Ausnutzung von Schwachstellen
Sicherheit für IoT Apps
IoT-Hersteller und -Entwickler sollten die Prinzipien „Security First“ und „Security by Design“ beachten — von der Konzeption, über die Vermarktung und bis zur Einführung von Geräten und Produkten.
von Trend Micro
Das Internet of Things (IoT) mit den vernetzten Geräten und den Apps, die Nutzer, Geräte und das Internet verbinden, hat die Art verändert, wie Arbeit, Weiterbildung und persönliche Freizeit gehandhabt werden. Und die häufigere Arbeit aus dem Home Office geht mit einer größeren Abhängigkeit von IoT-Umgebungen daher. Persönliche und berufliche Netzwerke, Geräte und Einrichtungen sind heute mehr denn je miteinander verflochten, ebenso auch die Menge der sensiblen Informationen, die über die Anwendungen zur Steuerung und Verwaltung dieser Geräte ausgetauscht werden. Heimnetzwerke und -geräte bieten im Vergleich zu Büros zumeist nicht die gleiche mehrschichtige Sicherheit und stellen gleichzeitig zusätzliche Eintrittspunkte dar, die die Sicherheit von Benutzern und Organisationen gefährden und ihre Daten Bedrohungen aussetzen. Unternehmen und Verbraucher müssen genauer hinsehen und mehr Fragen stellen, um zu lernen, wie diese Geräte und Anwendungen für sie arbeiten. Dazu gehören auch Fragen, wie wohin ihre Daten gehen, wie sie verwendet, geschützt und wo sie gespeichert werden.
Alle IoT-Geräte verfügen über Aktuatoren, die als Sensoren dienen und es ihnen ermöglichen, Daten zu senden und zu empfangen und diese in messbare Aktionen zu übersetzen, die den Benutzereingaben, den Daten und der Programmierung folgen. Diese Geräte verfügen auch über betriebssystembasierte Firmware mit entsprechenden betriebssystembasierten Installationsprozeduren für Anwendungen. Auch können sie über WLAN Daten über den Router ins Internet übertragen. Schließlich gibt es eine Schnittstelle, um mit dem Gerät zu interagieren, die meist in Form einer App erfolgt.
Diese Komponenten konnten leider immer wieder von Kriminellen erfolgreich angegriffen werden. Cyberkriminelle finden neue Angriffsmöglichkeiten, wie z.B. Schwachstellen bei Geräten und Apps, Fehlkonfigurationen bei der Speicherung, den Datenverkehr und Schwächen in der Programmierung.
Bild. Die erweiterte Angriffsfläche von IoT-Geräten (Open Web Application Security Project (OWASP)
Hier sind einige der Angriffsvektoren und Risiken für IoT-Anwendungen:
- Schwachstellen. Sicherheitslücken in Apps können dazu führen, dass Angreifer und Malware sie etwa als Einstiegspunkte für Distributed-Denial-of-Service (DDoS)-Angriffe, Spoofing und Privilegien-Eskalation nutzen.
- Unsichere Kommunikationskanäle. Kommunikationskanäle, die die Geräte zur Datenübertragung verwenden, müssen mit einem der vielen verfügbaren Protokolle verschlüsselt werden, wie z.B. Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Unabhängig davon, ob sich die Daten im „At Rest“-Zustand oder im „Transit“ befinden, ermöglichen diese Kanäle den Datenaustausch und die Kommunikation zur und von der App. Bleiben diese Kanäle unverschlüsselt, können sie für den Zugriff auf vermeintlich vertrauliche Daten missbraucht werden.
- Bösartige Application Programming Interfaces (APIs). Einige Entwickler sind auf APIs von Drittanbietern angewiesen, um weitere Funktionen und Bibliotheken in ihre jeweiligen Apps einzubinden. Leider können angreifbare und böswillige APIs und Bibliotheken von Drittanbietern laut früheren Berichten legitime Anwendungen beeinträchtigen und infizieren und dadurch möglicherweise irreversible Schäden an Geräten und Benutzerdaten verursachen. Diese bösartigen Apps dienen auch als Eintrittspunkte für weitere Angriffe in das System, wie z.B. Injection- oder Man-in-the-Middle-Angriffe (MiTM).
- Falsch konfigurierte Sicherheitseinstellungen. Falsch konfigurierte Einstellungen für Cloud-gehostete Anwendungen machen unbefugten Akteuren den Zugriff auf Daten möglich. Die Ursachen hierfür reichen von nicht geänderten Standardkonfigurationen, offenem Speicher bis zu Fehlermeldungen, die sensible Daten enthalten, und andere. Darüber hinaus denken einige Verantwortliche nicht daran, dass trotz erfolgreicher Implementierung von Anwendungen alle Komponenten (wie z.B. alle Betriebssysteme, Bibliotheken, Frameworks und andere), die an der Entwicklung von Anwendungen beteiligt sind, regelmäßig aktualisiert und gepatcht werden müssen.
- Veraltete Betriebssysteme und App-Versionen. Veraltete Betriebssysteme und App-Versionen dienen unter Umständen als Einfallspunkte für Angreifer. Manche Apps auf Geräten könnten noch auf der Betriebssystemversion laufen, die zur Zeit der Entstehung aktuell war, oder noch schlimmer, die schon beim Verkauf der App veraltet war. Einige Hersteller geben auch nicht so oft wie nötig Aktualisierungen heraus, noch veröffentlichen sie aktualisierte Versionen.
