Sicherheit

Internet der Dinge: Von immer neuen Sicherheitslücken und anderen Problemen

malware
geschrieben von Markus Werner

Aktuell sind viele IoT-Geräte durch Linux-Malware bedroht. Dank veralteter Firmware-Versionen, fehlender Firewall oder schlampig implementierter Krypto-Standards haben Angreifer leichtes Spiel. Die Smart Home Branche hat neben den immerwährenden Sicherheitsproblemen aber auch noch mit ganz anderen Problemen zu kämpfen. Bleibt das Smart Home eine fixe Zukunftsvision?

Sicherheitsexperten haben eine neuartige Linux-Malware gefunden, die speziell Geräte im Internet der Dinge (IoT = Internet of Things) befällt. Der Telenet Honeypot des tschechischen Domainregistraturs CZ.NIC verzeichnete im Juni einen sprunghaften Anstieg verdächtiger Aktivitäten. Die Sicherheitsexperten vermuteten dahinter ein Botnet, welches gezielt nach ungesicherten Telnet-Zugängen sucht. CZ.NIC untersuchte den Vorfall und fand heraus, dass die Angriffe von IP-Kameras stammten. Die Malware hat wahrscheinlich offene Sicherheitslücken in der Firmware ausgenutzt. Überraschenderweise fanden sie keine Schadsoftware.

Wo ist die Malware?

Die Lösung für dieses ominöse Rätsel lieferten die Sicherheitsexperten von MalwareMustDie. Sie konnten den Schädling ausfindig machen. Er versteckte sich im Arbeitsspeicher. Nach der Infektion verwischte er seine Spuren und war so schwerer zu finden. Ein Neustart entfernt die Malware, allerdings werden IoT-Geräte eher selten neugestartet. Daher ist der Trick so clever wie genial, da der Schädling so eine lange Zeit unbemerkt auf dem infizierten Gerät verweilen kann und das ist bekanntermaßen für ein Botnet ideal. Die Experten von MalwareMustDie raten Besitzern von IoT-Geräten zu folgenden Maßnahmen:

  • Telnet-Dienste der IoT-Geräte nach Möglichkeit abschalten
  • Den TCP-Port 48101 in der Firewall nach außen blockieren
  • Telnet-Verbindungen überwachen

Und täglich grüßt das Murmeltier

Angriffe auf IoT-Geräte sind weiß Gott nicht neu. Der aktuelle Fall unterstreicht einmal mehr, welche Baustellen das Internet der Dinge noch zu meistern hat. Erst Ende August wurde bekannt, dass eine Malware mit dem Namen Bashlite Millionen von IoT-Geräten in ein DDoS-Botnet verwandelt. Die häufigsten Ursachen für eine mögliche Infektion sind beispielsweise:

  • eine veraltete Firmware
  • nicht geänderte Standard Login-Informationen
  • Fehlen einer Firewall, damit inbegriffen offene ungenutzte Ports
  • schlampig implementierte Sicherheitsprotokolle oder schlimmer noch veraltete Krypto-Standards

Wie ich dieses Jahr auf dem MobileCamp feststellen musste kein Einzelfall, sondern traurige Realität bei vielen Anbietern von Smart-Home-Technologie. Offenbar versuchen viele Unternehmen, die solche Geräte anbieten, auf dem Markt zu experimentieren und Fuß zu fassen – mit fatalen Folgen. In vielen Haushalten finden sich immer mehr Geräte wieder, die mitunter ein potentielles Sicherheitsrisiko darstellen.

Da spielt es fast schon eine untergeordnete Rolle, dass Amazon Echo das Wohnzimmer überwachen könnte. Da wissen wir wenigstens, wer mithört. Doch bei vielen IoT-Geräten bleibt dies häufig unbemerkt. Es ist ja auch nicht so, dass IP-Kameras ständig für nahezu jeden frei im Web streamen (Ironie aus).

Ebenfalls war der Vortrag von Google-Entwickler Kees Cook auf dem diesjährigen Linux Security Summit sehr interessant. Laut seinen Informationen vergehen zwischen dem Entstehungszeitpunkt einer Sicherheitslücke im Linux-Kernel und ihrer Beseitigung im Schnitt etwa fünf Jahre. Aus seiner Sicht wird das Internet der Dinge das Problem weiter verschärfen, da die Geräte wahrscheinlich bis zu fünfzehn Jahren im Einsatz bleiben könnten.

Diese Probleme sind nicht theoretisch, sondern äußerst real. Daher ist die Entwicklung verschiedenster Selbstschutzfunktionen des Linux-Kernels, alleine nur aus diesem Umstand, schon notwendig. Seit letztem Jahr wird im Rahmen des Kernel Self Protection Project (KSPP) genau daran gearbeitet. Einige Features sind mittlerweile schon in den Linux Kernel eingeflossen.

