Internet of shitty Things

Internet of Things

Als der US-amerikanische Wissenschaftler Mark Weiser in 1991 wohl erstmalig den Begriff „Internet of Things“ verwendete, sprach er von vernetzten Geräten, die den Menschen mehr oder weniger unmerklich unterstützen sollten. Ich bekam diesen Begriff zum ersten Mal während einer Vortragsveranstaltung eines Fraunhofer-Institutes in Berlin zu hören. Hier lernte ich, dass das Internet of Things nun die Zukunft sei und meinen Alltag verändern würde. Und das sollte sich bewahrheiten. Doch dazu später mehr.

Vogel Strauß lässt grüßen!

Im Rahmen einer eigenen Vortragsreihe sprach ich immer wieder das Thema Sicherheit an. Speziell: Netzwerksicherheit, sowohl in Unternehmen als auch im heimischen Bereich. Dabei kam ich mir immer vor wie ein Prediger ohne Gemeinde. Meine Warnungen vor allzu sorglosem Umgang mit dem Thema wollte niemand wirklich hören. Wozu auch, denn schließlich hatte sich bis dato nicht wirklich etwas verändert.

Als ich neulich mit einem befreundeten Juristen über diese Problematik sprach, dass vorwiegend Entscheider aus dem nicht-technischen Bereich aktiv „weghören“, kamen wir zu dem Schluss, dass es sich hierbei wohl um Eigenschutz handeln müsse. Wenn der Geschäftsführer erfährt, dass er ein Sicherheitsproblem hat, MUSS er handeln. Viele glauben nämlich, dass sie nicht handeln müssen, wenn sie nichts über eine Gefährdung wissen. Das jedoch ist ein Trugschluss. Denn die Pflicht zum Handeln bleibt erhalten.

Wo ist das Problem?

Viele Geräte in Unternehmen und Privatbereich sind vernetzt, kommunizieren aktiv mit anderen und sind selbst auch ansprechbar. Sie sind dadurch Teil des Internet of Things. So weit, so gut. Oder schlecht. Denn überwiegend tun sie dies selbständig und unkontrolliert. Es fehlt also die Rolle des autorisierten, menschlichen „Benutzers“. Im privaten Umfeld mag das vielleicht nur fahrlässig sein, in Unternehmensnetzen ist es schlichtweg unzulässig.

Heizung, TV & Co.

Hinzu kommt, dass die meisten Internet of Things-Einheiten wenigstens im Auslieferungszustand, extrem unsicher konfiguriert sind. Klar, schließlich sollen sie ja out-of-the-box sofort „funktionieren“. So sind dann Heizungs-Steuerungen, Alarm-Anlagen, TV-Geräte und Kaffee-Maschine offen aus dem Internet erreichbar. Na und? Schließlich ist das praktisch! Doch wenn die Heizungsanlage im Winter von spielenden Kindern oder geldgierigen Erpressern abschaltet wird, dann ist das im Einzelfall mehr als nur unangenehm. Und dass dies kein Wintermärchen ist, sondern Realität, können Sie selbst nachlesen: http://www.spiegel.de/netzwelt/gadgets/vaillant-sicherheitsluecke-bedroht-hightech-heizungen-a-894665.html

Wenn das in Ihrem Unternehmen passiert, das heisst Büros oder Produktionshallen tagelang nicht genutzt werden können, dann haben Sie ein unangenehmes Problem. Doch was wäre, wenn die vorhandene Alarm-Anlage nachts zur passenden Zeit abgeschaltet wird und jemand unbemerkt Spionage-Technik installiert? Oder die Firma ausgeräumt wird?

Internet of Things: wirklich Multi-Funktional!

Als ich vor einigen Monaten durch einen Elektro-Supermarkt schlenderte und für eine Freundin ein Multifunktionsgerät (Drucker, Scanner, Fax) suchte, sprach mich ein Vertriebs-Agitator von Hewlett-Packard an. Er pries die Vorzüge eines Sonder-Angebotes an. Der Kern seiner Aussagen war, dass ich mir um Verbrauchs-Materialien wie Papier und Tinte keine Gedanken mehr machen müsse. Schließlich würde das Gerät automatisch erkennen, dass die Tinte demnächst knapp würde und von selbst Nachschub bestellen. Meine Nachfragen brachte dann ans Licht, dass dies ohne mein Zutun über ein vorhandenes W-LAN funktionieren solle. Auch Firmware-Updates würden automatisch eingespielt.

Vorteil oder Entmündigung?

Das alles ist natürlich sehr komfortabel. Doch leider kann man diesen Services weder abschalten noch irgendwie konfigurieren. Die Updates werden heruntergeladen, wenn das Gerät es will. Aber vielleicht brauche ich gerade die Bandbreite zum Telefonieren? Das ungefragte Update schützt mich dann natürlich auch automatisch vor „schädlichen“ Tintenpatronen eines anderen Herstellers. So verhindert zum Beispiel HP erfolgreich, dass ich Geld spare. Leider ist die Kommunikation nicht nur „Pull“, sondern der Hersteller kann auch direkt mit dem Gerät Kontakt aufnehmen. Es ist also aus dem Internet erreichbar. Super praktisch, aber für wen? Sicher nicht für den Nutzer.

