Konferenz Blog

Amoknet der smarten Devices: Internet of Things

IoT - in einigen Bereichen wohl weniger smart als der Leitstand von AnnoTuck.
IoT – in einigen Bereichen wohl weniger smart als der Leitstand von AnnoTuck.

Das Geschäft mit smarten Devices und vernetzten Produktionsanlagen brummt, und wird sich noch weiter entwickeln.  Tatsächlich wird der wichtige Sicherheitsaspekt heute noch stark vernachlässigt. Es scheint als stünde zunächst allein die möglichst schnelle „Marktreife“ im Mittelpunkt.

In der Industrie 4.0 geht es vor allem um die Steuerung von Produktionsanlagen über das Int(ra)ernet. Vernetzte Roboter  ermöglichen eine hoch automatisierte Logistik, die Produkte direkt  zum Smart Home liefern.

Doch vom komfortsuchenden Verbraucher bis zur effizienten Produktion hat die neue digitale Welt eine hässliche Kehrseite: Milliarden mit dem Internet verbundene Geräte bedeuten auch Milliarden potenzielle Sicherheitslücken. Im Mai ließ ein Hacker in Texas smarte Verkehrsschilder statt vor Baustellen vor Donald Trump warnen. Per Internet konnten Forscher über das Infotainment-System bei einigen Modellen von Fiat Chrysler auf den CAN-Bus zugreifen und die Klimaanlage, die Türverriegelung und sogar die Bremsen steuern. Industrial Control Systems (ICS) sind Syteme, die der Administration von technischen Infrastrukturen dienen. Sie bieten auch Oberflächen für Techniker, die über das Netz erreichbar sind. Und – wen wundert es eigentlich noch – diese Oberflächen sind häufig komplett ungesichert. Das kann auch schon mal ihr Wasserwerk betreffen:

  • Wasserwerke: 4
  • Parkplatzanlagen: ~10
  • Smart Homes + Hotels: >5
  • Biogasanlagen / Blockheizkraftwerke / Fernheizwerke: 7

Bei all diesen Beispielen handelt es sich allerdings um Angriffe auf vernetzte Geräte. Was wir hingegen in den letzten Monaten erleben, sind Angriffe durch das Internet of Things – und die haben eine ganz andere Qualität.  Dyn ist ein bedeutender Anbieter von DNS-Diensten für andere Unternehmen. Bei den Angriffen vom 21.10.2016 wurden riesige Mengen gefälschten Traffics gezielt gegen Dyn-Server gerichtet. Dyn hat dann einige wichtige Websites, Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast und das Playstation-Netzwerk mit in den Abgrund gezogen. Doch diese großen Domains waren nur die Spitze eines Eisbergs tatsächlich wurden z.B. tausende von kleinen und mittleren eCommerce Seiten gestört.  Die Angriffe vom 21.10. wurden durch eine große Anzahl von ungesicherten Internet-Verbindungen digitaler Geräte, wie Heim-Router und Überwachungskameras ermöglicht. Die Angreifer verwendeten Tausende solcher Geräte, die mit bösartigem Code infiziert waren, um ein Botnetz zu bilden. Die Software, die verwendet wurde, um das Netz nach ungesicherten Geräten zu durchforsten, ist frei verfügbar. Diese Geräte sind zwar keine leistungsstarken Computer, doch sie können massive Mengen an einfachem TCP/IP Traffic verursachen.

Wenn nicht ein massives Umdenken bei Herstellern wie Anwendern einsetzt, wird das Internet of Things zu einem veritablen Amoknet werden. Ein Zusammenbruch großer Teile des Internets durch einen gezielten Angriff rückt somit in den Bereich des Vorstellbaren.

Das Netz – enzwickelt um Kommunikationsstrukturen im Falle eines Atomkrieges aufrecht zu erhalten nun machtlos angesichts von schlampig programmierten Webcams, Toastern und Kühlschränken – welch eine Ironie.

In einigen Vorträgen widemet sich auch die 4. Kölner | IT-Security-Konferenz | 23.11.2017 diesem Thema [ Programm ].

 

Edit post

4. Kölner IT-Security-Konferenz am 23.11.2017

Jetzt Ticket sichern