IoT-Sicherheit ist die Praxis des Schutzes von Internet of Things (IoT)-Geräten vor Angriffen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Sicherheit von Webanwendungen?
Was ist API-Sicherheit?
Endpunktsicherheit
Man-in-the-Middle-Angriff
Zero-Day-Exploit
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Internet of Things-Geräte (IoT) sind computergestützte, mit dem Internet verbundene Objekte, wie vernetzte Sicherheitskameras, Smart Kühlschränke und WLAN-fähige Fahrzeuge. Bei der IoT-Sicherheit geht es darum, diese Geräte zu schützen und sicherzustellen, dass sie keine Bedrohungen in ein Netzwerk einbringen.
Alles, was mit dem Internet verbunden ist, wird wahrscheinlich irgendwann Ziel eines Angriffs sein. Angreifer können mit einer Vielzahl von Methoden versuchen, IoT-Geräte aus der Ferne zu kompromittieren, vom Diebstahl von Zugangsdaten bis hin zur Ausnutzung von Sicherheitslücken. Sobald sie die Kontrolle über ein IoT-Gerät erlangt haben, können sie es nutzen, um Daten zu stehlen, Distributed-Denial-of-Service-Angriffe (DDoS) durchzuführen oder zu versuchen, den Rest des angeschlossenen Netzwerks zu kompromittieren.
Die IoT-Sicherheit kann eine besondere Herausforderung darstellen, da viele IoT-Geräte nicht mit starken Sicherheitsvorkehrungen gebaut werden – in der Regel konzentrieren sich die Hersteller eher auf Features und Benutzerfreundlichkeit als auf Sicherheit, schließlich wollen sie die Geräte schnell auf den Markt bringen.
IoT-Geräte sind zunehmend Teil des täglichen Lebens und sowohl Verbraucher als auch Unternehmen sehen sich mit IoT-Sicherheitsproblemen konfrontiert.
Alle computergestützten Geräte haben eine Firmware, d. h. die Software, die die Hardware steuert. Bei Computern und Smartphones laufen die Betriebssysteme auf der Firmware; bei den meisten IoT-Geräten ist die Firmware im Wesentlichen das Betriebssystem.
Die meiste IoT-Firmware bietet nicht so viele Sicherheitsvorkehrungen wie die ausgefeilten Betriebssysteme von Computern. Und oft ist diese Firmware mit bekannten Sicherheitslücken behaftet, die in manchen Fällen nicht gepatcht werden können. Dies macht IoT-Geräte anfällig für Angriffe, die auf diese Sicherheitslücken abzielen.
Viele IoT-Geräte werden mit Standard-Benutzernamen und -Kennwörtern für Administratoren geliefert. Diese Benutzernamen und Kennwörter sind oft nicht sehr sicher – zum Beispiel“password“als Kennwort – und schlimmer noch, manchmal haben alle IoT-Geräte eines bestimmten Modells dieselben Anmeldedaten. In einigen Fällen können diese Zugangsdaten nicht zurückgesetzt werden.
Angreifer kennen diese Standard-Benutzernamen und -Kennwörter sehr gut und viele erfolgreiche Angriffe auf IoT-Geräte erfolgen einfach deshalb, weil ein Angreifer die richtigen Anmeldedaten errät.
On-Path-Angreifer positionieren sich zwischen zwei Parteien, die einander vertrauen – zum Beispiel zwischen einer IoT-Sicherheitskamera und dem Cloudserver der Kamera – und fangen die Kommunikation zwischen den beiden ab. IoT-Geräte sind für solche Angriffe besonders anfällig, da viele von ihnen ihre Kommunikation standardmäßig nicht verschlüsseln (Verschlüsselung chiffriert Daten, so dass sie von Unbefugten nicht interpretiert werden können).
Viele IoT-Geräte, wie IoT-Sicherheitskameras, Ampeln und Feuermelder, befinden sich an mehr oder weniger festen Positionen in öffentlichen Bereichen. Wenn ein Angreifer physischen Zugriff auf die Hardware eines IoT-Geräts hat, kann er dessen Daten stehlen oder das Gerät übernehmen. Dieser Ansatz würde jeweils nur ein Gerät betreffen, aber ein physischer Angriff könnte eine größere Wirkung haben, wenn der Angreifer Informationen zur Kompromittierung weiterer Geräte im Netzwerk erhält.
Böswillige Parteien verwenden häufig ungesicherte IoT-Geräte, um in einem DDoS-Angriff Netzwerk-Traffic zu erzeugen. DDoS-Angriffe sind wirkungsvoller, wenn die Angreifer Traffic von einer Vielzahl von Geräten an ihr Ziel senden können. Solche Angriffe sind schwieriger zu blockieren, weil so viele IP-Adressen beteiligt sind (jedes Gerät hat seine eigene IP-Adresse). Eines der größten DDoS-Botnets aller Zeiten, das Mirai-Botnet, besteht größtenteils aus IoT-Geräten.
