Suchen

Risiko Internet of Things IoT-Sicherheit fehlen die passenden Anreize

| Autor / Redakteur: Christian Reuss / Peter Schmitz

Dass Geräte im Internet der Dinge Sicherheitslücken aufweisen ist seit Jahren bekannt. Doch vergangenen Oktober, als Amazon, Netflix oder Twitter größtenteils ausfielen, bekam die Öffentlichkeit erstmals auch die Konsequenzen zu spüren. Um echte IoT-Sicherheit umzusetzen, scheint allen Beteiligten der nötige Anreiz zu fehlen.

Firmen zum Thema

Selbstwenn kein einziges unsicheres IoT-Gerät mehr neu eingerichtet wird, bleiben ca. 10 Milliarden IoT-Geräte , die schon Gebrauch sind - viele davon mit großen Sicherheitslücken.
Selbstwenn kein einziges unsicheres IoT-Gerät mehr neu eingerichtet wird, bleiben ca. 10 Milliarden IoT-Geräte , die schon Gebrauch sind - viele davon mit großen Sicherheitslücken.
(Bild: Pixabay / CC0 )

Der DDoS-Angriff auf die DNS-Infrastruktur (Domain Name System), der zum Ausfall einiger der beliebtesten Dienste und Websites führte, wurde durch ein Botnet aus IoT-Geräten verursacht. Ein deutliches Alarmsignal, das wachrütteln sollte.

In dieser Hinsicht war das IoT-Botnetz „Mirai“ ein Glücksfall – zumindest für alle, die sich zuvor vergeblich bemüht hatten, auf die Problematik aufmerksam zu machen. Denn von einer Sekunde auf die nächste war das bislang eher vernachlässigte Thema IoT-Sicherheit weltweit in den Schlagzeilen. Die einhellige Meinung war, dass nun irgendjemand irgendetwas unternehmen müsse. Doch wer?

Schuld ist: Der Hersteller

IoT-Geräte sind für Angreifer ein attraktives Ziel, da viele Geräte mit unsicheren Standardeinstellungen ausgeliefert werden. Die standardmäßige Anmeldung mit einem Administratorkonto. Der offene Zugang zu Managementsystemen über die internetseitigen Schnittstellen der Geräte und die Auslieferung der Geräte mit unsicherem Code, der über das Netzwerk manipuliert werden kann, sind nur einige Beispiele. Ein Großteil der integrierten Systeme wird selten oder sogar nie aktualisiert, um Sicherheitslücken zu schließen. Tatsache ist, dass viele Hersteller solcher Geräte gar keine Updates bereitstellen.

Obwohl die Gerätehersteller seit Jahren über diese Sicherheitsmängel informiert sind, reagieren sie erst jetzt und versuchen nun, die Lücken zu schließen. Die Hard- und Software, die in einem Großteil der IoT-Geräte zum Einsatz kommt, stammt von einer überschaubaren Gruppe von Herstellern in Asien. 2014 veröffentlichte einer der größten Hersteller ein neues Softwarerelease, das einige der Probleme im Zusammenhang mit Standardpasswörtern löste. Allerdings erstreckten sich diese Patches nur auf die englischsprachige Version der Software. Für alle anderen Sprachen stehen die entsprechenden Patches bis heute aus.

Welche Beobachtungen wurden gemacht, als das Botnet „Mirai“ das Internet lahmlegte? Die Dichte von Mirai-Knoten war in China, Hongkong, Macao, Vietnam, Taiwan, Südkorea, Thailand, Indonesien, Brasilien und Spanien besonders hoch und viele der heutigen Mirai-Angriffe gehen von Ländern aus, in denen die Software in derselben nicht-englischen Sprachversion wie auf den IoT-Geräten ausgeführt wird.

Die Hersteller haben einige geringfügige Verbesserungen bezüglich der IoT-Sicherheit vorgenommen, haben aber bis heute keinen echten Anreiz, dies in einem umfassenderen Rahmen zu tun.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44556029)