IoT
Risiken der nativ vernetzten IoT-Geräte
Die vielen nativ verbundenen Internet-of-Things (IoT)-Geräte bergen strategische Risiken, denn sie werden außerhalb der traditionellen Cybersicherheitsmaßnahmen betrieben. Was verursacht die größten Gefahren, die Angreifer ausnutzen können?
Schlüsselpunkte
- Verschiedene Technologien ermöglichen unerwartete Konnektivität und Seitenkanäle zugunsten der Angreifer und stellen die Sicherheit von IoT-Geräten im Innen- und Außenbereich vor Herausforderungen.
- Der Einsatz von vernetzten IoT-Geräten wirft Bedenken hinsichtlich des Datenschutzes auf, Fragen der Bedrohung kritischer Infrastrukturen und der Cybersicherheitsrisiken für Unternehmen, Regierungen und Privatpersonen.
Es gibt immer mehr nativ vernetzte IoT-Geräte, die außerhalb des Wirkungsbereichs der traditionellen Cybersicherheitsmaßnahmen betrieben werden. Diese Tatsache eröffnet Angreifern die Möglichkeit, Sichtbarkeitslücken und Seitenkanäle auszunutzen, die die meisten Unternehmen derzeit nicht überwachen können. Cyberkriminelle und staatlich unterstützte Gruppen nutzen ORB-Netzwerke (Operational Relay Box) und Botnets. Die Erfahrung der Akteure führt zu einem Paradigmenwechsel mit geänderten TTPs (Tactics, Techniques, Procedures).
Ein Spielplatz für Hacker
Erfahrene Angreifer haben ihre eigenen Bedrohungs- und Risikomodelle und kennen das Verhältnis zwischen Angriffskosten und Gewinn. Die Geräte bieten Kriminellen mehrere attraktive Vorteile:
- Sie unterstützen spezielle Protokolle (z. B. Z-Wave, IoB und BACnet), die Anbieter von Cybersicherheitslösungen oder organisatorischen Risikomodelle häufig nicht im Visier haben.
- Sicherheitsanbieter brauchen mehr Transparenz und Fähigkeiten, um IoT-Endpunkte zu sichern, weil diese proprietäre Architekturen, Hardware und Software aufweisen sowie über nur begrenzten Speicherplatz, Arbeitsspeicher und CPU verfügen.
- IoT-Geräte haben nur begrenzte Möglichkeiten zur Behebung von Schwachstellen und für Forensik.
Die Einbeziehung von IoT-Geräten in Bedrohungs- und Risikomodelle ist von größter Bedeutung: Videokonferenzgeräte zum Beispiel, die oft in sicheren Umgebungen platziert sind, verfügen häufig nicht über eine Zwei-Faktor-Authentifizierung (2FA), um die Identität der Benutzer zu überprüfen. Wasser- und Stromzähler sowie Feuchtigkeits- und Temperatursensoren, die heute zum Standard in modernen Gebäuden gehören, bringen Konnektivitätsfähigkeiten, unterschiedliche Protokolle und damit Sicherheitsprobleme mit sich. Mehrere wichtige und Technologien können unerwartete Konnektivität und Seitenkanäle liefern:
- In der Nähe befindliche Geräte wie AirTag von Apple und Find My Device von Google ermöglichen potenziell eine heimliche Datenübertragung über ungesicherte Netzwerke.
- Laptops und PCs mit eingebauten eSIMs bieten einen nahtlosen Zugang zum Mobilfunknetz und werden von Betriebssystemen wie Windows 10 und 11 nativ unterstützt. Diese können über Kanäle wie SMS, die oft nicht überwacht werden, Konnektivität bieten.
- Transparentes Roaming und ein vereinfachter Übergang zwischen drahtlosen, Funk- und satellitengestützten Netzen können die Konnektivität auch in ländlichen Gebieten sicherstellen.
- Die Umwandlung von kabelgebundenen in drahtlose Verbindungen, das so genannte Wi-Fi Bridging, ist im Automobil- und Industriesektor weit verbreitet.
- Die Abdeckung mit weltweit verteilten drahtlosen Hotspots hat sich in städtischen Gebieten ausgeweitet.
