojanische Pferde missbraucht werden und so die Infiltration von Netzwerken, den Diebstahl von Daten oder die Platzierung von Ransomware ermöglichen. Dabei seien zahlreiche der bereits von IoT Inspector durchleuchteten Devices auch in Kritischen Inftrastrukturen (KRITIS) im Einsatz – ein immenses Risiko und gleichzeitig ein Bruch der Vorgaben an IT-Compliance.
Gleichzeitig müsse auch klar sein, dass IoT-Security nicht durch eine einmalige Prüfung dauerhaft gegeben sein könne. Jedes Firmware-Update – von der smarten Kamera über den Router und jede weitere IoT-Anschaffung – berge das Risiko neuer Sicherheitslücken. „Eine Überwachungsfunktion innerhalb der IoT Inspector-Plattform ermöglicht die tägliche Prüfung auf neue Risiken und die laufende Einhaltung der internationalen Vorgaben, die sich je nach Land auch von Zeit zu Zeit ändern“, berichtet Richter.

Weitere Informationen zum Thema:

datensicherheit.de, 09.12.2020
Tausende IoT-Schwachstellen unter dem Weihnachtsbaum

datensicherheit.de, 26.08.2020
Die Top 5 Mythen der IoT-Sicherheit / Palo Alto Networks rät, sich in der IoT-Welt auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät

datensicherheit.de, 19.08.2020
IoT-Sicherheit: 7 zentrale Erkenntnisse / Palo Alto Networks betont Bedeutung Maschinellen Lernens für verbesserte IoT-Sicherheit

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität