Hallo Welt, das sind meine Geheimnisse Keyfacts über IoT-Produkte - tolle Produkte, aber zumeist ohne Sicherheitsschutz - MQTT-Broker zumeist ohne Sicherheitsschutz - Sicherheit und Vertrauen werden künftig so wichtig wie Qualität und Optik 28. Februar 2017 Würden Sie in ein Flugzeug steigen, wenn sie wüssten, dass die Chancen für einen Absturz bei 50/50 liegen? Vernetzte Haushaltsgeräte, miteinander kommunizierende Autos und Flugzeuge: Die moderne Welt macht vieles für uns angenehmer, die Entwicklung geschieht rasend schnell – vielleicht zu schnell. Beispiele, wieso wir ein riskantes Spiel spielen. Kennen Sie das Protokoll Message Queue Telemetry Transport (MQTT)? Bestimmt nicht – dabei sind viele zehntausende Broker jeden Tag im Einsatz, die dieses Protokoll benutzen. 60.000 von ihnen waren über das Internet erreichbar. Zur Erklärung: Broker sind eine Art Aufnahmezentren, die jeweils Telemetriedaten von hunderttausenden Sensoren erhalten. MQTT ist das Protokoll, quasi die Sprache, in der die Sensoren ihre Daten an die Broker übertragen. 1/4 60.000 MQTT-Broker sind frei über das Internet zugänglich. Was ist aber, wenn ich Ihnen sage, dass die ganze Welt über die vorübergehende Milcharmut im Kühlschrank Bescheid weiß oder der Hacker für Sie 2000 Liter Milch bestellt. Die „Welt“ berichtete über einen kuriosen Fall: Der Sprachassistent Alexa von Amazon speichert alle Anfragen, die nach dem Ausspruch ´Alexa` an das Gerät gesendet werden. Ein Kind hatte in den USA mit dem Sprachassistenten unterhalten und dabei ein Puppenhaus und zwei Kilogramm Kekse bestellt. Das MQTT-Protokoll ist ein wichtiger Baustein in der Kommunikation zwischen den Geräten und es wird genutzt um Telemetriedaten zwischen IoT-Sensor und Server auszutauschen. An sich ist das noch kein Problem: Laut „Heise“ haben die Entwickler und Betreiber beim Aufsetzen jedoch einfach auf Nutzernamen, Passwörter oder gar Verschlüsselungen verzichtet. Dabei sind diese Schutzmechanismen im MQTT-Protokoll sogar vorgesehen. War es Bequemlichkeit, Unwissenheit oder fehlte den Entwicklern die Fantasie, dass ihre Idee irgendwann den Massenmarkt begeistern wird? Fakt ist, dass die Betreiber der Systeme die Sicherheits-Mechanismen bislang nicht implementieren oder einschalten. Heute finden sich diese ungeschützten Sensoren in Autos, in Erdbebensensoren, in Geldautomaten, sie finden sich in Klimageräten, Leuchten, in Medizintechnik, TV-Geräten – und sie befinden sich in Flugzeugen und sogar in Atomkraftwerken. Zugegeben: Die Qualität der Daten variiert sehr stark. Mal sind es Bitcoin-Daten, Druck, Nutzernamen und Passwörter, Ortsangaben, Strahlungswerte, Temperatur, Geschwindigkeit oder sie berichten über die Türsituation im Gefängnis – ist die Zellentür auf oder zu? Hacker können diese Informationen ohne Probleme einsehen und wenn sie möchten, können sie diese auch manipulieren. Eigentlich ist das gar kein Geheimnis: Denn jeder kann sich die Broker im Netz ansehen – hierzu kann man einfach verfügbare Scanner verwenden. Wem selbst dies zu anstrengend ist, muss lediglich eine Suchmaschine für das Internet der Dinge bemühen – Shodan beispielsweise. Wir müssen nur einfach mal darüber nachdenken, was Autobauer alles 2/4 unternehmen, um ihre Fahrzeuge sicherer zu machen. Darüber, dass Hacker ihre Autos kapern könnten, denken sie allem Anschein nach noch zu wenig nach. Es ist eigentlich gar nicht so wichtig, welches Beispiel herangezogen wird. Wichtig ist, dass wir verstehen, dass die neuen Möglichkeiten unser aller Leben mit jeder Faser betreffen. Die Gleichung ist eigentlich ganz einfach: Mehr Internet of Things heißt mehr Lebensqualität, es heißt aber auch gleichzeitig mehr Risiko. Da müssen wir ran. Wer ein Produkt auf den Markt bringt, der muss sich schon ganz früh in der Entwicklung mit Datenschutz und Sicherheit befassen. Sicherheit und Vertrauen werden in nicht allzu ferner Zukunft echte Verkaufsargumente sein – gleichberechtigt neben Service und Qualität. Wer heute also beispielsweise einen intelligenten Kühlschrank plant, sollte sein Produkt um die besagten zwei Pfeiler ergänzen. Zusammengefasst »Wichtig ist, dass wir verstehen, dass die neuen Möglichkeiten unser aller Leben mit jeder Faser betreffen.« Das Internet of Things macht unser Leben angenehmer. Doch wir setzen uns einem Risiko aus, über dessen Ausmaß wir gar nicht so richtig Bescheid wissen. Womöglich liegt es daran, dass die Unternehmen noch nicht so richtig verstanden haben, worauf es beim smarten Auto und Co. wirklich ankommt. Marko Vogel Director, Security Consulting ÄHNLICHER ARTIKEL 3/4 BLOG DDoS-Attacke: Angriff der Babyfone Ein Computer-Angriff zwingt einige der beliebtesten Websites der USA in die Knie. Dahinter stecken Haushaltsgeräte aus dem „Internet der Dinge“, die für diesen Angriff von... › MEHR © KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KMPG International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Recht vorbehalten. 4/4
© Copyright 2024 ExpyDoc