IoT-Geräte müssen immer dann aktualisiert werden, wenn der Hersteller ein Sicherheitslücken-Patch oder ein Software-Update herausgibt. Diese Updates beseitigen Sicherheitslücken, die Angreifer ausnutzen könnten. Ein Gerät, das nicht über die neueste Software verfügt, kann anfälliger für Angriffe sein, selbst wenn diese nur seit ein paar Tagen veraltet ist. In vielen Fällen werden IoT-Firmware-Updates vom Hersteller und nicht vom Geräteeigentümer kontrolliert, und es liegt in der Verantwortung des Herstellers, dafür zu sorgen, dass Sicherheitslücken gepatcht werden.
Die Zugangsdaten für die Verwaltung von IoT-Geräten sollten nach Möglichkeit aktualisiert werden. Am besten vermeiden Sie die Wiederverwendung von Zugangsdaten für mehrere Geräte und Anwendungen – jedes Gerät sollte ein eigenes Passwort haben. Dies hilft bei der Prävention von Angriffen mit Zugangsdaten.
IoT-Geräte stellen Verbindungen untereinander, zu Servern und zu verschiedenen anderen vernetzten Geräten her. Jedes verbundene Gerät muss authentifiziert werden, um sicherzustellen, dass es keine Eingaben oder Anfragen von Unbefugten akzeptiert.
Ein Angreifer könnte sich zum Beispiel als IoT-Gerät ausgeben und vertrauliche Daten von einem Server anfordern. Wenn der Server jedoch zuerst ein authentisches TLS-Zertifikat verlangt (mehr zu diesem Konzept weiter unten), ist dieser Angriff nicht erfolgreich.
In den meisten Fällen muss diese Art der Authentifizierung vom Gerätehersteller konfiguriert werden.
Der Datenaustausch zwischen IoT-Geräten ist auf dem Weg über das Netzwerk anfällig für externe Parteien und On-Path-Angreifer – es sei denn, die Daten werden durch Verschlüsselung geschützt. Stellen Sie sich die Verschlüsselung wie einen Briefumschlag vor, der den Inhalt eines Briefes auf dem Postweg schützt.
Um On-Path-Angriffe vollständig zu verhindern, muss die Verschlüsselung mit einer Authentifizierung kombiniert werden. Andernfalls könnte der Angreifer getrennte verschlüsselte Verbindungen zwischen einem IoT-Gerät und einem anderen herstellen, ohne dass beide merken, dass ihre Kommunikation abgefangen wird.
Die meisten IoT-Geräte verfügen über eine Vielzahl von Features, von denen einige vom Besitzer möglicherweise nicht genutzt werden. Aber selbst wenn die Features nicht genutzt werden, können sie zusätzliche Ports auf dem Gerät offen halten, falls sie gebraucht werden. Je mehr Ports ein mit dem Internet verbundenes Gerät offen lässt, desto größer ist die Angriffsfläche – oft pingen Angreifer einfach verschiedene Ports auf einem Gerät an und suchen nach einer Öffnung. Wenn Sie unnötige Features des Geräts deaktivieren, werden diese zusätzlichen Ports geschlossen.
Bei der DNS-Filterung werden böswillige Websites über das Domain Name System blockiert. Wenn Sie DNS-Filterung als Sicherheitsmaßnahme in ein Netzwerk mit IoT-Geräten einbauen, verhindern Sie, dass diese Geräte auf Orte im Internet zugreifen, die sie nicht erreichen sollten (d. h. die Domain eines Angreifers).
Mutual Transport Layer Security (mTLS) ist eine Art der gegenseitigen Authentifizierung, bei der sich beide Seiten einer Netzwerkverbindung gegenseitig authentifizieren. TLS ist ein Protokoll, bei dem der Server in einer Client-Server-Verbindung verifiziert wird. mTLS verifiziert beide verbundenen Geräte, anstatt nur eines.
mTLS ist wichtig für die IoT-Sicherheit, da es sicherstellt, dass nur legitime Geräte und Server Befehle senden oder Daten anfordern können. Außerdem verschlüsselt es die gesamte Kommunikation über das Netzwerk, sodass Angreifer sie nicht abfangen können.
mTLS erfordert die Ausstellung von TLS-Zertifikaten für alle authentifizierten Geräte und Server. Ein TLS-Zertifikat enthält den öffentlichen Schlüssel des Geräts und Informationen darüber, wer das Zertifikat ausgestellt hat. Das Vorzeigen eines TLS-Zertifikats, um eine Netzwerkverbindung zu initiieren, ist vergleichbar mit einer Person, die ihren Personalausweis vorzeigt, um ihre Identität zu beweisen.
Cloudflare API Shield schützt IoT-Geräte, indem es IoT-APIs durch die Verwendung einer starken, auf Client-Zertifikaten basierenden Identität und einer strengen, schemabasierten Validierung absichert. Erfahren Sie mehr über Cloudflare API Shield.
Cloudflare Zero Trust unterstützt mTLS sowohl für IoT-Geräte als auch für andere Computing-Ressourcen eines Unternehmens, wie z. B. Laptops von Mitarbeitern und interne Server. Mehr zur Installation von mTLS mit Cloudflare Zero Trust erfahren Sie in unserer Dokumentation. Oder erfahren Sie mehr über mTLS.