Smart, smarter, Bitdefender: Eine kurze Geschichte unserer IoT-Sicherheitsforschung
Bitdefender hat es sich zur Aufgabe und zum erklärten Ziel gemacht, die digitale Welt für alle sicherer zu machen und Unternehmen ebenso wie Privatpersonen durchdachte Lösungen an die Hand zu geben. Das ist einer der Gründe, warum wir 2015 als eines der ersten IT-Sicherheitsunternehmen den wachsenden Bedarf für mehr Sicherheit im Smart Home erkannt und angepackt haben.
IoT-Geräte sicherer machen - eine Reise, die niemals endet
Angetrieben durch unseren Innovationsgeist und der Verantwortung gegenüber unseren Kunden stellten wir ein Team aus erfahrenen Experten zusammen, das alle Voraussetzungen mitbrachte, um die komplexen Sicherheitslücken und vielfältigen Herausforderungen im Zusammenhang mit vernetzten Geräten anzugehen. Die ersten Ergebnisse ließen nicht lange auf sich warten.
„Eines der beängstigendsten (und leider auch realistischsten) Szenarien ist, dass ein Hacker über eine Hintertür uneingeschränkten Zugriff auf ein intelligentes Gerät in Ihrem Heimnetzwerk (oder sogar Unternehmensnetzwerk) erhält. Dabei ist es egal, ob es sich um Ihren Drucker, eine intelligente Glühbirne oder Überwachungskamera handelt, solange das Gerät über ein Betriebssystem verfügt und vernetzt ist. Darum haben wir uns 2015 daran gemacht, herauszufinden, wie wahrscheinlich dieses Szenario wirklich ist. Die Ergebnisse sprechen eine deutliche Sprache: In mehr als 35 % der von uns analysierten Things fanden wir kritische Sicherheitslücken, die einem Angreifer auch ohne direkte Verbindung zum Internet volle Kontrolle über das Gerät verschaffen könnten. Mittlere bis bedenkliche Sicherheitslücken waren in etwa 80 % der Geräte zu finden. Beängstigend, ich weiß. Aber das ist nun mal die Realität im Internet of Things.“ - Alex „Jay” Balan – Leitender Sicherheitsforscher bei Bitdefender
Sprung in die Gegenwart: Unser Team beobachtet den IoT-Markt für Privatanwender weiterhin ganz genau. Seit 2015 haben seine Mitglieder viel Arbeit investiert, mehr als zwei Dutzend beliebte IoT-Geräte getestet, zahlreiche Whitepaper veröffentlicht, um die Community zu unterstützen, und mit Medienpartnern zusammengearbeitet, um Sicherheitslücken zu schließen, die potenziell Auswirkungen auf Millionen von Menschen haben könnten.
Doch unsere Bemühungen gehen noch weit darüber hinaus. Vom ersten Tag an haben wir uns vorgenommen, die Sicherheit dieser Gerät von Grund auf zu verbessern. Dies erfordert eine partnerschaftliche Zusammenarbeit mit den Herstellern und Anbietern von IoT-Geräten. Bei unserer Forschungsarbeit ging es deshalb auch niemals darum, sie zu diskreditieren oder mit erhobenem Zeigefinger zu belehren. Ziel war es immer, den Stein für einen konstruktiven Dialog zwischen IoT-Verantwortlichen und IT-Sicherheitsexperten ins Rollen zu bringen, da langfristig nur so mehr Sicherheit für Verbrauchergeräte garantiert werden kann.
Unser größtes Lob sind Hersteller, die sich für unseren Beitrag zur Absicherung Ihrer Produkte und unsere Vorgehensweise dabei bedanken.
Intelligent und sicher. Passt das überhaupt zusammen?
Das IoT-Universum dehnt sich mit atemberaubender Geschwindigkeit aus. 2021 gab es 10 Milliarden vernetzte Geräte, bis ins Jahr 2030 wird sich diese Zahl Schätzungen zufolge auf 25 Milliarden erhöhen. 2020 fanden sich in einem durchschnittlichen Haushalt mindestens 10 vernetzte Geräte. Dabei gehörten laut unserer Untersuchung „The State of IoT Security In 2020“ intelligente Haushaltsgeräte, Geräte zur Heimautomatisierung und Webcams zu den beliebtesten Gerätekategorien.
