Teil 2: IoT (Internet of Things) – Fluch oder Segen?

Die Sicherheitsexperten von Avast haben nach einer Analyse von 560.000 Sicherheitsscans in deutschen Heimnetzwerken herausgefunden, dass jeder sechste deutsche Haushalt durch Cyberangriffe verletzbar ist. Laut Avast Smart Home Security Report 2019 verfügen 16,7 Prozent der vernetzten deutschen Haushalte über mindestens ein unsicheres Gerät, über das Hacker das gesamte Netzwerk infiltrieren können.¹

Im Zuge der Untersuchung haben die Avast-Analysten ebenfalls begutachtet, welche Geräte in Bezug auf einen Hacker-Angriff die größten Schwachstellen in „Smart Homes“ darstellen.

Die Top-8 Geräte-Schwachstellen in Smart Homes

1. Netzwerkgeräte (31,2 Prozent)
2. Drucker (29,0 Prozent)
3. NAS/Netzwerkspeicher (21,0 Prozent)
4. Sicherheitskameras (11,6 Prozent)
5. Set-Top/Media-Boxen (2,5 Prozent)
6. Fernbedienungen (0,6 Prozent)
7. Tablets (0,2 Prozent)
8. Spielekonsolen (0,1 Prozent)

Gelingt einem Hacker der Zugriff auf eines dieser Geräte und platziert im Router einen Trojaner oder andere Malware, so können sensible Daten (beispielsweise beim Onlinebanking im heimischen W-LAN) mitgelesen und unautorisiert genutzt werden. Der dadurch entstandene Schaden kann hierbei immens sein.

2-Faktor-Authentifizierung für IoT im Smart Home

Daher sollte bei diesen sensiblen Anwendungen die 2-Faktor-Authentifizierung genutzt werden. Hier wird neben dem eigentlichen Zugangs- PIN ein weiterer temporärer Zugangscode generiert, der dem User z.B. per SMS auf sein Handy geschickt wird. Dieser ist nur einmal gültig und ist dann inaktiv bis ein neuer generiert wird. Viele Banken und diverse Portale (auch Social Media Plattformen) nutzen mittlerweile diese Möglichkeit.

Da die Nutzung von smarten Systemen im Bereich „IoT“ sehr schnell voran schreitet, hängt der Sicherheitsaspekt immer noch hinterher. Bei derzeit ca. 6 Milliarden smarten Geräten auf dem Markt ist ein gewisser Teil immer noch ungeschützt.² So ist keine Verschlüsselung hinterlegt und jeder Nutzer kann relativ einfach auf den Router und/oder das Smart Home System zugreifen ohne sich per Zugriffscode zu identifizieren.

6 Grundregeln für ein sicheres Smart Home System

Natürlich gibt es auch hier, wie in vielen anderen Bereichen keine 100%ige Sicherheit bei der Nutzung solcher Systeme. Aber folgenden grundlegenden Dinge sollten auf jeden Fall beachtet werden :

1. Beim Kauf eines Routers sollte das Standard Zugangskennwort geändert werden. Hierbei sollte ein komplexes Passwort genutzt werden (Zahlen, Buchstaben, Sonderzeichen, Gross-/Kleinschreibung).
2. Die WPA2 Verschlüsslung sollte eingeschaltet sein.
3. Nutzen Sie außerhalb des heimischen W-LANs keine öffentlichen HotSpots in Restaurants oder Cafés um sich in das heimische oder Firmennetzwerk einzuloggen. Hier bitte immer die eigentliche Mobilfunkverbindung oder eine externe UMTS Karte nutzen.
4. Ein „Besuch“ von zwielichtigen Seiten (Gewalt Seiten, Pornografische Seiten etc.) sollte ebenfalls möglichst vermieden werden, gerade wenn der Besuch im Firmennetzwerk erfolgt. Auf solchen Seiten ist die Wahrscheinlichkeit eines Trojaners oder anderer Viren, die einen Schaden im Netzwerk anrichten ungleich höher als auf „normalen“ Seiten.
5. Halten Sie Ihre Firmware des Routers immer auf dem aktuellen Stand
6. Neben der Hardware Firewall des Routers sollte auf jeden Fall auch zusätzlich eine entsprechende Software Firewall inkl. Virenscanner installiert sein, die auch smarte Komponenten mitverwalten kann

Fazit

Bei der Nutzung von Geräten in einem Netzwerk, egal ob es sich um ein smart Home System im privaten Bereich oder ein SAP System im beruflichen Umfeld handelt, sind hier einige sicherheitsrelevante Dinge zu beachten.

Der Sicherheits-Gedanke sollte nicht nur auf dem jeweiligen Endgerät liegen, sondern auch an der Kommunikation der Datenströme der Geräte untereinander. So ist z.B. ein Berechtigungskonzept innerhalb eines SAP-Systems eine sehr gute und hilfreiche Sache. Wenn ein Hacker aber bereits unautorisiert auf dem System ist oder die Datenströme einer RFC Verbindung abfangen kann, nutzt dieses Berechtigungskonzept recht wenig.

Somit ist neben dem SAP Security Gedanke auch der Cyber Security Gedanke im beruflichen und privaten Umfeld dringend zu beachten. Eine 100%ige Sicherheit wird es wahrscheinlich nie geben, aber durch den Einsatz des „gesunden Menschenverstands“ und entsprechender Technologien und Konzepte kann das Angriffsrisiko entsprechend minimiert werden.

Lesen Sie im ersten Teil der Blogreihe „IoT (Internet of Things) – Fluch oder Segen?“, wie Hacker bei unzureichenden Sicherheitsmaßnahmen Daten abgreifen.

^{1 homesmart.de
2 Kaspersky}

– von Thomas Leger, SAP Security Expert, NTT DATA Business Solutions AG –
E-Mail: [email protected]