Kontakt
NTT DATA Business Solutions
Thomas Leger | Juli 10, 2020

Teil 1: IoT (Internet of Things) – Fluch oder Segen?

iot-internet-of-things-fluch-oder-segen_blog

Der Begriff „Internet of Things, (Internet der Dinge) Kurzform: IoT) ist ein Sammelbegriff für unterschiedliche Technologien einer globalen Infrastruktur die es ermöglicht, technische Geräte (Kühlschränke, Motoren, Smart Home, Connected Cars, Bewegungs-Tracker, Roboter, Zutrittskontrollen, etc.) miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen.1

Diese Technologie erlaubt es einem User, eine Interaktion zwischen der IT Technologie und sich selbst herzustellen. So können Informationen erfasst, verarbeitet und mittels der IoT Technologie genutzt werden.

So werden zum Beispiel Kühl-Transportboxen mit Sensoren versehen, die in einem bestimmten Intervall die aktuelle Temperatur des zu kühlenden Lebensmittels messen und diese Daten per Bluetooth an einen zentralen Computer im LKW übertragen. Hier werden die Daten entweder lokal gespeichert und können später ausgelesen werden, oder die Daten werden online an eine Cloud versendet, die von jedem anderen Ort erreichbar ist. Diese Daten kann der Empfänger abgreifen und ist so immer über den aktuellen Status der Kühlkette informiert.

Weitere Anwendungen sind unter anderem Sensoren in Kleidungsstücken welche die Temperatur des Träger nutzen und warnen, wenn diese zu hoch ist … und vieles vieles mehr.

IoT im Smart Home – wie sicher sind die smarten Technologien?

Aktuell ist aber eine weitere Anwendung sehr stark im Aufwind. Stichwort „Smart Home“. Hierbei spricht man von der Verknüpfung unterschiedlicher Technologien oder Anwendungen im Haushalt oder der Unterhaltungselektronik. So können zum Beispiel:

  • Heizung,
  • Lichter,
  • TV,
  • Radio,
  • Rollläden etc. zentral über eine App gesteuert werden.

Solange man sich im heimischen Bereich befindet, und sich das eigene Handy mit der entsprechenden App ebenfalls im heimischen W-LAN befindet, ist ein unautorisierter Zugriff eher unwahrscheinlich, da hier die eigene Hardware- bzw. Software Firewall greifen.

Ist man aber „draußen“, werden die Befehle vom Smartphone nicht mehr direkt über das heimische W-LAN weitergegeben. Hier werden die Daten dann zuerst per Mobilfunk an einen Internethotspot übermittelt. Dieser verbindet sich dann per Internet mit dem heimischen Router und gibt die Befehle an die Geräte weiter.

Natürlich ist das eine komfortable und angenehme Sache. So kann man beispielsweise im Winter die Heizung bei Feierabend vom Büro aus hochdrehen und hat es warm, wenn man zu Hause ankommt. Oder man kann vom Urlaubsort überprüfen, ob zu Hause alle Lichter ausgeschaltet sind etc.

Im Business Bereich werden hier aber ggf. auch sehr sensible Daten per IoT übertragen und zum Beispiel in einem SAP System zur Weiterverarbeitung gespeichert.

Sobald die Daten im SAP selbst angekommen sind, greift das dortige Berechtigungskonzept. Auf dem Weg ins SAP System sind die Daten aber relativ leicht abgreifbar. Daher müssen entsprechende IT-Strukturen implementiert werden, um auch hier einen Fremdzugriff zu verhindern.

Beispiel: So einfach können Hacker bei unzureichenden Sicherheitsmaßnahmen Daten abgreifen

Ist im privaten Bereich die Eingangstür durch ein „smartes Schließ-System“ gesichert, welches unter anderem per App bedient werden kann, so kann der Zugriffscode abgefangen und unautorisiert genutzt werden. Hinterher finden sich an der Haustür keinerlei Einbruchsspuren, was die Beweispflicht gegenüber der Versicherung entsprechend erschwert. Hier ist unter anderem die MQTT Technologie (Message Queuing Telemetry Transport) sehr stark im Einsatz. Dies ist ein offenes Netzwerkprotokoll für Machine-to-Machine-Kommunikation (M2M), das die Übertragung von Telemetriedaten in Form von Nachrichten zwischen Geräten ermöglicht.1

Erfolgt hier ein unautorisierter Zugriff auf einen MQTT-Server (ein sog. „Broker“), steht dem Angreifer der komplette Zugriff der angehängten Geräte zur Verfügung. Zusätzlich sind in den anhängenden Geräten entweder keine, oder nur unzureichende Sicherheitsmechanismen implementiert, was den unautorisierten Zugriff natürlich weiter erleichtert. Dies gilt auch für entsprechende Applikationen im beruflichen Umfeld, da es hier keinen Unterschied oder speziellen Geräte für den beruflichen bzw. privaten Bereich gibt.

Zusätzlich ist es mit relativ einfachen Mitteln möglich, entsprechende Schwachstellen in den Zugängen über eine entsprechende Anfrage in Suchmaschinen zu finden. So können bestimmte Suchstrings offene Netzwerke, Zugriff auf Überwachungskameras, aber auch SAP Systeme etc., analysiert und genutzt werden. Daher sind hier weitergehende Schutzmaßnahmen zu treffen, um dies möglichst zu verhindern.

Erfahren Sie im zweiten Teil der Serie „IoT (Internet of Things) – Fluch oder Segen?“, Insights über den Smart Home Secruity Report 2019 und wie Sie ihr Heimnetzwerk sicherer machen können.

1 Wikipedia – „Internet of Things“

 

– von Thomas Leger, SAP Security Expert, NTT DATA Business Solutions AG –
E-Mail: [email protected]