Granite River Labs, GRL
Sanjay K Sharma
Die rasche Verbreitung von Internet-of-Things (IoT)-Geräten hat unser tägliches Leben mit Bequemlichkeit und Effizienz revolutioniert. Schätzungen zufolge werden bis 2030 weltweit 29 Milliarden IoT-Geräte im Umlauf sein. Dazu gehören Sicherheitsgeräte wie Babyphone, Rauchmelder und Türschlösser sowie Unterhaltungssysteme wie intelligente Kameras, Fernseher, Lautsprecher, tragbare Gesundheitstracker, Hausautomatisierungs- und Alarmsysteme, die es den Menschen ermöglichen, mehrere Facetten ihres Lebens zu verwalten und zu überwachen. Jedoch führt diese Verbreitung der IoT-Geräte zu Risiken der Cybersicherheit. Jedes neue Gerät im Netz kann potentiell ein Eintrittspunkt für die Cyber-Angreifer sein.
However, the rise of IoT also brings about significant cybersecurity risks. Each new device on a network can be a potential entry point for cyber attackers. With many IoT devices lagging behind on the security features front, the lack of regular updates is making IoT systems vulnerable targets for exploitation.
Anstieg der IoT-Malware-Angriffe - 2023
Das Jahr 2023 markiert einen kritischen Wendepunkt für IoT-Sicherheitsbedrohungen. Ein Bericht von Zscaler ThreatLabz zeigt einen atemberaubenden Anstieg der IoT-Malware-Angriffe um 400 % im Vergleich zum Vorjahr1. Dieser dramatische Anstieg unterstreicht die Sicherheitsrisiken, die mit der Verbreitung von vernetzten Geräten verbunden sind.
Die Roku-Cyberattacke 2024
Der Cyberangriff auf Roku im Jahr 2024, bei dem mehr als 576.000 Konten2 kompromittiert wurden, machte die Schwachstellen von IoT-Geräten deutlich und warf wichtige Fragen zum Vertrauen der Verbraucher, zur Einhaltung von Vorschriften und zur Integration von Cybersicherheitsmaßnahmen in technologische Ökosysteme auf.
Kompromierte IoT-Geräte können ein Eintrittspunkt für DDoS-Angriffe, die Infiltration persönlicher Netzwerke und den Diebstahl sensibler Daten sein. Zum Beispiel verwendet die Mirai Botnet-Attacke3 tausende von unsicheren IoT-Geräte, um große Webseiten zu zerstören. Dies zeigt, wie groß diese Gefahr sein kann und möglicherweise Hunderttausende von Menschen durch manipulierte Smart-Kameras, Gesundheitsmonitore usw. gefährdet werden können.
Technische Schwachstellen in IoT-Geräten
Zu den häufigen Schwachstellen in IoT-Geräten, die sie und die mit ihnen verbundenen Netzwerke für Angriffe anfällig machen können, gehören:
- Schwache Authentifizierung: IoT-Geräte, die sich auf Standard-Benutzernamen und -Passwörter verlassen, sind ein leichtes Ziel, da diese veralteten Authentifizierungsmechanismen keinen ausreichenden Schutz mehr gegen moderne Cyber-Angriffe sind.
- Unverschlüsselte gespeicherte Daten: Unverschlüsselt auf IoT-Geräten gespeicherte personenbezogene Daten können leicht extrahiert und missbraucht werden.
- Ungenutzte Schnittstellen: Offene oder ungenutzte Schnittstellen, die nicht richtig gesichert oder deaktiviert sind, können auch von Angreifer genutzt werden, um persönliche Daten zu erhalten oder die Kontrolle über das Gerät zu bekommen.
- Mangel an regelmäßigen Updates: IoT-Geräte ohne regelmäßige Sicherheitsupdates sammeln Schwachstellen an, die mit der Zeit immer leichter ausgenutzt werden können.
Die Rolle der Hersteller: Die Hersteller von IoT-Geräten wurden aufgefordert, die Sicherheitsmaßnahmen zu verbessern, u. a. stärkere Authentifizierungsprotokolle zu implementieren, die Firmware regelmäßig zu aktualisieren und die gespeicherten Daten zu verschlüsseln. Die Verbraucher sind sich dieser Schwachstellen oft nicht bewusst und wissen nicht, wo ihre Daten gefährdet sein könnten. Die Sicherung dieser Geräte ist von entscheidender Bedeutung, und die Hauptverantwortung liegt bei den Herstellern. Die Hersteller müssen der Sicherheit ihrer Produkte Vorrang einräumen, um die Daten und die Privatsphäre der Nutzer zu schützen.
Die Einhaltung grundlegender Cybersicherheitsanforderungen wird für IOT-Geräte für Verbraucher im Rahmen der EU RED verpflichtend, um die CE-Kennzeichnungsanforderungen bis August 2025 zu erfüllen. Darüber hinaus gibt es andere internationale private Zertifizierungssysteme, die ihre Sicherheitsanforderungen an die Standards ETSI EN 303 645, NIST, OSWAP Top 10, CWE 25 und deren Vorgänger angepasst haben. Diese Standards bieten eine solide Sicherheitsgrundlage für vernetzte Verbraucherprodukte durch 13+ Schlüsselempfehlungen, von denen die wichtigsten sind: under EU RED to fulfil CE marking requirements by Aug 2025. Additionally, there are other international private certification schemes aligned their security requirements as per ETSI EN 303 645, NIST, OSWAP Top 10, CWE 25 standards and its predecessors. These standards provide a solid security baseline for connected consumer products through 13+ key recommendations, chief of which are:
- Eliminierung von Standardpasswörtern
- Einführung einer Richtlinie zur Offenlegung von Sicherheitslücken
- Software auf dem neuesten Stand halten
Als akkreditiertes Labor für verschiedene nationale/internationale Normen führt GRL Sicherheitstests für IoT-Geräte, Anwendungen und Telekommunikationsgeräte nach den oben genannten Normen durch. Warten Sie mit der Sicherung Ihrer Produkte nicht, bis es zu spät ist. Bereiten Sie sich proaktiv auf Worst-Case-Szenarien vor, indem Sie sich an IoT-Experten wenden, um Ihre Kunden und Ihre Marke zu schützen.
Über den Autor
Sanjay K Sharma
Stellvertretender Direktor - Cybersicherheitsdienste
Sanjay K. Sharma ist für die Entwicklung von Cybersicherheitsdiensten und die Einrichtung von Evaluierungseinrichtungen nach verschiedenen nationalen, internationalen und Branchenstandards zuständig. Er übernimmt auch die Strategie für IoT und digital vernetzte Technologien.
Quelle
1. Adm Ford. 11 Jan 2024. Securing Public Sector Against IoT Malware in 2024. Zscaler Blog.
2. Ty Roush. 12 Apr 2024. Roku Says 576,000 Accounts Compromised In Latest Security Breach. Forbes.
3. Cloudflare. What is the Mirai Botnet?
