Das Internet der Dinge, gehackt in drei Minuten

27. Oktober 2016, 15:24
  • security
  • iot
image

Auch in Unternehmen eingesetzte IoT-Geräte sind allzuoft leichte Angriffsziele. Und sie können für viel mehr missbraucht werden als nur DDoS-Angriffe.

Auch in Unternehmen eingesetzte IoT-Geräte sind allzuoft leichte Angriffsziele. Und sie können für viel mehr missbraucht werden als nur DDoS-Angriffe.
Gegenwärtig sind DDoS-Angriffe, die durch aus IoT-Geräten wie IP-Kameras zusammengesetzte Botnetze ausgeführt werden, ein grosses Thema, sie sehr leicht zu übernehmen und für Botnetze zu missbrauchen.
Eine vom Securlty-Anbieter ForeScout-Technologies in Auftrag gegebene Studie zeigt nun, dass auch in Unternehmen eingesetzte IoT-Geräte für Hacker ein leichtes Ziel sein können. ForeScout beauftragte den bekannten White-Hat-Hacker Sammy Kamkar, die Sicherheitsprobleme von Geräten aus sieben Geräteklassen zu analysieren und die Devices zu knacken. Kamkar nahm über IP verbundene Sicherheitssysteme, intelligente Klimaanlagen und Energiemessgeräte, Videokonferenzsysteme, Netzwerkdrucker, VoIP-Telefone sowie smarte Kühlschränke und Glühbirnen ins Visier. Laut ForeScout brauchte er teilweise weniger als drei Minuten, um in die Managementsysteme der Geräte einzudringen.
Offene Einfallstüren
Der Report versucht auch aufzuzeigen, was Hacker alles anstellen können, wenn sie in ein Gerät eingedrungen sind. Dass es in ein Botnetz integriert werden kann, ist nämlich für Unternehmen wohl das geringste der möglichen Probleme. Die folgenschwersten Sabotageakte, so konstatiert Kamkar, könnten Angreifer ausüben, wenn sie die Kontrolle über Sicherheitssysteme und Klimakontrollgeräte erlangen. Sie könnten Bewegungssensoren ausschalten und Türen öffnen und so Einbrüche ermöglichen. Über die Klimakontrolle könnte beispielsweise ein Serverraum so stark überhitzt werden, dass die Hardware den Geist aufgibt. Geknackte VoIP-Telefone erlauben das Abhören von Gesprächen. Aber auch durch die Kontrolle über andere Geräte könnten Hacker den Betrieb in einem Unternehmen zumindest empfindlich stören.
Mindestens ebenso schwerwiegend ist, dass geknackte Geräte auch Einfallstüren sein können, um in andere Teile eines Unternehmensnetzwerks einzudringen. Kamkar demonstriert dies in diesem Videoclip auf Youtube anhand einer Videokamera. Im Video zeigt er auch die Installation einer Hintertür, die ihm permanenten Zugriff erlaubt, auch wenn das Passwort geändert oder das Gerät neu gestartet wird.
Security versus Innovationstempo
Aber warum sind viele IoT-Geräte eigentlich so unsicher? Warum haben einige Hersteller derart "schreckliche Security-Entscheidungen" getroffen, wie sich 'Ars Technica' ausdrückt? Gute Sicherheitsmechanismen in der Software, Firmware und Hardware solcher Geräte zu implementieren, analysiert ForeScout, sei eine komplexe Aufgabe. Und genau deshalb oft auch eine vernachlässigte Aufgabe. Der Druck auf Anbieter- und Anwenderunternehmen, möglichst schnell immer neue Arten von IoT-Lösungen einzuführen, führe dazu, dass fast immer die Security geopfert werde, wenn es ums Tempo oder die Kosten eines Projektes geht. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3