Doch angesichts dieser rasch steigenden Beliebtheit und der Tatsache, dass es praktisch keine technischen Sicherheitsvorgaben gibt, kamen bald auch Fragen danach auf, wie sicher diese Geräte wirklich sind.
Ist es wirklich so klug, unser Zuhause mit immer neuen Geräten auszustatten, die rund um die Uhr mit dem Internet verbunden sind? Sind alle Geräte gleich sicher? Kann sich jemand ohne mein Wissen Zugriff auf meine Geräte verschaffen? Wird mein Babyphone zum Spionagegerät?
Wer guckt zu?
Unsere Team wollte Antworten auf diese Fragen liefern und kam schnell zu der Erkenntnis, dass manche Gerätekategorien mehr Aufmerksamkeit erfordern als andere, weil ihre Auswirkungen auf unsere Sicherheit und Privatsphäre ungleich größer sind. Folglich verfügte auch mehr als die Hälfte der untersuchten Geräte über Funktionen zur Audio- und Videoaufzeichnung und -übertragung.
Sicherheitskameras, Heimüberwachungskameras, Videotürklingeln und Babyphone zählen zu den beliebtesten und am weitesten verbreiteten Produkten am Markt, sie stellen aber auch das größte Sicherheitsproblem dar. Für die meisten von uns gibt es wohl keine größere Horrorvorstellung, als dass unsere Sicherheitskameras gegen uns eingesetzt werden und es Fremden erlauben, uns unbemerkt in unseren eigenen vier Wänden zu beobachten.
Natürlich bedeutet das nicht, dass wir andere Gerätekategorien vernachlässigt haben. Im Gegenteil: Unser Team hat bei Tests festgestellt, dass auch Geräte ohne Kamera eine ernst zu nehmende Bedrohung darstellen können. Stellen Sie sich zum Beispiel eine intelligente Glühbirne vor, die Ihr WLAN-Passwort preisgibt, oder ein anderes Gerät, das Ihren Standort verrät.
Kommen wir also zum Punkt und werfen einen Blick auf unsere Liste der Probleme, die unserem Team bei der Bewertung der Sicherheit von IoT-Geräten in den letzten sieben Jahren am häufigsten begegnet sind:
Häufige IoT-Probleme:
1. Mangelhafte Authentifizierung
Unabhängig von der Art des zu installierenden Geräts sind die Ersteinrichtung und die Einbindung in das Heimnetzwerk entscheidende Schritte. Nach Erkenntnissen unserer Sicherheitsforscher ist dies jedoch auch eine der heikelsten Phasen. Angreifer könnten sie leicht ausnutzen, um die Kontrolle zu übernehmen oder sich weitergehenden Zugang zu verschaffen.
Während des Einrichtungsprozesses erstellen viele Geräte einen temporären Hotspot, mit dem sich der Nutzer verbinden muss, in der Regel über sein Mobiltelefon. Leider fehlt es diesen Hotspots immer wieder an angemessenen Authentifizierungsmechanismen, sodass praktisch jeder in Reichweite auf sie zugreifen kann. Darüber hinaus können diese ungesicherten Hotspots von Angreifern genutzt werden, um die WLAN-Netzwerkanmeldaten des Besitzers abzufangen. Gelingt dies, haben sie nicht nur Zugriff auf das neue Gerät, sondern auch auf alle anderen mit diesem Netzwerk verbundenen Geräte.
Darüber hinaus mussten wir immer wieder mit Besorgnis beobachten, dass leicht zu erratenden Standard-Anmeldeten wie „admin“ verwendet werden oder versteckte Zugänge für administrative Zwecke mit hartkodierten Passwörtern vorhanden sind. In beiden Fällen können Angreifer die betroffenen Geräte mit Leichtigkeit übernehmen, wenn sie nur nah genug dran sind und über die entsprechenden Gerätedaten verfügen.