- Schwache und wieder verwendete Passwörter. Diese Praktik begünstigt ebenfalls Einbrüche in die Nutzerkonten und IoT-Geräteplattformen und führt möglicherweise zu einem weiterführenden Angriff über verschiedene Plattformen hinweg. In den meisten Fällen stellen Gerätehersteller ähnliche Standardzugangsdaten für verschiedene Geräte zur Verfügung, und Benutzer, die die Standardeinstellungen auf ihren jeweiligen Geräten belassen, sind angreifbar.
Diese Eintrittspunkte für Bedrohungen betreffen alle Phasen im Lebenszyklus einer App und alle beteiligten Parteien, von den Geräteherstellern und ihrer jeweiligen Supply Chains bis hin zu den Anwendungsentwicklern und Nutzern. Abgesehen von den erforderlichen technischen Reparaturmaßnahmen können Bedrohungen den Ruf und die Finanzen einer Organisation erheblich beeinträchtigen.
Schutz vor den Bedrohungen
Mit dem zunehmenden Einsatz von Geräten gerät die Sicherheit zu einer kollektiven Verantwortung. Von jedem Benutzer eines vernetzten Geräts wird erwartet, dass er zum „Administrator der Dinge“ wird, also seine eigenen Geräte und Daten verwaltet. Hier sind einige Maßnahmen, die Organisationen und Benutzer ergreifen können, um diese Risiken zu mindern:
- Apps lediglich von legitimen Plattformen herunterladen. Nicht offizielle Drittanbieter von Apps könnten gefährlich sein. Es ist bekannt, dass Bedrohungsakteure gefälschte oder bösartige Versionen von legitimen Anwendungen erstellen, um sensible Informationen wie Online-Kontoinformationen und Gerätedaten zu stehlen.
- Überprüfen und Einschränken von App-Berechtigungen. Es ist wichtig, die Berechtigungen, die die Apps fordern, zu prüfen, bevor sie auf das eigene Handy, Tablet oder den Computer herunterladen werden. Vorsicht bei Anwendungen, die übermäßig viele Berechtigungen fordern, da diese möglicherweise versuchen, mehr als die bekannten Funktionen auszuführen oder darauf zuzugreifen.
- Das IoT-Gerät sollte sorgfältig ausgewählt werden. Immer mehr Hersteller implementieren „Security by Design“ in ihre Geräte, um dem zunehmenden Sicherheitsbewusstsein der Nutzer Rechnung zu tragen und die gesetzlichen Vorschriften in verschiedenen Ländern einzuhalten. Organisationen können auch spezifische Produkte und Marken wählen, die der Sicherheit der Daten ihrer Kunden und Partner sowie der Sicherheit der Supply Chain Vorrang einräumen.
- Das Betriebssystem von Anwendungen und Geräten regelmäßig aktualisieren. Anerkannte Entwickler und Betriebssystemfirmen veröffentlichen regelmäßig Updates, um Sicherheit und Funktionalität zu verbessern. Diese Updates sollten sofort nach ihrer Verfügbarkeit heruntergeladen werden, um potenzielle Sicherheitslücken zu schließen.
- Abbildung und Identifizierung der an das Netzwerk angeschlossenen Geräte. Identifizieren und Überwachen der Geräte, die regelmäßig an das Heim- und Büronetzwerk angeschlossen sind, ist eine wichtige Maßnahme. Auf diese Weise können Administratoren den regelmäßigen Datenverkehr und die Konten, die das Netzwerk nutzen dürfen, verfolgen sowie unregelmäßigen Datenverkehr durch bösartige Routinen im Hintergrund erkennen. Da nicht alle Geräte direkt unter der Kontrolle der Firma stehen, sollten Nutzer bei Bedarf zusätzliche Vorsichtsmaßnahmen ergreifen (z. B. Installation oder Aktivierung der Kindersicherung) und die empfohlene Netzwerkfilterung und Standortblockierung verwenden, wann immer dies möglich ist.
- Sichern der Kommunikationsprotokolle und Kanäle. Die Geräte müssen miteinander kommunizieren, um ihre jeweiligen Online-Funktionen ausführen zu können. Diese Kommunikationskanäle sollten u.a. mit kryptographischen Protokollen wie Transport Layer Security (TLS) und HTTPS gesichert werden, um eine Kompromittierung weitgehend zu vermeiden.
- Ändern aller standardmäßigen Anmeldeinformationen der Geräte. Gerätehersteller und Internet Service Provider (ISP) stellen Standard-Anmeldeinformationen für die von ihnen angebotenen Geräte zur Verfügung. Anwender müssen ihre Benutzernamen und Passwörter ändern und die Geräteeinstellungen anpassen.
- Passwörter sicher handhaben und Mehrfaktor-Authentifizierung (MFA) einführen. Nicht dieselben Passwörter für mehrere Online-Konten wiederverwenden und alle MFA-Funktionen auf Websites und Plattformen aktivieren, die dies erlauben, um eine zusätzliche Sicherheitsebene für die Daten zu schaffen.
Wegen des schnellen Entwicklungstempos gibt es keine Standards, die Programmierer, Hersteller oder Benutzer zur Verifizierung heranziehen können. Einige Länder ändern dies gerade durch die allmähliche Integration von Gesetzen und Frameworks, um die Cybersicherheit und Widerstandsfähigkeit von IoT-Geräten zu verbessern. Die Regulierungsbehörden versuchen, mit dem Fortschritt des IoT Schritt zu halten, doch sollten Unternehmen und Entwickler „Security First“ und „Security by Design“ beachten — von der Konzeption, über die Vermarktung und bis zur Einführung von Geräten und Produkten.