GlobalSign Blog

01 Apr 2016

Vorsicht! Diebstahl von Daten & Identitäten im IoT

Das größte Risiko für die persönliche Sicherheit und die des Unternehmens?

Allzu oft lesen wir über gleichermaßen überraschende wie erschreckende Hackerangriffe, bei denen die Angreifer mit unterschiedlichen Tricks an Daten und Geld eines Opfers zu gelangen versuchen. Allerdings sind die Nutzer selbst oft das größte Sicherheitsrisiko. Verliert man internetfähige Geräte aus dem Blick (wie Handy, iPad, Kindle, Smartwatch, usw.), spielt das indirekt Dieben und opportunistischen Findern in die Hände.

Zwar erleichtert das Internet der Dinge (IoT) unser Leben an vielen Stellen, die erforderlichen Sicherheitsvorkehrungen werden aber oft erst rückblickend oder nur nebenbei berücksichtigt, um ein Produkt so schnell wie möglich auf den Markt zu bringen.

Das Hauptziel von Identitätsdiebstahl ist es zunächst Daten anzusammeln. Mit ein bisschen Engagement und Fleiß lässt sich hier schon allerhand erschließen. Allgemeine Daten, die im Internet frei verfügbar sind, kombiniert mit Informationen aus Social Media-Profilen, sowie Daten geliefert von Smartwatches, Fitness-Monitoren und smarten Energiezählern, Kühlschränken und so weiter, geben einen ziemlich guten Einblick in das persönliche Leben eines Nutzers. Je mehr Details man zu einem Benutzer ausfindig machen kann, umso einfacher und ausgeklügelter sind gezielte Angriffe durch Identitätsdiebstahl. Sollte ein Hacker dann noch an unternehmensbezogene Daten einer Person gelangen, wird der Angriff immer lukrativer.

Nehmen wir als Beispiel die von außen betrachtet unwahrscheinlich klingenden Geschichten von Anrufen eines "Neffen", der dringend Geld braucht. Man fällt deutlich leichter darauf herein, wenn der Angreifer weiß, dass die Person wirklich einen Neffen hat, der im Moment passenderweise auch noch auf Reisen ist. Im Unternehmenszusammenhang könnte ein Hacker sich als Personalchef ausgeben (so gerade im großen Stil in der Schweiz passiert) und seinen Angestellten um die Bankverbindung oder Adressen von Angestellten bitten - auch wiederum viel glaubhafter, wenn die Firma vor kurzem die Bank gewechselt hat oder die Angestellen-Datenbank aktualisert hat.

Die Welt des IoT - Unsere vertraulichen Daten überall

Fast 2/3 der Amerikaner besitzen heute ein Smartphone, und Schätzungen zufolge hat bis 2020 jede Person weltweit im Durchschnitt mehr als sechs mit dem Internet verbundene Geräte.

Ein Nachteil von internetverbundenen Geräten ist, dass wir sie mit uns herumtragen. Wir nehmen Sie mit an überfüllte Plätze, lassen sie in Handtaschen und Rucksäcken und haben kein Problem damit sie zu nutzen, wenn Unbekannte um uns herum beste Einsicht haben - und das unabhängig davon ob wir die Geräte privat oder geschäftlich nutzen. Es ist nicht besonders aufwendig jemanden dabei zu beobachten wie er seinen Pin Code oder sein Passwort eintippt. Selbst wenn wir also (minimale) Sicherheitsvorkehrungen treffen ist es nur allzu einfach sich die Logindaten von Fremden zu merken und das Gerät zu stehlen.

Eine Fitnesswatch oder ein Smartphone speichern eine Vielzahl privater Informationen – alles von Name, Adresse, Geburtsdatum bis hin zu Kreditkarteninformationen und Daten, die die eigene Gesundheit betreffen. Gerade Handys nutzen nicht selten unsichere Apps um den E-Mail-Account, Unternehmens- und Social-Media Zugänge, Online-Banking und so weiter abzurufen. Nüchtern betrachtet ist es schockierend, wohin wir unsere wichtigsten Daten mitnehmen und welchen Gefahren wir sie aussetzen, ohne einen Gedanken daran zu verschwenden, was es bedeuten würde, wenn sie in die falschen Hände geraten würden. 'Bring Your Own Device' (BYOD) in Unternehmen ist nur einer der Trends, die das Risiko erhöhen, dass höchst vertrauliche Informationen veröffentlicht werden.

Obwohl die Sicherheitsmaßnahmen für mobile Geräte sich inzwischen verbessert haben (Sicherung mit PIN, die Möglichkeit das Handy bei Diebstahl zu sperren, Authentifizierung per Fingerabdruck, usw.) ist ein Großteil der Geräte nach wie vor unzureichend gesichert. In einem Test konnten zum Beispiel nur 50% der Smartwatches per PIN oder Muster gesichert werden. Die gute Nachricht ist allerdings, dass vor allem Unternehmensanwendungen langsam aufholen. Es liegt also jetzt an den Benutzern diese Technologien auch tatsächlich zu nutzen.