2. Ungeschützte Datenübertragung
Intelligente Geräte kommunizieren laufend untereinander und mit ihren Servern und nutzen dabei verschiedene Protokolle. Die dabei übertragenen Informationen sind vielfältig und reichen von Authentifizierungsdaten („Benutzer angemeldet“, „Passwort zurückgesetzt“) über Befehle („einschalten“ oder „ausschalten“) bis hin zu Zustandsänderungen („Bewegung erkannt“, „Temperatur um ein Grad gestiegen“) und sogar Video- und Audioaufnahmen und Live-Streams.
Unsere Untersuchungen haben ergeben, dass ein großer Teil der Geräte, insbesondere Videoaufnahmegeräte, aufgrund fehlender Authentifizierung, falscher Konfiguration oder mangelnder Verschlüsselung anfällig für Man-in-the-Middle-Angriffe ist. Das bedeutet, dass Angreifer die Datenübertragung abfangen, RTSP-Streams anzapfen und Firmware-Updates manipulieren können.
In der Folge können sie die Kontrolle über die betroffenen Geräte erlangen oder, und das ist noch deutlich beunruhigender, ihre Opfer über das Internet stalken und auf Live-Video- und Audio-Streams bzw. ältere Aufnahmen zugreifen.
„Unverschlüsselte Kommunikation mit der Cloud ist die häufigste Sicherheitslücke, die uns bei unseren Gerätetests begegnet ist. Selbst bei HTTPS-Verbindungen werden die Zertifikate meist nicht validiert; Man-in-the-Middle-Angriffen sind also weiterhin möglich.“ Radu Basaraba - Sicherheitsforscher, Bitdefender Labs
3. Fehlkonfigurationen in der Cloud
Die meisten intelligenten Geräte stellen für den Fernzugriff und die Datenspeicherung eine Verbindung zu einem Cloud-Dienst her. Unsere Forscher haben jedoch festgestellt, dass dies in manchen Fällen zu schwerwiegenden Sicherheitsproblemen führen kann, in der Regel, weil der Dienst falsch konfiguriert ist, keine angemessenen Sicherheitsvorkehrungen implementiert hat oder die Cloud-API (Application Programming Interface) anfällig für Brute-Force-Angriffe and damit für die Preisgabe sensibler Daten ist.
In mehr als einem Fall konnten sie durch Nutzung der Kennung eines einzelnen Geräts die API dazu bringen, Informationen über alle zu einem bestimmten Benutzer zugehörigen Geräte und sogar über die Geräte anderer Benutzer preiszugeben.
Zudem kamen wir zu der Erkenntnis, dass es für Angreifer möglich ist, durch Missbrauch von API-Berechtigungen persönliche Informationen und Anmeldedaten von Benutzern zu stehlen, Geräte fernzusteuern und sich Zugriff auf Videoübertragungen und -aufzeichnungen zu verschaffen.
Das schlimmste Szenario, auf das wir gestoßen sind, ist jedoch das eines Cloud-Buckets, bei dem es keinerlei Zugriffskontrollen gab. Unserer Erfahrung nach ist dies jedoch ein allgemeines Problem, das nicht nur Hersteller von intelligenten Geräten betrifft, sondern auch viele andere Unternehmen und eine der Hauptursachen für Datenpannen ist.
4. Remote Code Execution und Command Injection
Remote Code Execution (RCE) und Command Injection sind zwei Arten von Cyberangriffen, die häufig zur Übernahme von Geräten eingesetzt werden. Und auch wenn sie auf den ersten Blick große Ähnlichkeiten aufweisen, gibt es einige fundamentale Unterschiede. Bei einem RCE wird Programmcode ausgeführt, um eine Schwachstelle auszunutzen, während bei einer Command Injection, also einer Befehlsinjektion, auf vorhandene Betriebssystembefehle zurückgegriffen wird, um eine Schwachstelle auszunutzen. Kurz gesagt, obwohl das Ergebnis dasselbe sein kann, ist die Herangehensweise eine andere.
Unser Team kam zu dem Ergebnis, dass fast die Hälfte der untersuchten Geräte für diese Art von Angriffen anfällig ist, wobei die meisten RCEs (Remote Code Execution) einen Stapelpufferüberlauf ausnutzen. Dabei handelt es sich um eine Anomalie, die auftritt, wenn ein Programm außerhalb der beabsichtigten Datenstruktur, die normalerweise ein Puffer fester Länge ist, in eine Speicheradresse auf dem Aufrufstapel des Programms schreibt.
