Ihr Kühlschrank wird Teil einer Internet-Armee. Klingt unglaublich? Könnte aber bald Realität sein.

Bei Software von Kühlschränken, Wasserkochern oder anderen Geräten, welche durch die Digitalisierung immer mehr vernetzt werden, geniesst das Thema der IT-Sicherheit leider keine prominente Stelle.

Viele dieser IoT-Systeme werden ohne Option zur Aktualisierung der Firmware oder Software entwickelt. Wird also für ein solches System eine Sicherheitslücke entdeckt, besteht keine Möglichkeit, diese zu patchen. Daraus resultiert, dass die Anzahl verwundbarer Systeme, welche im Normalfall in irgendeiner Form aus dem Internet erreichbar sind (z.B. Webcams), weiter steigt. Hacker kapern diese verwundbaren Systeme mittels Malware oder anderen automatisierten Angriffen über das Internet und Missbrauchen diese für kriminelle Zwecke. Ein gutes Beispiel wäre hier der Angriff auf Liberia mittels des Mirai Botnetzes. Dabei wurde zeitweise das ganze Land vom Internet abgeschnitten. (DDoS-Attacke kappte zeitweilig Internetverbindung eines ganzen Landes | heise online)

Geräte isolieren

IoT-Geräte sind meistens Systeme, auf welchen ein geschlossenes Betriebssystem betrieben wird. Nur ganz selten ist die eingesetzte Software Open-Source, so dass nachvollzogen werden kann, wohin und in welchem Umfang das Gerät Daten aufzeichnet oder verschickt. Wird ein solches Gerät durch einen Hacker übernommen, kann dieses den Rest des Heimnetzwerks ausspionieren, als Teil eines Botnetzes fungieren oder andere unlautere Dinge in Ihrem Namen anstellen. Es muss also sichergestellt sein, dass Ihre IoT-Geräte in einem eigenen Netzwerk betrieben werden und keinen Zugriff auf die restlichen Netzwerkgeräte haben. Am einfachsten wird dies mittels Firewall-Regeln realisiert, welche die Verbindungen zwischen Ihren verschiedenen Heim-VLANs und dem Internet regeln. Dabei muss sichergestellt werden, dass die Regeln für das IoT-VLAN nach dem Least Privilege-Prinzip aufgebaut und stets mit einer Deny-Any-Regel abgeschlossen werden.

Natürlich existieren Verbindungen, welche benötigt werden, wie z.B. Verbindungen zum Update-Server oder Verbindungen zum Cloud Service, welcher beispielsweise das Kühlschrank-Inventar verwaltet. Dabei gilt es aber die Verbindung so strikt als möglich zu konfigurieren. So soll Ihr Kühlschrank beispielsweise nur über Port XY auf die IP-Adresse des Cloud-Service oder über Port YZ auf den Update-Server Verbindungen aufbauen können. So können ungewollte Verbindungen verhindert werden.

Geräte auf einem aktuellen Stand halten

Wie bei sämtlichen Systemen, welche in einem Netzwerk betrieben werden oder mit dem Internet in Berührung kommen, müssen auch IoT-Geräte, wenn möglich, stets auf einem aktuellen Stand gehalten werden. Nur so kann sichergestellt werden, dass bekannte Sicherheitslücken, welche bereits durch ein Sicherheitsupdate behoben wurden, nicht ausgenutzt werden können.

Leider werden aber viele IoT-Geräte ohne die Option entwickelt, aktualisiert zu werden. Somit sind einmal entdeckte Sicherheitslücken bei diesen Geräten solange ausnutzbar, wie dieses erreichbar ist. Wenn Sie wissentlich ein solches Gerät betreiben, muss dieses zwingend isoliert werden (siehe ein Kapitel weiter oben).

Nicht benötigte Services deaktivieren

Häufig werden IoT-Geräte so ausgeliefert, dass sämtliche möglichen Services, wie zum Beispiel SSH oder ein FTP-Server, standardmässig laufen. Viele dieser Services werden aber im produktiven Einsatz nie gebraucht. Oft ist dem Endnutzer nicht einmal bewusst, dass dieser mit seiner aus dem Internet steuerbaren Webcam auch noch einen Datei-Server und verschiedene Remote Access-Möglichkeiten ins Internet stellt. Diese sind dann oft nicht oder mit Standard-Credentials geschützt, was Tür und Tor für Angreifer öffnet. Ebenfalls sollte sichergestellt werden, dass routerseitig UPnP deaktiviert wird. Ansonsten öffnet das IoT-Gerät die Ports automatisch.

Wenn Sie also ein neues IoT-Gerät in Betrieb nehmen, stellen Sie sicher, dass wirklich nur die zwingend benötigten Services laufen und sämtliche weiteren deaktiviert sind. Wenn Sie aber zwingend auf z.B. einen SSH-Service, welcher aus dem Internet erreichbar sein muss, angewiesen sind, empfiehlt es sich, nicht die Standard-Ports zu verwenden.

Authentifizierung

Ein grosses Problem bei IoT-Geräten sind Passwörter. Diese werden oft nicht gewechselt, was zur Folge hat, dass Angreifer sich einfach mit diesen Standard Credentials einloggen und die Kontrolle über Ihr Geräte übernehmen können. Stellen Sie aus diesem Grund sicher, dass Sie ein als sicher geltendes Passwort verwenden (mindestens 10, besser 12 Zeichen, vier von vier Zeichenklassen, keine ganzen Wörter). Eine Methode, um sichere Passwörter zu erstellen, ist die Satz-Methode. Dabei denken Sie sich einen Satz aus und nehmen jeweils den ersten Buchstaben jedes Wortes und verwenden Zahlen und mindestens ein Sonderzeichen.