IoT- oder: Wenn die Netzwerkkamera zweimal klingelt

Bei dem Begriff IoT, kurz für „Internet of Things“, denkt man meist an hypermodernes Equipment aus Science-Fiction Filmen oder der Industrie. Dabei sind hiermit alle Gerätschaften gemeint, die autark funktionieren und am Internet als Netzwerk angeschlossen sind. Hierunter fallen beispielsweise Netzwerkkameras, Netzwerk-Babyphones, Heimautomatisierungslösungen wie Heizungssteuerungen oder Beleuchtungslösungen.

Allen ist gemeinsam, dass diese aus Komfortgründen via Internet angesteuert werden können. Dies ist oft beabsichtigt, um beispielsweise aus der Ferne eine Kamera anschauen zu können oder das Babyphone aus dem Garten zu überwachen.

Mehr Informationen hier: https://www.heise.de/security/meldung/185-000-unsichere-Webcams-koennten-Hackern-private-Einblicke-gewaehren-3648458.html

Durch die Zugriffsmöglichkeit über das Internet ergeben sich einige Risiken, die von böswilligen Angreifern ausnutzbar sind.

Problembereiche bei Geräten

Die Sicherheitsprobleme bei IoT-Geräten lassen sich grob in drei Kategorien einteilen:

  1. Gerät hängt direkt am Internet (bsp. durch Portforwarding am Router)
  2. Gerät kommuniziert über eine Cloud-Lösung des Herstellers
  3. Gerät ist als Sprungbrett nutzbar, um tiefer in das Netzwerk einzudringen

Link hierzu: https://www.heise.de/brandworlds/security-hub/praxis/iot-sicherheit-willkommen-im-botnet-der-dinge/

Viele IoT-Geräte werden in der Praxis primär mit Hinblick auf ihre eigentliche Funktion designed und gefertigt. Deren Netzwerktechnik wird oft mit zugekauften Komponenten realisiert, die unter Zeitdruck integriert werden. Dass das Passwort des Systemverwalters einer Netzwerkkamera beispielsweise „abc123“ lautet, ist initial kein Problem, wenn dieses bei der Inbetriebnahme später auch auf ein sicheres Passwort geändert wird, worauf der Hersteller auch hinweist.

Dies passiert häufig nicht, sei es aus Bequemlichkeit, Unwissen oder Ignoranz (Was soll denn schon passieren… ).

Das Netzwerkmodul einer solchen Kamera ist im Prinzip ein kleiner Computer. Ein Hacker kann sich über das Internet mit den nicht geänderten Standard-Zugangsdaten einloggen. Hierzu existieren öffentliche Listen von Standardeinstellungen üblicher Gerät.

Wird ein solches Gerät direkt ans Internet gehängt, beispielsweise via Portforwarding eines Routers, so ist dieses weltweit erreichbar und angreifbar. Ähnliches gilt für Geräte, die mit einer Herstellereigenen Cloud kommunizieren und sensible Daten speichern. Wenn diese kompromittiert wird, lassen sich unter Umständen Fernwartungsfunktionen missbrauchen.

Gegenmassnahmen

Praktikable Gegenmassnahmen bestehen darin, keinem Gerät direkten Zugang zum Internet zu erlauben. Für einen Abruf von ausserhalb wird ein VPN-Zugang eingerichtet, der eine verschlüsselte Verbindung von ausserhalb auf das heimische Netz gestattet. Ein VPN-Zugang lässt sich zunehmend mit Bordmitteln auf Routern wie der Fritz!Box einrichten.

Alternativ kann ein Zugang über die Cloudservices eines vertrauenswürdigen Anbieters stattfinden, wenn das IoT-Gerät Daten nur dorthin überträgt, aber keine Verbindung „rückwärts“ zulässt.

Passwörter für Logins sollten generell einschlägigen Anforderungen an die Komplexizität genügen, um automatisierbaren Angriffen standzuhalten. Eine Mischung aus Groß/Kleinbuchstaben, Zahlen und ggf. Sonderzeichen wird hier empfohlen.

Ein ergänzender Schutz besteht in der Segmentierung des Netzwerks via VLAN-Technik. Auf diese Weise kann ein gehacktes System nicht als Sprungbrett genutzt werden.

Nutzen Sie unter 0201 – 17 1919 7 unseren CNE-Service im Bereich

Wir beraten Sie gerne bei der Einrichtung eines VPN oder VLAN

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

1 + 8 =