Cyber-Angriffe im Internet of Things (IoT) gibt es schon seit sehr langer Zeit. Was sich jedoch beschleunigt hat, ist der Umfang und die Entwicklung dieser Angriffe. Im Kern geht es beim IoT um die Verbindung und Vernetzung von Geräten. Das bedeutet, dass alle „intelligenten“ oder „smarten“ Geräte – von vernetzten Kühlschränken über vernetzte Fahrzeuge bis hin zu vernetzten medizinischen IoT-Geräten – einen neuen Zugang zum Netz schaffen und ein immer größeres Sicherheits- und Datenschutzrisiko darstellen.
Darüber hinaus müssen wir auch in einem größeren Rahmen darüber nachdenken, wie sich vernetzte IoT-Geräte branchenübergreifend entwickelt haben. Also darüber, wo sie in jedem Bereich des täglichen Lebens, von der Fertigung bis hin zu den Versorgungsnetzen, weit verbreitet sind. Und auch darüber, warum ein „Security by Design“-Ansatz angewandt werden sollte, da jede einzelne Komponente kompromittiert werden kann und das gesamte Ökosystem vor Missbrauch geschützt werden muss.
Die Auswirkungen der einzelnen Angriffe können je nach Ökosystem, Gerät und Umgebung sowie dem vorhandenen Schutzniveau sehr unterschiedlich sein.
Brute Force
Ein Brute-Force-Angriff ist eine Hacking-Technik, bei der durch Ausprobieren Verschlüsselungsschlüssel, Kennwörter und Anmeldedaten geknackt werden. Es handelt sich dabei um eine einfache, aber effektive Strategie, um unbefugten Zugang zu Benutzerkonten, Unternehmenssystemen und Netzwerken zu erhalten.
Der Begriff „Brute Force“ bezieht sich auf die übermäßige Gewalt, mit der versucht wird, an Benutzerkonten zu gelangen. Obwohl es sich um eine altbewährte Art des Hackens handelt, sind Brute-Force-Angriffe nach wie vor sehr beliebt, zumindest bei Hackern.
Physische Sicherheit und Manipulation
Auf IoT-Geräte kann von außen zugegriffen werden, wenn es in einer offenen Umgebung keine Kontrolle gibt. Diese Geräte fallen unter die Kategorie der physischen Angriffe, bei denen der Angreifer den Speicher oder die Berechnungen verändern und dann durch Interaktion mit dem fehlerhaften Gerät zusätzliche Informationen erlangen kann, um die Sicherheitsmaßnahmen zu umgehen.
Zum Einleiten groß angelegter Operationen wenden sich Hacker aufgrund des Wertes der auf dem Spiel stehenden Vermögenswerte und der Fülle an physischen Geräten zunehmend physischen Manipulationsangriffen zu. Unternehmen, die sich intensiv mit dem Internet der Dinge (IoT) beschäftigen, sollten Investitionen in die physische Sicherheit zu einer Priorität machen.
Cloud-bezogene Herausforderungen
Das „Internet of Things“ (IoT) schafft durch die Integration von Sensoren und Objekten intelligente Objekte, die direkt miteinander kommunizieren, ohne dass ein Mensch eingreifen muss. Unternehmen können ihre Prozesse und andere IT-Verpflichtungen mithilfe von Cloud Computing auslagern. Cloud Computing ermöglicht es Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren, die Produktivität zu steigern, Hardware-Ressourcen besser zu nutzen und die mit der IT-Infrastruktur verbundenen Speicherkosten zu senken.
Da sich jedoch immer mehr Unternehmen auf Cloud-basierte Technologie verlassen, muss sichergestellt werden, dass diese Systeme sicher sind und vertrauliche Daten geschützt bleiben.
Botnetze
Ein Botnetz ist ein Verbund von Systemen, die ferngesteuert für bestimmte Aktionen missbraucht werden, zum Beispiel um Schadprogramme zu verbreiten. Gesteuert von Botnetz-Betreibern über Command-and-Control-Server (C & C-Server), werden sie von Kriminellen im großen Stil für viele Dinge eingesetzt: private Informationen stehlen, Online-Banking-Daten kapern, DDoS-Attacken starten oder Spam und Phishing-E-Mails versenden.
