Hallo Welt, das sind meine Geheimnisse
Keyfacts über IoT-Produkte
- tolle Produkte, aber zumeist ohne Sicherheitsschutz
- MQTT-Broker zumeist ohne Sicherheitsschutz
- Sicherheit und Vertrauen werden künftig so wichtig wie Qualität und Optik
28. Februar 2017
Würden Sie in ein Flugzeug steigen, wenn sie wüssten, dass die Chancen für einen Absturz bei
50/50 liegen?
Vernetzte Haushaltsgeräte, miteinander kommunizierende Autos und Flugzeuge: Die moderne
Welt macht vieles für uns angenehmer, die Entwicklung geschieht rasend schnell – vielleicht zu
schnell. Beispiele, wieso wir ein riskantes Spiel spielen.
Kennen Sie das Protokoll Message Queue Telemetry Transport (MQTT)? Bestimmt nicht –
dabei sind viele zehntausende Broker jeden Tag im Einsatz, die dieses Protokoll benutzen.
60.000 von ihnen waren über das Internet erreichbar. Zur Erklärung: Broker sind eine Art
Aufnahmezentren, die jeweils Telemetriedaten von hunderttausenden Sensoren erhalten.
MQTT ist das Protokoll, quasi die Sprache, in der die Sensoren ihre Daten an die Broker
übertragen.
1/4
60.000
MQTT-Broker sind frei über das Internet zugänglich.
Was ist aber, wenn ich Ihnen sage, dass die ganze Welt über die vorübergehende
Milcharmut im Kühlschrank Bescheid weiß oder der Hacker für Sie 2000 Liter
Milch bestellt.
Die „Welt“ berichtete über einen kuriosen Fall: Der Sprachassistent Alexa von Amazon
speichert alle Anfragen, die nach dem Ausspruch ´Alexa` an das Gerät gesendet werden. Ein
Kind hatte in den USA mit dem Sprachassistenten unterhalten und dabei ein Puppenhaus und
zwei Kilogramm Kekse bestellt.
Das MQTT-Protokoll ist ein wichtiger Baustein in der Kommunikation zwischen den Geräten
und es wird genutzt um Telemetriedaten zwischen IoT-Sensor und Server auszutauschen.
An sich ist das noch kein Problem: Laut „Heise“ haben die Entwickler und Betreiber beim
Aufsetzen jedoch einfach auf Nutzernamen, Passwörter oder gar Verschlüsselungen verzichtet.
Dabei sind diese Schutzmechanismen im MQTT-Protokoll sogar vorgesehen. War es
Bequemlichkeit, Unwissenheit oder fehlte den Entwicklern die Fantasie, dass ihre Idee
irgendwann den Massenmarkt begeistern wird? Fakt ist, dass die Betreiber der Systeme die
Sicherheits-Mechanismen bislang nicht implementieren oder einschalten.
Heute finden sich diese ungeschützten Sensoren in Autos, in
Erdbebensensoren, in Geldautomaten, sie finden sich in Klimageräten, Leuchten,
in Medizintechnik, TV-Geräten – und sie befinden sich in Flugzeugen und sogar
in Atomkraftwerken.
Zugegeben: Die Qualität der Daten variiert sehr stark. Mal sind es Bitcoin-Daten, Druck,
Nutzernamen und Passwörter, Ortsangaben, Strahlungswerte, Temperatur, Geschwindigkeit
oder sie berichten über die Türsituation im Gefängnis – ist die Zellentür auf oder zu?
Hacker können diese Informationen ohne Probleme einsehen und wenn sie möchten, können
sie diese auch manipulieren. Eigentlich ist das gar kein Geheimnis: Denn jeder kann sich die
Broker im Netz ansehen – hierzu kann man einfach verfügbare Scanner verwenden. Wem
selbst dies zu anstrengend ist, muss lediglich eine Suchmaschine für das Internet der Dinge
bemühen – Shodan beispielsweise.
Wir müssen nur einfach mal darüber nachdenken, was Autobauer alles
2/4
unternehmen, um ihre Fahrzeuge sicherer zu machen. Darüber, dass Hacker ihre
Autos kapern könnten, denken sie allem Anschein nach noch zu wenig nach.
Es ist eigentlich gar nicht so wichtig, welches Beispiel herangezogen wird.
Wichtig ist, dass wir verstehen, dass die neuen Möglichkeiten unser aller Leben
mit jeder Faser betreffen.
Die Gleichung ist eigentlich ganz einfach: Mehr Internet of Things heißt mehr Lebensqualität, es
heißt aber auch gleichzeitig mehr Risiko. Da müssen wir ran. Wer ein Produkt auf den Markt
bringt, der muss sich schon ganz früh in der Entwicklung mit Datenschutz und Sicherheit
befassen.
Sicherheit und Vertrauen werden in nicht allzu ferner Zukunft echte
Verkaufsargumente sein – gleichberechtigt neben Service und Qualität. Wer
heute also beispielsweise einen intelligenten Kühlschrank plant, sollte sein
Produkt um die besagten zwei Pfeiler ergänzen.
Zusammengefasst
»Wichtig ist, dass wir verstehen, dass die neuen Möglichkeiten unser aller Leben mit jeder Faser
betreffen.«
Das Internet of Things macht unser Leben angenehmer. Doch wir setzen uns einem Risiko aus, über
dessen Ausmaß wir gar nicht so richtig Bescheid wissen. Womöglich liegt es daran, dass die
Unternehmen noch nicht so richtig verstanden haben, worauf es beim smarten Auto und Co. wirklich
ankommt.
Marko Vogel
Director, Security Consulting
ÄHNLICHER ARTIKEL
3/4
BLOG
DDoS-Attacke: Angriff der Babyfone
Ein Computer-Angriff zwingt einige der beliebtesten Websites der USA in die Knie. Dahinter stecken
Haushaltsgeräte aus dem „Internet der Dinge“, die für diesen Angriff von...
› MEHR
© KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KMPG International
Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Recht vorbehalten.
4/4
© Copyright 2024 ExpyDoc
