SEC Business Breakfast “Internet Of Things”: Do You Know Who’S Watching You?

IoT news

Aktuell sind vom Kühlschrank oder Staubsauger bis hin zu Videokameras und Zutrittskontroll-Systemen rund zehn Milliarden Geräte weltweit mit dem Internet verbunden. Diese „smarten“ Dinge sammeln begierig Daten und erteilen bereitwillig Auskunft.

Business Breakfast image - SEC Consult
Brunch Vortrag

Das ist aber nur ein kleiner Vorgeschmack auf das riesige Feuerwerk, das Gartner mit mehr als 20 Milliarden verbundenen Geräten für 2020 prognostiziert. Anlass genug für die Sicherheitsexperten von SEC Consult ganz genau hinzusehen und zu überprüfen, wie es aktuell um die Sicherheit im Internet of Things (IoT) bestellt ist. Vorne weg: Es muss noch viel getan werden, für einen sorgenfreien Umgang mit intelligenten Geräten, so viel ist sicher!

Beim SEC Business Breakfast am 24. April 2018 in Wien gaben die Experten Florian Lukavsky von SEC Technologies und Stefan Viehböck von SEC Consult einen detaillierten Einblick in die Welt verbundener Geräte. Sie analysierten die aktuelle IoT-Landschaft vor rund 30 interessierten Besucherinnen und Besuchern aller Branchen. Dass das IoT ein willkommenes Einfallstor für Cyberattacken darstellt, überraschte dabei kaum einen der Anwesenden. Zu viele Schlagzeilen etwa über das Mirai-Botnet mit bis zu 500.000 gekaperten Geräten sind noch in den Köpfen präsent. Der Grund dafür ist simpel: Mobile und IoT-Geräte bieten häufig keine starken Schutzmechanismen, verfügen aber über immer mehr Rechenleistung und vor allem Breitbandanbindung ans Internet.

Sicherheit wird also bei IoT-Geräten (noch immer) klein geschrieben und damit agieren zahlreiche Hersteller und Anbieter grob fahrlässig: Sie nutzen schlecht programmierte Firmware. Sie bauen selbst Hintertüren ein. Sie kommunizieren schwach verschlüsselt oder gar gänzlich unverschlüsselt. Die Ausnahme? Nein, eher die Regel! Ein Beispiel von vielen ist etwa die Überwachungskamera IPELA HD von Sony. Bei der Analyse der Firmware durch IoT Inspector stellte sich heraus, dass 80 Kamera-Modelle des Herstellers von einer Backdoor-Schwachstelle betroffen sind. Ein Angreifer hätte durch Ausnutzung der Schwachstelle den Fuß im Netzwerk gehabt und weitere Angriffe starten können, etwa die Kamera-Funktionalität stören, manipulierte Bilder/Videos senden oder die Kameras in ein Botnet wie Mirai integrieren. Oder er hätte Sie einfach ausspionieren können!

Die Firmware Security Analyse-Plattform IoT Inspector wurde von SEC Consult aufgrund der wachsenden Nachfrage entwickelt, den Sicherheitsstatus von IoT-Firmware effizient auf Sicherheitsrisiken zu testen. Und um damit Sicherheitslücken in „intelligenten“ Geräten aufzuspüren. Viehböck und Lukavsky demonstrierten die einfache Handhabung dieses mächtigen Werkzeugs. Drei Schritte reichen aus, um Gewissheit zu erlangen, ob man potenziell ausspioniert werden kann: Firmware hochladen, IoT Inspector analysieren lassen, Report ansehen. So einfach ist es, den laxen Herstellern auf die Spur zu kommen.