Ausnutzung von Schwachstellen
Drum prüfe, wer immer sich verbindet ...
Bevor ein neues (IoT-)Gerät mit einem Netzwerk verbunden wird, sollte eine Riskibetrachtung stattfinden. Udo Schneider erklärt, was dabei zu beachten ist.
Für manche ist das Internet der Dinge noch weit weg – für andere Bestandteil des täglichen Lebens. Immer häufiger tummeln sich mehr oder weniger „smarte“ Geräte in unseren Netzwerken. Dies gilt sowohl für private Netzwerke als auch immer mehr für Firmenumgebungen. Die Liste der Geräte ist so lang wie divers. Angefangen bei Multifunktionsdruckern und Konferenzlösungen, über smarte Beleuchtungslösungen und „Gadgets“ bis hin zu (Sprach-)Assistenten ist alles dabei. Dabei sind diese Geräte nicht allgemein „des Teufels“. Vielmehr ist der Vorteil durch den Einsatz einem möglichen Risiko gegenüberzustellen, um dann eine sinnvolle Entscheidung treffen zu können.
Problematisch wird es, wenn man das Risiko nur „schätzt“ – und das passiert leider häufig. Seien wir mal ehrlich: Wann haben Sie zur Risikoabwägung für ein Gerät diesem einmal sicherheitstechnisch so richtig auf den Zahn gefühlt? Ich kann zumindest von mir behaupten, dass ich im Lauf der Jahre ein Gefühl dafür bekommen habe, wie etwas funktioniert, und dann diese Erfahrung – fälschlicherweise – oft auch auf neue Szenarien übertrage. Dies geht häufig auch erstaunlich lange gut – bis es mal nicht mehr funktioniert.
„Steckdose nach Hause telefonieren …“
Stellen Sie sich folgendes Szenario vor: Sie binden ein neues Device in ihr Netzwerk ein. Die passende Konfigurations-App auf dem Desktop oder mobilen Endgerät erlaubt es Ihnen, das Gerät bequem einzurichten und später auch zu konfigurieren. Im Hinterkopf prüft man jetzt verschiedene Sicherheitsaspekte quasi intuitiv mit: Verbindung nach außen? Wenn ja, dann nur vom Gerät raus; rein braucht man ja keine Firewall-Regel. Konfiguration und Steuerung über die App im lokalen Netzwerk? Dann werden die wohl untereinander über (W)LAN kommunizieren. Braucht das Gerät externe Dienste? Wohl nicht, das macht die App ja lokal. So oder so ähnlich denken sicherlich viele beim Einbinden von neuen Geräten – ob nun privat oder im Firmennetz.
Aber Achtung: Wie immer steckt der Teufel im Detail! Wer würde zum Beispiel erwarten, dass das Kommando in der App zum Einschalten des Lichts immer über die Cloud geht, selbst wenn App und Gerät sich im selben Netzwerk befinden? Vereinfacht gesagt horcht das Gerät an einem MQTT-Server auf neue Nachrichten („Subscribe“). Ändert man die Einstellung in der App, so sendet diese eine Nachricht an den MQTT-Server („Publish“), die wiederum an das Gerät gemeldet wird. Obwohl also keine Ports „nach draußen“ offen sind, empfängt das Gerät aktiv und dauerhaft Kommandos von außen. Was auf den ersten Blick also nach dem Bauchgefühl „dann wird die App der Lampe im LAN wohl das Kommando schicken“ aussieht, ist in Wahrheit eine Kommunikation „über Bande“ nach, über, und von außen.
Ist das Gerät online?
Um das Risiko betrachten und bewerten zu können, gilt es im ersten Schritt, überhaupt erst einmal herauszufinden, ob die Geräte auch „offline“ funktionieren. Im einfachsten Fall können Sie dazu die Internetverbindung kappen (zum Beispiel DSL-Kabel im Router ziehen, Handy im Flugmodus/nur WLAN aktiviert) und dann sehen, was bzw. ob noch alles funktioniert. Alternativ können Sie natürlich auch der Kommunikation direkt auf die Finger schauen und den Netzwerkverkehr mitschneiden. Dabei bitte auch beachten, dass verschiedene Geräte zu verschiedenen Zeiten „nach Hause telefonieren“ und möglicherweise auch ohne Internet funktionieren – mit halt nur besser. Einige IoT-Geräte benötigen auch nur initial zum Setup eine Internetverbindung (etwa zur Lizensierung und Installation von Firmware-Updates).
Prüfen Sie so alle ins Netzwerk eingebrachten Geräte – insbesondere auch solche, die von Nutzern „mal eben schnell“ angeschlossen werden. In Zeiten von Mobil-Apps, die die eingetragenen WLAN-Einstellungen „schnell und bequem“ via Bluetooth auf neue Geräte übertragen, ist auch der Aufwand zur Einbindung massiv gesunken. Dies bedeutet nicht, dass Sie jedes einzelne Gerät gleich komplett technisch durchleuchten müssen. Taucht aber eine neue Geräteklasse auf, so ist zumindest erstmal Vorsicht angesagt. Denn nur weil man auf den ersten Blick nicht die Notwendigkeit einer externen Kommunikation sieht (die App kommuniziert doch lokal mit der Lampe – oder nicht?), heißt es leider nicht, dass diese nicht existiert.
Der Beitrag ist zum ersten Mal im Security-Newsletter der LANline, WEKA FACHMEDIEN GmbH, erschienen. Sie können sich hier für den Newsletter anmelden.