Wir finden, dass hier bei Entwicklern die Alarmglocken läuten sollten. Immerhin sind Stapelüberläufe die wohl älteste und grundlegendste Form des Cyberangriffs und gleichzeitig einer der ersten Angriffsvektoren, den ein Hacker austesten wird.
5. Verletzungen der Privatsphäre
Die wohl schlimmste Bedrohung der Privatsphäre im Zusammenhang mit dem Internet of Things sind Geräte, die uns ohne unser Wissen beobachten, abhören und aufzeichnen. Zu den möglichen Motiven gehören Stalking, Einschüchterung, Erpressung und viele andere Betrugsmaschen. Auch bei geplanten Einbrüchen kann es hilfreich sein, wenn zum Beispiel keine Bewegungen gemeldet oder parkende Autos aufgezeichnet werden. Unsere Tests haben darüber hinaus gezeigt, dass sich Angreifer unter Ausnutzung verschiedener Schwachstellen in solchen Geräten auch persönliche Daten beschaffen können.
Die meisten Menschen neigen dazu, das gleiche Passwort für mehrere Benutzerkonten und Geräte zu verwenden. Wenn jetzt also ein Angreifer Ihre E-Mail-Adresse und Ihr Passwort über ein schlecht geschütztes Gerätekonto ermittelt, könnte er versuchen, mit diesen Informationen auch andere Konten und Geräte zu übernehmen. Haben Sie für eines dieser Benutzerkonten wohlmöglich Zahlungsdaten hinterlegt, zum Beispiel für ein monatliches Abonnement, erhält er auch darauf Zugriff.
Ebenso könnte jemand, der Ihre WLAN-Anmeldedaten stiehlt, diese verwenden, um weitere Schwachstellen auszunutzen und sich so Zugang zu anderen Geräten in Ihrem Heimnetzwerk zu verschaffen, so zum Beispiel zu einem Computer oder einem Netzwerkspeichersystem.
Eine eher ungewöhnliche Schwachstelle, die wir bei unseren Untersuchungen aufgedeckt haben, war ein Gerät, das den Standort seiner Benutzer preisgab. Das erscheint vielleicht vergleichsweise harmlos, aber in Verbindung mit weiteren Daten können sich hieraus durchaus Situationen ergeben, in denen ein böswilliger Akteur versucht, sein Opfer einzuschüchtern oder zu erpressen.
Wie können intelligente Geräte sicherer werden?
Wie bereits erwähnt, ist unsere wichtigste Schlussfolgerung aus all dem, dass die Sicherheit von intelligenten Geräten nicht einseitig verbessert werden kann. Vielmehr braucht es eine partnerschaftliche Zusammenarbeit von Anbietern, der IoT-Branche und IT-Sicherheitsexperten. Dan Berte, IoT-Leiter, bringt es auf den Punkt:
„Als eine Kategorie mit außergewöhnlichem Wachstum, das durch die Pandemie, die uns zum Arbeiten im Homeoffice gezwungen und so noch mehr Geräte zu uns nach Hause gebracht hat, noch weiter befördert wurde, ist das Smart Home längst kein Experimentierfeld mehr. Es ist für Milliarden von Menschen zum Alltag geworden, ohne dass sie dabei weiter über die Gefahren eines vollständig unregulierten Marktes nachdenken. In der derzeitigen Größenordnung gehen die Probleme über das häusliche oder unternehmerische Umfeld hinaus und betreffen direkt die nationale Sicherheit.“
Hier sind einige wichtige Fakten, die diese Hypothese stützen:
1. IoT-Geräte sind zunehmend gefährdet
Nicht nur die Zahl der vernetzten Geräte wächst immer schneller, auch Cyberangriffe nehmen in alarmierendem Maße zu. Laut den Bitdefender-Telemetriedaten gab es im Jahr 2021 im Laufe von nur 6 Monaten 68 Millionen Sicherheitsereignisse in Zusammenhang mit 11 Millionen überwachten IoT-Geräten. Neue Botnets wie Mozi generierten 90 % des gesamten IoT-Datenverkehrs im Jahr 2019. Angesichts millionenfach gefährdeter Nutzer ist es daher von entscheidender Bedeutung, Sicherheitslücken zu finden und sie so schnell wie möglich zu schließen. Das erfordert aber auch, dass der Austausch zwischen Herstellern und Sicherheitsexperten intensiviert wird.