Je enger unsere Welt verbunden ist, desto interessanter werden Daten für opportunistische Hacker. Und je mehr verbundene Geräte eine einzelne Person besitzt, desto wahrscheinlicher ist es, dass ein Hacker wenigstens ein Gerät findet, das ihm die Tür zum privaten Netzwerk oder gleich ins Unternehmensnetzwerk öffnet. Das kann ein Sicherheitssystem sein oder der Firmencomputer.

Das derzeit größte Risiko - Identitätsdiebstahl

Wenn ein Gerät gestohlen wird, ist das an sich schon ziemlich ärgerlich. Aber falls der Dieb Daten und Gerät nutzt, um sich Ihre Identität anzueignen, dann haben Sie ein deutlich größeres Problem. Andere Geräte und Ihre persönlichen und geschäftlichen Kontakte vertrauen Ihrer Identität und fallen so besonders leicht auf gefälschte Kontaktversuche herein. Man kann Identitätsdiebstahl als eines der Hauptrisiken des IoT's sehen.

Stellen Sie sich folgendes Szenario vor, das ThinkAdvisor exemplifiziert: jemand bewirbt sich mit Ihrer gestohlenen Identität um einen Hauskredit, vermietet anschließend das Haus oder verkauft es schnell weiter. Oder im beruflichen Kontext: jemand gibt sich als Ihr Chef aus und beauftragt Sie Geld auf ein anderes Konto zu überweisen. Ebenso erschreckende wie inzwischen reale Beispiele, die zeigen wie schnell Identitätsdiebstahl einen selbst und in welchem Maß betreffen kann.

Schützen Sie sich und Ihre Daten

Es gibt einige Wege mit denen Sie Ihre Daten besser schützen können:

  • Geben Sie nur die Daten ein, die unbedingt notwendig sind: es ist wichtig, dass Sie wissen wer Zugang zu welchen Daten und zu welchem Zweck hat, und welche Richtlinien diese Daten schützen. Es macht Sinn von vorneherein so wenig Daten wie möglich anzugeben, und nie die Einstellung "Passwort speichern" zu wählen, ganz besonders nicht beim Zugang zum Online-Banking oder zu Unternehmensnetzwerken.
  • Verschlüsseln Sie Ihre Daten: Verschlüsselung ist ein wichtiger Schritt um zu gewährleisten, dass nur berechtigte Personen Zugang zu Daten haben.
  • Starke Authentifizierung: Wer und was darf sich mit Ihrem Gerät, Ihren Daten oder Ihrem Unternehmensnetzwerk verbinden. Mit einer Authentifizierungslösung können nicht befugte Nutzer ausgeschlossen werden, was vor allem dann nützlich ist, falls ein Gerät gestohlen wurde oder verloren gegangen ist. Multi-Faktor-Authentifizierung besteht aus einer Kombination von mehreren Elementen um den Zugang zu gestatten - normalerweise eine Auswahl aus zwei oder mehr Elementen von etwas, das Sie wissen (z.B. ein Passwort), etwas, das Sie besitzen (z.B. Ihr Handy) und etwas, das Sie „sind“ (z.B. ein Fingerabdruck). Multi-Faktor-Authentifizierung ist ein weiterer Schritt um die Sicherheit zu verbessern.
  • Wählen Sie ein neues Passwort für jedes Gerät und ändern Sie voreingestellte Passwörter immer.
  • Das BSI hat weitere Tipps, wie man das Risiko Opfer von Identitätsdiebstahl zu werden verringern kann, und viele Unternehmen stellen Sicherheitsrichtlinien für ihre Mitarbeiter bereit.

Die Sicherheitsvorkehrungen haben allerdings mit dem dramatischen Anstieg der mittlerweile erhältlichen IoT-Geräten nicht mithalten können. Allzu oft sind Kriminelle vor allem bei smarten Geräten den Sicherheitsentwicklern einen Schritt voraus. In einer Studie von HP wurde vor kurzem dargelegt, dass 70% der am häufigsten verwendeten IoT-Geräte Schwachstellen aufweisen.

Am besten schützen Sie sich und Ihr Unternehmen indem Sie grundlegende Sicherheitsempfehlungen einhalten und sich bei der nächsten anstehenden Kaufentscheidung an sicherheitsbewusste und seriöse Hersteller und Anbieter halten. Das gilt für alle verbundenen Geräte: von beruflich genutzten Laptops über Smartphones und Thermostate, Wetterfühler, Routen-Tracker, Gesundheitsmonitore und Smartwatches bis hin zu Maschinen in der industriellen Produktion und smarten Autos.

Erfahren Sie mehr dazu, wie Sie Mitarbeiter und Unternehmensidentitäten mit GlobalSigns digitalen Zertifikaten für sichere E-MailsAuthentifizierung und PDF Signing schützen können. Mehr zum Internet der Dinge finden Sie ebenfalls auf unserer Website.

von Lea Toms

Artikel teilen

Subscribe to our Blog