Digitalisierung und Vernetzung sind nicht neu. Umso wichtiger, die IoT-Geräte abzusichern. Sonst öffnet das Internet der Dinge (IoT) schnell Tür und Tor für Cyberkriminelle.
Die Mehrheit der deutschen Unternehmen sieht im Internet der Dinge einen elementaren Bestandteil ihrer Strategie. Laut dem Anbieter von Cybersicherheitssoftware Kaspersky erhoffen sich 58 Prozent der Betriebe von den vernetzten Anlagen eine Steigerung der Effizienz, neue Umsatzquellen und niedrigere Kosten. Parallel zu den Chancen entstehen im Internet der Dinge (IoT) jedoch Risiken. Weltweit verzeichnete etwa jedes vierte Unternehmen einen Sicherheitsvorfall seiner vernetzten Geräte.
Im Juni 2020 wurden weitere Sicherheitslücken bekannt. Die israelische IT-Sicherheitsfirma JSOF hat in einer weit verbreiteten Netzwerkbibliothek 19 Schwachstellen entdeckt, die den Namen „Ripple20“ erhalten haben. Von dieser Bedrohung sind mehrere hunderte Millionen Geräte betroffen – ein enormes Risiko, denn die Auswirkungen können an den unterschiedlichsten Stellen auftreten. Von gestohlenen Daten über fehlerhafte industrielle Steuergeräte bis zu manipulierte Infusionspumpen sind viele Szenarien denkbar, die teilweise extrem sensible Bereiche betreffen.
Warten auf die Attacke
Die vorhandenen Sicherheitslücken können Cyberkriminelle bereits genutzt und ihre gefährlichen Schadcodes in den Geräten versteckt haben. Dort warten sie auf ihren Einsatz und werden erst entdeckt, wenn sie ihre zerstörerische Kraft ausspielen. Eine einzelne anfällige Komponente reicht bereits aus, auch wenn sie klein und unauffällig erscheinen mag. Wenn Kriminelle die Schwachstelle ausnutzen, können unzählige Branchen, Anwendungen und Unternehmen betroffen sein.
Ein konkretes Ziel haben die Angreifer dabei selten – im Gegenteil. „Wenn die Geräte mit einer veralteten Standard-Software betrieben werden, haben Cyberkriminelle einen großen Vorteil“, erklärt Jörn Tillmanns, IT-Security-Consultant bei TÜV Hessen. Hierfür setzen Kriminelle oft einen Exploit oder einen sogenannten Zero-Day-Exploit ein. Dabei handelt es sich um eine Schwachstelle, die weder öffentlich bekannt ist noch bereits gefixt wurde. So wird ein Angriff mittels eines Exploit oft auch nicht bemerkt. Der Stuxnet-Angriff beispielsweise blieb mehrere Monate lang unbemerkt.
Auch wenn im Falle eines Zero-Day-Exploits die Aktualität der Software oft keine Rolle spielt, sind regelmäßige Updates dennoch extrem wichtig für die IT-Sicherheit. „Im Netz sind Exploits gegen veraltete Software oft frei verfügbar. Daher sollte man darauf achten, seine Software aktuell zu halten. Das gilt beruflich wie privat“, rät Jörn Tillmanns.
Im Dark Web handeln Cyberkriminelle zudem mit verschiedenen Zero-Day-Exploits, unter anderem bieten sie den Herstellerfirmen die Informationen zu den vorhandenen Sicherheitslücken zu hohen Summen an. Untereinander rufen die Kriminellen jedoch weit niedrigere Preise auf.
Fehlende Updates werden zum Problem
In einem Unternehmen oder einer Einrichtung der kritischen Infrastruktur (KRITIS) wird die diffuse Bedrohung zu einer großen Gefahr. Denn viele der verwendeten Komponenten haben niemals ein Sicherheitsupdate erhalten, weil eine eventuelle Vernetzung bei ihrer Entwicklung noch undenkbar war. Daher sind die bedrohten Geräte an unzähligen Orten im Einsatz: im Krankenhaus ebenso wie in der industriellen Produktion oder bei der Steuerung von Stromnetzen.
Mit der fortschreitenden Digitalisierung im IoT steigt allerdings das Bewusstsein für die fehlende Sicherheit in den vernetzten Anlagen. „Eine große Herausforderung ist dabei das fehlende Know-how von IT-Experten für die spezifischen Anforderungen in der Betriebstechnik“, sagt Max Weidele, Geschäftsführer der bluecept GmbH und Initiator von sichere-industrie.de*. Denn für viele bestehende Anlagen war bei der Inbetriebnahme weder an eine interne Vernetzung noch an den Anschluss ans Internet zu denken.
Entsprechend fragil sind die verwendeten Komponenten und IT-Systeme, sowohl in den Maschinen als auch auf den Steuerungen und angeschlossenen PC-Stationen. Nicht selten finden sich darin noch die Betriebssysteme eines anderen Jahrhunderts, etwa Windows 98. So lange die Anlagen nicht vernetzt waren, gab es keinen Bedarf an Updates. „Gemäß dem Motto „Never Change a Running System“ wurden die Sicherheitslücken nicht beseitigt“, erklärt Max Weidele.
Unzählige Kollateralschäden bei einer Attacke sind das Ergebnis. Denn Cyberkriminelle gehen selten gezielt vor. „Die Angreifer nutzen die vorhandenen Lücken der Massenware aus, um ihre Malware möglichst breit zu streuen“, sagt Jörn Tillmanns. „Für einen enormen Schaden in einem Unternehmen reicht dieses Vorgehen bereits aus“. Das Risiko im Internet der Dinge sinkt erst, wenn Betreiber damit beginnen, die vorhandenen Sicherheitslücken systematisch zu schließen.
*) Hinweis: Die TÜV Technische Überwachung Hessen GmbH übernimmt keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.