2. Anbieter müssen transparenter werden
Aktuelle Frameworks und interne Verfahren stellen sicher, dass Hersteller Produkte anbieten können, die sicher und funktional sind. Angesichts der Komplexität moderner Software- und Hardwaresysteme sind Schwachstellen jedoch niemals ganz auszuschließen. Man kann sogar davon ausgehen, dass alle IoT-Produkte in irgendeiner Form Schwachstellen aufweisen, die sie angreifbar machen. Hier kommen die Sicherheitsexperten ins Spiel: Ihre Aufgabe ist es, diese Probleme aufzuspüren und sie dem Hersteller zu melden, damit sie behoben werden können. Dieser Prozess muss an vielen Stellen jedoch noch verbessert werden.
Die meisten Hersteller geben auf ihrer Website keinen zuständigen Ansprechpartner an, meist mangelt es auch an klaren Richtlinien zum Umgang mit Bug-Meldungen. Erfahrungsgemäß ist E-Mail die häufigste Form der Kontaktaufnahme mit einem Hersteller, gefolgt von Support-Anfragen und Anrufen. Aber selbst nach dem ersten Kontakt verläuft die Interaktion recht langsam. Unserem Team zufolge dauerte die Rückmeldung bei 33 % der Hersteller weniger als einen Monat, bei 50 % ein bis drei Monate und bei 17 % schon drei Monate bis ein Jahr. Für das Patchen der gemeldeten Sicherheitslücke ließen sich 80 % der Anbieter drei bis zwölf Monate Zeit, bei den verbleibenden 20 % dauerte es ein bis zwei Monate. Noch alarmierender ist, dass eine bedauerliche Mehrheit der Hersteller gar nicht auf die Kontaktaufnahme reagiert, erst mit erheblicher Verzögerung antwortet, gemeldete Schwachstellen nie behebt oder viel zu lange braucht, um Patches zu veröffentlichen. Damit kommen wir zu einem weiteren wichtigen Punkt: mangelnde Regulierung der Branche.
3. Tut die Branche genug?
Bislang wurden die Vorgänge zur Offenlegung und Behebung von IoT-Schwachstellen weitgehend durch informelle Vereinbarungen und Best Practices angegangen. So liegt der Branchenstandard bei Offenlegungsrichtlinien, die dem Anbieter eine Schutzfrist für die Veröffentlichung eines Patches für die Sicherheitslücke einräumen, bei 90 Tagen ab Kontaktaufnahme. In den meisten Fällen gibt es hier auch keine Verlängerung, wenn der Patch nicht innerhalb der zulässigen Frist veröffentlicht wird.
Es gibt aber keine Garantie, dass ein Hersteller dann auch verantwortlich handelt und die gemeldeten Probleme behebt. Auch hier zeigt unsere Erfahrung, dass gut ein Viertel aller Hersteller die Sicherheitslücke erst gar nicht oder erst kurz vor Auslaufen des Produkts gepatcht hätte. Vertrauensverlust und Imageschäden sind sicherlich ernsthafte Konsequenzen, aber reicht das wirklich aus, wenn potenziell Millionen von Nutzern betroffen sind?
Wir erachten die Einführung eines branchenweit verpflichtenden Standards zur verantwortungsvollen Offenlegung als eine mögliche Lösung des Problems.