Smart Home auf dem Vormarsch und auch wieder nicht

Tado-Gründer Christian Deilmann sagte kürzlich im Wired-Interview, worauf es seiner Meinung ankommt, damit das Smart Home bald eine schillernde Zukunft habe. Denn neben den anhaltendenden Sicherheitsproblemen haben IoT-Geräte weitere eklatante Schwierigkeiten. Dazu zählt auch, dass viele Hersteller ihre eigene Smart Home Plattform aufbauen wollen, auf ihre Apps setzen und am Ende kaum etwas zusammenpasst. Dann ist beispielsweise der Thermostat zum smarten Türschloss so inkompatibel wie Mac zu Windows.

Deilmann sagt: „Es ist sehr viel Arbeit für einen Hersteller sein Produkt zu einer Plattform kompatibel zu machen. Und deshalb kann man nur eine Handvoll Plattformen unterstützen.“ Folglich möchte sein Startup auf alle Plattformen setzen, an die sie glauben. Warum? Damit sich am Ende die besten durchsetzen können. Dann sollten die Produkte beispielsweise zu Amazon Echo, Apple Home Kit oder anderen Plattformen kompatibel sein. Doch ein brisantes Thema steht weiterhin im Raum – der Datenschutz.

Let’s Talk about Datenschutz

„Kunden, die Heizkosten sparen wollen, denken nicht über Datenschutz nach. Die kaufen ein tado, installieren es zu Hause und wissen gar nicht, dass es sich um ein Smart-Home-Gerät handelt“, sagt Deilmann. Das Smart Home kommt also durch die Hintertür in die Wohnung oder das Haus. Den meisten Verbrauchern dürfte es wirklich nicht großartig auffallen. Laut Deilmann kaufen die meisten ein bestimmtes IoT-Produkt, weil sie darin einen Vorteil für sich sehen. Deilmann sagt weiter: „Datenschutz wird viel unter Experten diskutiert und weniger unter normalen Nutzern, die sich eine Alarmanlage oder eine effizientere Heizung wünschen.“

Mit seinen Aussagen hat Deilmann keineswegs unrecht. Datenschutz wird wirklich mehr in Expertenkreisen diskutiert. In den meisten Fällen starten die Kunden mit einem oder wenigen Smart-Home-Produkten, bis der eine oder andere auf den Gedanken kommt, all diese Geräte miteinander verbinden zu wollen und daran vielleicht scheitert. Aufgrund der Backdoor-Strategie fehlt Kunden mitunter das nötige Sicherheitsbewusstsein, zudem sorgt eine schlechte Softwarepflege für tatsächliche Sicherheitsrisiken.

Über den Datenschutz braucht man dann wirklich nicht mehr sprechen. Zumal auch unsere Bundesregierung gerade voll auf Kurs ist, um den Datenschutz in Deutschland abzukündigen. Verschlüsselung und Datensouveränität sollen es richten – mitnichten.

Steckt das Smart Home in einer Sackgasse?

Nach aktuellem Stand: Ja. Doch es besteht Hoffnung, wenn die Unternehmen auf universellere Plattformen setzen und es anderen überlassen eine sichere Plattform zu bauen. Zugleich reduziert dieser Schritt auch einige Angriffsvektoren. Im Hinblick auf den Datenschutz kommt es stark auf unsere deutsche und auch europäische Politik an. Da schaut es derzeit nicht besonders rosig aus. Lassen wir uns überraschen, ob es sich in Zukunft vielleicht doch noch zum Besseren wenden könnte. Ansonsten hängt es an den Plattformanbietern von IoT-Produkten.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Markus Werner

Markus Werner (reraiseace) ist angehender Journalist und Fernstudent am Deutschen Journalistenkolleg. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und seinen eigenen Blog reraise.eu über Android, IT Security, Netzpolitik und Webdesign.

3 Kommentare

  • Danke für den tollen Einblicke und die Analyse. Das bestärkt mich in dem was ich meinen Freunden und Kunden die von Smart Homes schwärmen schon seit Jahren erzähle.

    Das was momentan an IoT und Smart Home Produkten am Markt ist, wie du im Artikel ausführlich schilderst, teilweise noch zu unausgereift (vor allem was Sicherheitsfragen angeht) und ist teilweise nur mit hohem Aufwand (und somit häufig auch hohen Kosten) auf dem neuesten Stand zu halten.

    Ein großes Problem, dass ich in dem Zusammenhang auch noch sehe ist die Tatsache, dass IoT und Smart Home Lösungen bislang häufig von „normalen Elektrikern“ eingerichtet werden. Nichts gegen die Elektriker, die machen Ihren Job was die Verkabelung angeht wirklich sehr gut. Aber selbst die ausgereifteste Lösung muss auch richtig konfiguriert sein um ausreichend Schutz zu bieten. Ich hole ja auch nicht den Elektriker um meinen Router zu konfigurieren und genau so wenig sollte ich den Elektriker holen um das Smart Home zu konfigurieren. Aber ich denke es ist noch ein weiter weg bis sich auch Privathaushalte einen IT-Dienstleister ins Haus holen um ihr Smart Home abzusichern.

    Aktuell steuert die gesamte Branche auf einen Abrund zu, aber noch besteht die Chance die Probleme zu lösen bevor Berichte über großangelegte Attacken durch die Medien rauschen.

Kommentieren