Alter Hut: DSL-Router

Als letztes Beispiel schauen wir uns noch die bekannte XXXX-Box eines Berliner Herstellers an. Sie arbeitet in vielen Büros und Haushalten als Schnittstelle zwischen lokalem Netz und Internet. Und da das Wort „Firewall“ auf der Verpackung steht, scheint alles gut zu sein. Doch sind wir hier wirklich auf der sicheren Seite? Ganz klar: NEIN! Denn auch dieses Gerät ist vom Hersteller auf einen fragwürdigen Komfort getrimmt. Oder halten Sie es für sinnvoll, dass der Router jeder Zeit aus dem Internet erreichbar ist, damit jeder von überall daran herumspielen kann?

Warum gelingt der „Hack“ so einfach?

Die Zugangsdaten findet der Hacker mit ein wenig Suche im Netz. Und wenn nicht, startet er einfach einen Brute-Force-Angriff. Dabei werden in schneller Abfolge viele verschiedene Nutzer-Passwort-Varianten ausprobiert. Manchmal mit Erfolg. In jedem Fall ist die Box dann nur noch mit dem Beantworten der Passwort-Versuche beschäftigt und kann ihren eigentlichen Job nicht mehr machen. Man spricht hier von einem DOS (Denial of Service)-Angriff. Der Käufer – vom „Besitzer“ kann hier nicht mehr die Rede sein, da er nicht die Hoheit über das Gerät hat – merkt es dann daran, dass der Internet-Zugang mal wieder quälend langsam ist oder VoIP-Telefonate ständig abgehackt werden. „Sch…. Telekom! Ich kündige!!“ ist hier ausnahmsweise mal nicht die Lösung.

Nebenwirkungen

Die angeführten Beispiele sind nur ein sehr kleiner Ausschnitt aus dem kompletten Portfolio der Sicherheits-Risiken, die durch schlecht konzipierte oder schlampig eingerichtete Internet of Things-Geräte verursacht werden. Einige der Auswirkungen für die Betreiber, also die Eigentümer der Geräte, habe ich beschrieben. Nun könnte man sagen: „Selbst schuld, wenn denen nun die Heizung abgeschaltet oder ihr Internetzugang langsam wird“. Das stimmt natürlich auch, ist aber leider nur ein kleiner Teil der Wahrheit. Denn die Auswirkungen treffen leider auch gänzlich Unbeteiligte.

Mehr als nur Kollateralschäden

Die IoT-fähigen Geräte werden durch Betreiber von BOT-Netzen einach übernommen und zur Durchführung von Distributed Denial of Service-Angriffen verwendet. So kam es im Oktober 2016 zu einem Angriff auf den US-amerikanischen DNS-Dienstleister DYN, der unter anderem Kunden wie Twitter, Spotify, Airbnb, Reddit, eBay, New York Times etc. betreut.  Deren WebSites waren über längere Zeit nicht erreichbar. Der Angriff auf DYN verwendete eine Bandbreite von 1100 Gigabit/s. Damit wurde die Leitungen des DNS-Providers geflutet, sodass normale Datenpakete nicht mehr transportiert werden konnten. Das verwendete BOT-Netz bestand zum grossen Teil aus Internet of Things-Geräten.

Ob die Wahrheit gewünscht ist oder nicht: Verantwortlich ist der Inhaber des verwendeten IoT-Gerätes! Wenn Sie Glück hatten, war’s nicht Ihres.

Die einfache Lösung

Eigentlich ist es recht einfach, die beschriebenen Probleme in den Griff zu bekommen.

  1. Der wichtigste Schritt ist: Smartphone beiseite legen, Gehirn einschalten.
    Nicht jeder DSL-Router/jede Heizungssteuerung/jedes  TV-Gerät muss ständig von überall aus erreichbar sein.
  2. Grundlegende Sicherheits-Vorkehrungen treffen: Ändern Sie sofort die Standard Hersteller Einrichtung.
    Für alle Netzwerk-Geräte gelten klare Regeln, wer wo wann was darf. Diese Regeln werden im IP-Gateway bzw. Firewall durch Sie (!) eingerichtet.  Das Standard-Passwort der Firewall durch ein starkes eigenes ersetzen. Schließlich lassen Sie die Wohnungstür nach dem Einzug ja auch nicht offen stehen oder lagern den Schlüssel unterm Fussabtreter.

Wenn Sie diese beiden Punkte umsetzen, haben Sie für die allermeisten Sicherheits-Probleme der IoT-Welt vorgesorgt. Wenn Sie dies nicht tun, machen Sie sich strafbar. So einfach ist das.