„Die Branche ist kreativ und niemand mag Zwänge, aber im Moment gibt es keine Konsequenzen, wenn man sich nicht an Best Practices hält. Dabei ist es nur vernünftig, Hersteller zur Angabe eines Ansprechpartners für Sicherheitsfragen zu verpflichten, der für die Bearbeitung eingehender Anfragen zur Offenlegung von Sicherheitslücken zuständig ist. Offengelegte Schwachstellen müssen noch während der Lebensdauer des IoT-Produkts behoben werden und im Falle eines Verstoßes sollten rechtliche und finanzielle Konsequenzen drohen. Schließlich geht es um die Sicherheit von Millionen von Menschen, da darf man sich nicht aus der Verantwortung ziehen.“ – Dan Berte, Leiter IoT-Sicherheit
DIPS
Technologie wird von Menschen eingesetzt und beeinflusst deren Handeln. Individuelle Kenntnisse, Fähigkeiten und Bedürfnisse, aber auch persönliche Wahrnehmungen von Risiken und Herausforderungen sowie Wertvorstellungen bezüglich des Umgangs mit den Mechanismen von Privatsphäre und Sicherheit müssen in einen partizipativen Entwicklungsprozess
eingebracht und reflektiert werden. Ebenso müssen persönliche Werte und Normen berücksichtigt werden, die in die Entwicklung von Sicherheitslösungen einfließen. Dabei gilt es auch neben der Sichtweise von Nutzerinnen und Nutzern, die von Softwareentwicklerinnen und -entwicklern, Sicherheitsexpertinnen und -experten, sowie die von Sicherheits- und Datenschutzbeauftragten berücksichtigen. Neben einem partizipativen Gestaltungsansatz ist es darüber hinaus zentral, dass Menschen die Mechanismen von Privatsphäre und Sicherheit nachvollziehen und gezielt einsetzen können. Daher fokussieren wir auf die Entwicklung von Erklärungsmechanismen für Privatsphäre- und Sicherheitslösungen.
Schönbohm: Anstrengungen bei Sicherheitsforschung verstärken
Innere Sicherheit
Schönbohm: Anstrengungen bei Sicherheitsforschung verstärken
IMK-Vorsitzender: Europäische Programme stärker nutzen
Nr. 089/2008
Der Vorsitzende der Innenministerkonferenz, Brandenburgs Innenminister Jörg Schönbohm, hat zu verstärkten deutschen Anstrengungen auf dem Gebiet der Sicherheitsforschung aufgerufen. Deutschland müsse die Chancen nutzen, dass im siebten EU-Forschungsrahmenprogramm die Sicherheitsforschung erstmals als eigener Themenschwerpunkt aufgenommen worden sei, sagte Schönbohm heute auf der 3. Konferenz der German European Security Association (GESA) in Berlin. Dabei müsse durch entsprechende Antragstellungen dafür gesorgt werden, dass in den nächsten Jahren ein höherer Anteil der Fördermittel nach Deutschland fließt. Auch müsse Deutschland seine Anforderungen an die Ausgestaltung des Programms deutlicher formulieren.
Als bedeutsames Thema auch im Zusammenhang mit der Sicherheitsforschung bezeichnete Schönbohm den Schutz kritischer Infrastrukturen. Dies betrifft alle Einrichtungen mit lebenswichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe, erhebliche Störungen der Inneren Sicherheit oder andere schwerwiegende Folgen eintreten können. „Die Verwundbarkeit der kritischen Infrastrukturen ist ein wesentliches Element der staatlichen Sicherheit und bedarf präventiver Schutzmaßnahmen", sagte der IMK-Vorsitzende.
Er sprach sich ferner für eine verstärkte Bündelung von Beschaffungen im Sicherheitsbereich auf, verwies aber zugleich auch auf die kartellrechtlichen Grenzen solcher Zusammenarbeit. Es gebe jedoch nach der Rechtsprechung des Europäischen Gerichtshofes durchaus Freiräume, die genutzt werden sollten. Dafür müssten die gemeinsamen Forderungen der Sicherheitsbehörden formuliert werden. Schönbohm kündigte an, die länderübergreifende Bündelung von Beschaffungen im Sicherheitsbereich auch im Rahmen der Innenministerkonferenz zu thematisieren.
Verantwortlich:
Dorothee Stacke, Pressesprecherin
Ministerium des Innern
Henning-von-Tresckow Str. 9-13
14467 Potsdam
Telefon (0331) 866 2060
Fax: (0331) 866 2666