DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Das Internet der unsi­cheren Dinge

Der Wis­sen­schaftler Dean Burnett hat einmal get­wittert: “Gestern Abend hat mich mein Kumpel gefragt, ob er meinen USB-Port zum Laden seiner Ziga­rette benutzen kann, aber ich hab den gerade zum Laden meines Buchs ver­wendet. …die Zukunft ist doof.”

Ein Blick auf die Pro­dukte des “Internet of Things” (IoT) scheint die These von Burnett zu bestä­tigen.

Cyber­si­cher­heits­ex­perten werden nicht müde, auf die Gefahren aus der IoT-Welt hin­zu­weisen; viele Geräte wurden nicht mit Blick auf Daten­si­cherheit kon­zi­piert oder ent­wi­ckelt, sondern auf die Aus­führung ein­facher, bestimmter Funk­tionen. Sicher­heits­pro­bleme mit IoT-Devices im Ver­brau­cher­markt ergeben sich, da ein Zugriff auf die Devices oder ein Kopieren der gesam­melten Daten für Unbe­fugten relativ einfach möglich ist. Das ist aller­dings nicht der einzige Kri­tik­punkt.

Geräte, die sich selbst nicht gegen Unbe­fugte schützen, können eben mit wenig Aufwand miß­braucht werden. Das Lizard Stresser — Botnet setzt sich zum Bei­spiel aus IoT-Geräten zusammen, haupt­sächlich aus Webcams, und kommt laut Arbor Net­works (Her­steller von Anti-DDoS-App­­li­ances) auf bis zu 400 GB Band­breite für einen Angriff; das ist eine sehr beacht­liche Größe, die nahezu jedes Netzwerk lahm legen wird, welches nicht explizit Schutz­maß­nahmen gegen DDoS-Angriffe ergriffen hat.

Häufig lassen sich IoT-Geräte leicht und ohne großen Aufwand von Kri­mi­nellen über­nehmen, weil die Default­pass­wörter nach dem Kauf nicht geändert wurden, oder nicht änderbar sind. Natürlich gibt es auch Geräte, welche die erho­benen Daten — Kame­ra­bilder, Geo­lo­ka­tionen, Schlaf­muster — für den Benutzer auf­be­reitet in der Cloud anbieten. Meistens bedeutet das einfach, dass die Daten auf einem Server des Gerä­te­her­stellers abgelegt werden, und das wie­derum heißt, dass dieser ver­mutlich vollen Zugriff auf die Daten des Benutzers hat.
 
Natürlich ist lange nicht jede Neu­erscheinung und Inno­vation im Bereich IoT eine Gefahr; viel­leicht auch, weil sich nicht alle smarten Dinge so gut ver­kaufen, wie die Erfinder das viel­leicht glauben. Oder haben Sie einen Egg Minder daheim? Der Egg Minder ist ein smartes Gerät mit einer ein­zigen Aufgabe: er weiß, wie viele Eier Sie noch im Kühl­schrank haben und, wenn Sie die Infos bereit­ge­stellt haben, wie lange diese noch haltbar sind.
 
Steve Lord, Ver­an­stalter der Sicher­heits­kon­ferenz “44Con” meinte dazu: “Der Egg Minder ist ein Gerät, welches so smart ist, dass selbst die Erfinder keinen Use Case dafür finden konnten.”
 
Die Eier kann man dann prima auf einem Smart Teller ser­vieren, der “mit Hilfe von Wis­sen­schaft” und drei Kameras auto­ma­tisch ana­ly­sieren soll, welche Zutaten in einem Essen sind, wie viele Kalorien es hat, und ob Sie zu schnell essen. Wie das funk­tio­niert? Mit Hilfe von Wis­sen­schaft und smart, natürlich.
 
Zwi­schen­durch gibt der Teller Hin­weise und Vor­schläge, wie zum Bei­spiel den weißen Reis durch braunen zu ersetzen oder lang­samer zu essen. Viel­leicht ist hierbei das größte Risiko, Geld für unnötige Rat­schläge aus­ge­geben zu haben.

Reale Gefahren ergeben sich bestimmt eher aus den Geräten, die einen sinn­vollen Nutzen haben, wie zum Bei­spiel Smart Watches oder Fit­ness­tracker. Chen Wang und Kol­legen, For­scher am Stevens Institute of Tech­nology, haben nach­ge­wiesen, dass diese Geräte PINs mit­lesen können. Die Sen­soren in den Geräten sind so viel­fältig und genau, dass über Distanz­messung und kluge Software mit 80% Wahr­schein­lichkeit beim ersten Versuch auf die ver­wendete PIN geschlossen werden kann.
 
Die Wahr­schein­lichkeit erhöht sich auf etwas über 90% bei drei Ver­suchen bzw. drei­ma­liger Eingabe.
 
Wang ist derzeit keine Malware bekannt, welche diese Infor­ma­tionen bereits ver­wendet. Er emp­fiehlt als Gegen­maß­nahme, die Hand zwi­schen der Eingabe ein­zelner Ziffern noch zu anderen Ziffern zu bewegen, ohne diese zu drücken; das senkt eine Erken­nungs­quote erheblich. Bei dem Ver­suchs­aufbau wurde die Smart­watch an der Hand getragen, mit der auch die PIN ein­ge­geben wurde; da viele Men­schen ihre Uhr am nicht-domi­­n­anten Hand­gelenk tragen, sind sie von diesem theo­re­ti­schen Angriff nicht betroffen.

Fazit:
Um auf die e‑Zigarette und das e‑Book von Burnett zurück zu kommen — viel­leicht wäre ja so eine PowerBank oder ein Lade­gerät mit meh­reren Ports eine Lösung. Die gibt es sogar häufig öffentlich und kos­tenlos; aller­dings ist es nicht immer nur Strom, der dann aus­ge­tauscht wird, auch die Daten des zu ladenden Geräts können dann frei fließen…

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.