Je mehr das Internet der Dinge (IoT) an Bedeutung gewinnt, desto mehr Geräte und Dinge sind potenziell gefährdet, Teil eines sogenannten Thingbots zu werden oder sind es bereits – ein Botnetz, das sich unabhängig agierende, vernetzte Geräte zu Eigen macht.
Botnetze wie auch Thingbots bestehen aus vielen verschiedenen, untereinander verbundenen Geräten – Rechnern, Laptops, Smartphones, Tablets, oder neuerdings aus zahlreichen „intelligenten Dingen“. Diese Bots haben zwei grundlegende gemeinsame Eigenschaften: sie sind internetfähig und in der Lage, Daten automatisch über ein Netzwerk zu übertragen. Anti-Spam-Technologien erkennen vergleichsweise schnell, wenn eine Maschine tausende gleicher E-Mails schickt. Allerdings ist es deutlich schwerer zu erkennen, wenn diese E-Mails von verschiedenen Geräten aus geschickt werden, die Teil eines Botnetzes sind. Und sie haben alle ein Ziel. Wenn tausende solcher Anfragen auf ein Ziel treffen, überfordert dies nicht selten die Plattform, sie kann die Anfragen nicht mehr abarbeiten und kollabiert.
Man-In-The-Middle Konzept
Beim Man-in-the-Middle -Konzept versucht ein Angreifer, eine Kommunikation zwischen zwei separaten Systemen abzufangen und zu unterbrechen. Dies kann ein gefährlicher Angriff sein, weil dabei der Angreifer Nachrichten zwischen zwei Parteien heimlich abfängt und überträgt, während diese glauben, dass sie direkt miteinander kommunizieren. Da der Angreifer die ursprüngliche Mitteilung kennt, kann er dem Empfänger vortäuschen, dass er noch immer eine legitime Nachricht erhält. Es wurde bereits über viele Fälle in diesem Gefahrenfeld berichtet: Fälle von gehackten Fahrzeugen und gehackten „intelligenten Kühlschränken“.
Diese Angriffe können, aufgrund der Natur der gehackten „Dinge“, im IoT extrem gefährlich sein. Beispielsweise können diese Geräte alles von Industriewerkzeugen, Maschinen oder Fahrzeugen bis hin zu unschädlichen verbundenen „Dingen“ wie Smart TV oder Garagentoröffnern sein.
Jedes Gerät in einem IoT-Ökosystem benötigt eine eigene, eindeutige Geräteidentität. Sie ist eine wesentliche Komponente der IoT-Sicherheit. „Dinge“ können sich dann authentifizieren, wenn sie sich mit dem Internet verbinden, und eine sichere und verschlüsselte Kommunikation mit anderen Geräten, Diensten und Nutzern gewährleisten, wenn sie über eine eindeutige, starke Geräteidentität verfügen.
Diebstahl von Daten & Identitäten
Allzu oft lesen wir über gleichermaßen überraschende wie erschreckende Hackerangriffe, bei denen die Angreifer mit unterschiedlichen Tricks an Daten und Geld eines Opfers zu gelangen versuchen. Allerdings sind wir selbst oft unser größtes Sicherheitsrisiko. Das sorglose Aufbewahren von internetfähigen Geräten spielt Dieben und opportunistischen Cyberkriminellen in die Hände.
Das Hauptziel von Identitätsdiebstahl ist es, zunächst Anmeldedaten und andere Daten anzusammeln – und mit ein bisschen Geduld lässt sich hier schon allerhand finden. Allgemeine Daten, die im Internet frei verfügbar sind, kombiniert mit Informationen aus Social Media-Profilen, sowie Daten von verschiedensten vernetzten Geräten, geben ein ziemlich gutes Gesamtbild Ihrer persönlichen Identität. Je mehr Details man zu einem User ausfindig machen kann, umso einfacher und ausgeklügelter sind gezielte Angriffe durch Identitätsdiebstahl.
