IoT-Sicherheit: Tests können Lücken offenbaren

IoT Sicherheit

Datum:
  • 15.10.2018
Das Internet der Dinge hält zunehmend Einzug in Privathaushalte. Geräte, die mit dem Internet verbunden sind, können jedoch von außen angegriffen werden. So erlaubt beispielsweise eine neu entdeckte Sicherheitslücke in einer Waschmaschine den Zugriff auf den verwendeten Webserver. Kurz: Die IoT-Sicherheit ist in vielen Fällen ausbaufähig. Wo konkreter Handlungsbedarf besteht, können spezifische Sicherheitstests zeigen.

Mehrere Risiken im IoT-Umfeld

IoT-Geräte bergen Sicherheitsrisiken auf mehreren Ebenen. Die erste Ebene ist die Hardware - insbesondere die integrierten Sensoren. Bestimmte Signalarten lassen sich manipulieren, sodass die Sensoren gestört werden und Fehlfunktionen auftreten. Bei einem Hardwarezugriff können Angreifer zudem sensible Daten vom Gerät entwenden. Die zweite Risikoebene ist das Netzwerk und bezieht sich auf den Datenaustausch. Hacker sind hier möglicherweise in der Lage, die Software zu ungewollten Aktionen zu bringen. Ein weiterer Risikofaktor ist die Back-End- oder Cloud-Lösung, auf der verschiedene Services zur Verfügung gestellt werden. Hier werden nicht nur Gerätevorgaben, sondern teils auch Daten gespeichert. Schwachstellen entstehen beispielsweise durch veraltete Software. Die vierte Ebene ist die Applikation. Sie bezieht sich auf Sicherheitslücken in einer Webanwendung oder einem mobilen Endgerät.
ZUM THEMA:

Simulierte Angriffe können Sicherheit erhöhen

Jedes IoT-Gerät erfordert individuelle Tools und Sicherheitstests. Wie eine professionelle Herangehensweise aussehen kann, zeigt das Beispiel der Tübinger SySS GmbH. Der spezialisierte Dienstleister befasst sich bereits seit 1998 mit IT-Sicherheitstests. Die IoT-Sicherheit stellt einen Leistungsbaustein des Unternehmens dar, der zunehmend an Bedeutung gewinnt. Grundsätzlich gestalten die Penentrationstester ihre Vorgehensweise so, dass die Testzeit optimal ausgeschöpft wird und möglichst viele Erkenntnisse entstehen. Identifizierte Schwachstellen werden genau dokumentiert. Auftraggeber erhalten zudem Empfehlungen für das Schließen der erkannten Sicherheitslücken. Die IoT-Pentests werden durch SySS flexibel an die Gegebenheiten des jeweiligen Produkts angepasst. Sie können unter anderem die Analyse der Cloudsysteme, die Prüfung von Webservices, eine API-Analyse, Analysen der Webapplikation und Hardwareanalysen umfassen.

IoT-Sicherheit bereits in der Planung und Entwicklung berücksichtigen

Die Experten von SySS betonen, dass IoT-Sicherheit bereits in der Planungs- und Entwicklungsphase von IoT-Produkten berücksichtigt werden muss. Insbesondere sei hierbei Wert auf die Kommunikation zwischen den beteiligten Schnittstellen und deren Absicherung zu legen. Zudem empfiehlt SySS, jedes Produkt vor der Markteinführung durch einen unabhängigen Dienstleister testen zu lassen. Ist dies nicht erfolgt, so sollte der Sicherheitstest unbedingt nachgeholt werden.
In Summe bleibt festzuhalten, dass die Relevanz der IoT-Sicherheit von vielen Herstellern immer noch unterschätzt wird. Penetrationstests, wie sie von SySS angeboten werden, können wesentlich dazu beitragen, Risiken zu minimieren und Vertrauen bei Endkunden zu schaffen.