Ausnutzung von Schwachstellen
IHBaaS: IoT-Hardware & -Backend as a Service
Viele heutige IoT-Geräte, auch solche namhafter Hersteller, entspringen einem Franchise- beziehungsweise OEM-Konzept. Das hat Auswirkungen auf Security und Risikobetrachtung.
von Udo Schneider, IoT Security Evangelist Europe
Viele heutige IoT-Geräte, auch solche namhafter Hersteller, entspringen einem Franchise- beziehungsweise OEM-Konzept. Das heißt, die eigentlichen Hersteller (oft in Asien) konzipieren eine IoT-Plattform (zum Beispiel auf Mikrocontroller basierend), Geräte (LED-Strips, Klimasteuerungen, schaltbare Steckdosen) und die komplette Backend-Kommunikationsplattform inklusive mobiler Apps mit Whitelabel-Fähigkeiten. Der OEM-Nehmer wählt aus dem Katalog der Geräte die passenden aus (oder erstellt eigene auf Basis der bereitgestellten Mikrocontroller-Architektur und -Firmware), passt das Branding an und kann dann mit minimalen Aufwand IoT-Geräte unter seinem Namen auf den Markt bringen.
Die ganze harte Arbeit wie Entwicklung von Hardware, Firmware, mobile Apps, Einbindung in Sprachassistenten (-Clouds) und der Betrieb des Backends im Hintergrund wird komplett als Service eingekauft. Der OEM-Nehmer kann also mit minimalem Aufwand im lukrativen IoT-Markt mitspielen. Nicht umsonst spricht einer der größten OEM-Geber im Markt von über 11.000 verschiedenen Gerätemodellen, die mit seinem Service laufen.
Dies soll absolut kein „Security-Bashing“ eines einzelnen Herstellers sein. Dieses Modell ergibt aus verschiedensten Gründen (unter anderem Time-to-Market, Entwicklungsreife, Konsolidierung von Ressourcen, Incident Response) auch Sinn. Zudem warten diese Services natürlich mit Sicherheitsfunktionen wie AAA (Authentication, Authorization, Accounting), Token, Verschlüsselung und so weiter auf. Doch auch dort sind schon Lücken bekannt geworden, und völlig unabhängig davon bleibt zwangsläufig Kommunikation nach außen bestehen. Diese gilt es zu beachten und zu bewerten.
Risikobetrachtung & -bewertung
Wie bereits beschrieben, sollten Sie zunächst prüfen, ob ein Gerät nach außen kommuniziert. Ist dies der Fall, sollten Sie die Kommunikation genauer betrachten, ihre Notwendigkeit prüfen und ihr Risiko bewerten. Schließlich funktionieren viele Geräte auch ohne Internet, manche jedoch nur eingeschränkt. Beispielsweise senden viele Drucker Infos zum aktuellen Tintenfüllstand in die Cloud. Verhindert man das Senden der Statusdaten, verliert man die Komfortfunktion, von überall den Druckerstatus sehen zu können – drucken kann man dennoch.
Einer besonders gründlichen Risikoabwägung bedürfen Geräte, die zur Erfüllung ihrer ureigensten Funktionen zwingend und immer eine Internetverbindung benötigen. Stellen Sie sich einfach vor, dass Sie, nur weil Ihre Internetverbindung einen Schluckauf hat, nicht mal mehr das Licht ein- und ausschalten oder die Garagenöffnung bedienen können.
Doch auch diese Geräte sind nicht kategorisch zu verteufeln! Sowohl im Privaten als auch im Firmenumfeld bieten sie ja oft tatsächlich einen Mehrwert. Dem gegenüber muss jedoch das Risiko durch die Nutzung betrachtet und bewertet werden. Dabei zahlt es sich aus, die Betrachtung faktisch korrekt durchzuführen und nicht einfach nur dem Bauchgefühl zu vertrauen. Nur dann ist eine Bewertung zielführend.
So mag in einem Szenario die Nutzung völlig unproblematisch sein – zum Beispiel, wenn die Geräte nur in getrennten Gast-WLANs arbeiten und das „nach Hause telefonieren“ fernab des Produktivnetzes stattfindet.
Ist hingegen die Einbindung in das Produktivnetz zwingend nötig (beispielsweise zur Steuerung von Lichtern in Foto-/Videostudios), muss man sich die Frage stellen, ob der Vorteil das Risiko aufwiegt. Tendiert die Nadel Richtung „zu großes Risiko“, besteht inzwischen dank findiger Tüftler häufig die Möglichkeit, alternative Firmware-Versionen aufzuspielen, die diese externe Bindung nicht mehr haben. Ob man den Aufwand treiben will, hängt letztendlich von der Risikobewertung ab.
Der Beitrag ist zuerst im Security-Newsletter der LANline, WEKA FACHMEDIEN GmbH, erschienen. Sie können sich hier für den Newsletter anmelden.