- Die Multi Radio Access-Technologie ermöglicht es Nutzern, auf verschiedene drahtlose Technologien zuzugreifen, und ist bereits in 5G-Netze integriert.
- Die Interaktion mit der Cloud ist eine Standardfunktion, die die Zahl der IoT-Geräte erhöht, die eine direkte oder indirekte Internetverbindung benötigen. Diese Geräte können als Datenpuffer fungieren und Informationen an die Cloud übermitteln, wenn eine Verbindung verfügbar ist.
- Neue Architekturen und Protokolle beeinträchtigen die herkömmliche Erkennung von und Reaktion auf Bedrohungen durch die Verwendung von Netzwerken, die nicht auf dem TCP/IP-Stack basieren, oder von Protokollen, die keine Sicherheitsunterstützung bieten.
Globale IoT-Risiken
Drahtlose Konnektivität ist der Standard für viele Arten von IoT-Geräten, wie PCs und Laptops. Und angesichts des erwarteten jährlichen Wachstums von 9,4 % bei der Auslieferung von Notebooks mit Mobilfunkanbindung ist es klar, dass die meisten Geräte bald standardmäßig mit WLAN- oder Mobilfunkunterstützung ausgestattet sein werden. In hochsicheren Umgebungen sollten die Ausrüstung entweder über speziell angepasste Lieferketten verfügen oder in der Lage sein, Geräte zu akzeptieren, die standardmäßig mit drahtlosen und funkgesteuerten Funktionen ausgestattet sind. Außerhalb solcher Umgebungen ist der Bedarf an besserer Transparenz und Kontrolle bei der Erkennung und Eindämmung von Angriffen auf IoT-Geräte jedoch eine besorgniserregende Realität.
Die verschiedenen Arten von „nicht blockierbaren IoT-Geräten“ sind nicht nur ein Trend sondern auch ein großes Problem. Mit ihrer Fähigkeit, Telemetriedaten von medizinischen Sensoren und Körperimplantaten zu sammeln und drahtlos zu versenden, erhöhen diese Geräte die potenziellen Angriffspunkte einer Organisation erheblich. Auch können diese Organisationen oft diese Geräte nicht effektiv erkennen und verwalten. Da Konzepte wie intelligente Städte und intelligente Straßen, die sich auf IoT-Technologie stützen, immer weiter ausgebaut werden, führt der Bedarf an Konnektivität zu einem Zustand, in dem das IoT-Wachstum unvermeidlich ist.
Viele dieser Devices nutzen außerdem proprietäre Protokolle und Kommunikationskanäle, die nicht von der IT-Abteilung kontrolliert werden. Folglich lassen sich diese Geräte mit herkömmlichen IT-Sicherheitsmaßnahmen nur schwer überwachen oder kontrollieren. Dieser Mangel an Sichtbarkeit und Fähigkeiten macht es schwer, Angriffe in diesem Bereich zu erkennen, zu verfolgen und zu stoppen.
Unerwartete Konnektivität
Die Konnektivitätsfähigkeiten variieren je nach Geräteklasse und Technologie, wobei einige eher in Innenräumen oder im Freien anzutreffen sind und andere diese Lücke überbrücken. Zum Beispiel sind „Find My“ von Apple oder von Google Dienste, die Benutzern helfen, ihre verlorenen oder gestohlenen Mobilgeräte zu finden, remote zu sperren oder zu löschen. Oder es gibt Geräte, die aufgrund behördlicher Vorschriften in Notfällen eingesetzt werden in Fahrzeugen oder Brandmeldeanlagen. Mobilfunkfähige Laptops, Geräte für das Internet der medizinischen Dinge (IoMT) und vernetzte intelligente Gebäude bieten Konnektivität in Innenräumen durch Sensoren, Klima- und Zugangskontrollen.
Outdoor-Konnektivität findet sich vor allem in der Nähe von intelligenten Straßen, intelligenter Stadtinfrastruktur, vernetzten Autos, intelligenten Mobilitätsgeräten, Logistikdrohnen und Robotern. In ländlichen Gebieten könnte ein geschickter Angreifer auf vernetzte landwirtschaftliche Geräte und eine Vielzahl miteinander verbundener Sensoren für Klima-, Wetter-, Umweltverschmutzungs- und Katastrophenmeldeinfrastruktur abzielen.