Identitätsdiebstahl ist weltweit ein großes Problem, und die Zahl der Fälle nimmt weiter stark zu. Die häufigsten Arten von Identitätsdiebstahl sind finanzieller, medizinischer, krimineller (wenn jemand Ihre Identität benutzt, der verhaftet wurde), synthetischer (Erstellung einer Identität unter Verwendung der echten Daten einer anderen Person) und Identitätsdiebstahl sowie der Diebstahl der Daten von Minderjährigen (um z. B. Bankbetrug zu begehen).
Social Engineering
Social Engineering ist im Wesentlichen der Akt der Manipulation von Menschen im direkten Umgang, so dass sie vertrauliche Informationen preisgeben. Social-Engineering-Angriffe werden in einem oder mehreren Schritten durchgeführt. Ein Täter analysiert zunächst das Zielopfer, um Hintergrundinformationen zu erhalten, die er für die Durchführung des Angriffs benötigt, z. B. potenzielle Einstiegspunkte oder Schwächen in Sicherheitsprotokollen. Der Angreifer versucht dann, das Vertrauen des Opfers zu gewinnen und Anreize für spätere Handlungen zu schaffen, die gegen Sicherheitsnormen verstoßen, z. B. die Preisgabe sensibler Informationen oder der Zugang zu wichtigen Ressourcen.
Zudem versucht der Angreifer, Zugang zu einem Computer zu erhalten, um heimlich Schadsoftware zu installieren, mit der sie dann Zugang zu persönlichen Daten oder die Kontrolle über den Computer erlangen.
Typischerweise erfolgen Social-Engineering-Hacks in Form von Phishing-Mails, die wollen, dass Sie Ihre Informationen preisgeben oder die Sie auf Websites, wie Banking- oder Shopping-Sites, umleiten, die seriös aussehen und Sie dazu verführen, Ihre Daten einzugeben.
Denial of Service
Ein Denial of Service-Angriff (DoS) findet statt, wenn ein Dienst, der normalerweise funktioniert, nicht mehr abrufbar ist. Es gibt viele Gründe für Unerreichbarkeit, aber üblicherweise handelt es sich um eine Infrastruktur, die ein unerwartet hohes Aufkommen an Anfragen nicht bearbeiten kann. Bei einem Angriff vom Typ Distributed Denial of Service (DDoS) greift eine große Anzahl von Systemen ein Ziel mit böswilliger Absicht an. Dies geschieht oft über ein Botnetz, in dem viele Geräte (oft ohne Wissen des Besitzers) so programmiert werden, dass sie einen Dienst zu genau der gleichen Zeit abfragen.
Im Vergleich zu Hacking-Angriffen, wie z. B. Phishing oder Brute-Force Attacken, versucht DoS meist nicht Daten zu stehlen oder führt zum Sicherheitsverlust, sondern der Reputationsverlust für die betroffene Firma kann diese viel Zeit und Geld kosten. Kunden wandern oft zu alternativen Anbietern ab, weil sie Sicherheitsprobleme befürchten oder sich einen unerreichbaren Dienst nicht leisten können. Dos-Angriffe sind oft ein gefundenes Fressen für Aktivisten und Erpresser.
Überlegungen
Ein schlechtes Management der IoT-Konnektivität macht die gesamte Infrastruktur anfällig für Cyberangriffe.
Eine zentrales Anliegen im IoT ist die Gewährleistung des Datenschutzes. Unternehmen müssen die Richtlinien für Datenschutz und Datensicherheit überprüfen, um ihre Strategie zu verbessern und um sicherzustellen, dass erfasste Daten geschützt und geheim bleiben. Eine Maßnahme zur Risikominderung besteht darin, sicherzustellen, dass jeder IoT-Anbieter, mit dem Sie zusammenarbeiten, die volle Kontrolle über die Datenübertragung und -verarbeitung hat, um „Man-in-the-Middle“-Angriffe zu verhindern und um zu gewährleisten, dass eine durchgängige kommerzielle Haftung besteht.