Stadien eines IoT-Angriffs
In verschiedenen Stadien können sich Angreifer die verborgene oben beschriebene "unerwartete Konnektivität" zunutze machen und so die Dringlichkeit der Bedrohung erhöhen.
- Erkunden/Vorbereiten. IoT-Sensoren können wichtige Informationen über eine bestimmte Umgebung sammeln und so möglicherweise den normalen Betrieb stören, so beispielsweise Daten von Sensoren in intelligenten Gebäuden, um den Zeitpunkt wichtiger Besprechungen in bestimmten Räumen oder Bereichen vorherzusagen.
- Zugang. Gewöhnliche ungesicherte Bürogeräte wie Klimaanlagen, Bildschirme, Tafeln, Tablets, interaktive Bildschirme und Gegensprechanlagen könnten Angreifern Zugang zu sensiblen Netzwerken verschaffen oder sie in die Nähe von hochrangigen Zielen bringen.
- Post-Exploitation. Angreifer können einen unerwarteten Befehls- und Kontrollkanal einrichten, indem sie kompromittierte eSIM-Profile von Geräten aktivieren oder Geräte verwenden, auf denen Profile für bestimmte WLAN-Netze vorinstalliert sind. Die Verwendung von Standardeinstellungen, wie z. B. der beim Setup verwendete vordefinierte WLAN Service Set Identifier (SSID), kann Angreifern einen bidirektionalen Zugang ermöglichen. Angreifer können auch geheime Kommunikationskanäle schaffen, indem sie die Einstellungen und Telemetrie von IoT-Sensoren anpassen. Dies kann das Ändern von Sensornamen für ausgehende Datenübertragungen, die Manipulation von Sensoreingabedaten und das Extrahieren eingebetteter Signale aus drahtlosen Übertragungen außerhalb des sicheren Bereichs umfassen.
- Exfiltrierung. Die Verwendung und Simulation von Geräten wie Apple AirTag, Find My und ähnlichen Netzwerkprotokollen sowie die Integration von IoT-Geräten aus intelligenten Gebäuden, intelligenten Straßen oder mit der Cloud verbundenen Devices erleichtern Angreifern die Datenexfiltration. Einige Geräte, wie z. B. Smartwatches oder medizinische Sensoren, können als erster Puffer dienen und Informationen in der Zielumgebung sammeln, bevor sie über den Sicherheitsbereich hinaus übertragen werden.
- Ad-hoc-Konnektivität. Es ist auch wichtig, sporadische Online-/autonome Burst-Synchronisationen zu berücksichtigen. Öffentliche Verkehrsmittel und Taxis verfügen oft über WLAN-Konnektivität. Sie können in der Nähe der Zieleinrichtung vorbeifahren oder anhalten und kurzzeitige Konnektivität mit bekannten Netzwerk-IDs oder Zugangsdaten bereitstellen.
Energiemanipulation gehört zu alternativen Angriffsszenarien, wobei mit Technologien wie Powercast unerwartete Energie für Geräte geliefert werden kann. Die Beschädigung oder Deaktivierung autonomer Stromquellen in Sensoren, IoT- und Edge-Geräten kann Angreifern die Möglichkeit geben, sich physischen Zugang zu den Zielräumen zu verschaffen, indem sie sich als Experten ausgeben, die mit der „Reparatur der Geräte“ beauftragt sind.
Manipulation der Telemetrie ist das Ziel eines Angriffs auf Sensoren wie Brandmelder. Dies kann Angreifern helfen, ihre Spuren zu verwischen, wenn sie Computer, Server oder Rechenzentren angreifen, indem sie Feuerlöschsysteme auslösen.
Der zweite Beitrag geht neben Problemen mit der sich ausweitenden Angriffsfläche und Auswirkungen auf Menschen, Unternehmen und Regierungen auch auf die dringend benötigten Maßnahmen und Änderungen im Sicherheitsbewusstsein ein.