Star-Wars-Marsch auf IoT-Vibratoren

Unerwünschtes Eindringen in Unternehmen über das Internet der Dinge – Hacking 2016
Unerwünschtes Eindringen in Unternehmen über das Internet der Dinge – Hacking 2016

Spezielle Sicherheitsattacken

Star-Wars-Marsch auf IoT-Vibratoren

Von Annegret Handel-Kempf

Der Sicherheitsexperte hat Sorge, ob er mit einem „Ehe-Hygiene-Produkt“ in seinem Gepäck Probleme beim Einchecken am Flughafen bekommt. Schließlich soll man in Hamburg wie in München live erleben, wie es irgendwo im Raum rüttelt und stöhnt, am Ende der Imperial March aus dem Star-Wars-Soundtreck ertönt. Erfolgreich gehackte, unüberhörbare Vibratoren, die sich – auch für Fernbeziehungen – über Smartphone-Apps steuern lassen, demonstrieren die Bandbreite des Internets der Dinge, inklusive unerwünschten Eindringens und Erpressbarkeit, im IoT-Jahr 2016.

„Wenn wir über das Internet der Dinge sprechen, sprechen wir auch über die Sicherheitslücken zwischen den Geräten, über Backend-Möglichkeiten“, sagte Udo Schneider, Security Evangelist DACH beim japanischen IT-Sicherheitsanbieter Trend Micro, bei der Preview in München mit Blick auf das Technik-Schwerpunktthema des Jahres. Die Vernetzung von Produktionsanlagen, Smartwatches, Wearables wie Fitness-Armbändern, sowie vielen anderen Smart-Devices und intelligenten Maschinen, wird zusammengefasst unter dem Begriff „Internet der Dinge“. Dieses „IoT“ (Internet of Things) ist fühlbar als allgegenwärtige Verstrickung. Selbst beim Schwangerschaftstest mit Bluetooth-Anbindung – und bei Vibratoren mit eigener Smartphone-App. Die ungeschützte Angreifbarkeit der Privat-Geräte hat Folgen, die bis zu Durchgriffsmöglichkeiten in die Firmennetzwerke reichen.

(..) TEXT AN DIESER STELLE GEKÜRZT, LIEGT KOMPLETT VOR !

Nicht nur die privaten Smartphones und Tablets, mit denen auf Firmendaten, wie Emails, Kontakte, Kalender oder das Customer-Relationship-System zugegriffen wird, sind mittlerweile für Sicherheit und Kontrolle durch die Unternehmen problematisch. Auch smarte Endgeräte, wie Vibratoren, die möglicherweise mit in die Arbeit genommen werden, sorgen laut Trend Micro für eine „Kompromittierung der Geräte und Daten“ und letztlich zu einer „Kompromittierung des Backend“, also der Datenverarbeitung im Hintergrund.

(..) TEXT AN DIESER STELLE GEKÜRZT, LIEGT KOMPLETT VOR !

Das Horrorszenario für die Firma, ausgehend vom Privatvergnügen: Im Erfolgsfall haben Cyberkriminelle den TM-Sicherheitsexperten zufolge das gesamte Backend, als Sammelsurium verschiedenster Technologien, unter Kontrolle, inklusive aller daran angeschlossener Geräte. Schlimmer noch: Smart-Devices dienten als potentielle „Brückenköpfe“ ins Firmennetzwerk – deren Kompromittierung gar nicht der eigentliche Zweck sei. Auch das Backend sei eher „Beifang“: Der Fokus liege auf den Unternehmensnetzwerken. Eine große Rolle spiele hierbei das Ausnutzen von Sicherheitslücken, speziell solchen, für die es noch kein „Gegenmittel“ gibt („Zero-Day-Exploits“).

„IoT – da kommt auf uns ein deutlich größeres Datenschutz-Problem zu, als mit allen bisherigen Technologien. Ein smartes Endgerät wird nicht mehr als gefährdetes Gerät wahrgenommen“, beschrieb Schneider bei der Vorführung auf der Preview die aktuelle Lage.

Um smarte Endgeräte im Besonderen und die Komponenten des „Internets der Dinge“ im Allgemeinen absichern zu können, bedarf es laut Eva Chen, der CEO Trend Micros (und von V3 Magazin als eine der zehn ambitioniertesten Frauen im Technologiebereich ausgezeichnet), einer mehrstufigen Herangehensweise. Neben der Sicherheits-Programmierschnittstelle (API), sei ein „Intrusion-Prevention-System der nächsten Generation“ nötig. Das heißt, IT-Verantwortliche benötigten einen Überblick darüber, wie viele IoT-Geräte sie haben. Dann könnten sie Sicherheitslücken auf diesen neuen Geräten blockieren und eine Signatur dafür erstellen, bevor Angriffe von außen das Innere erreichen.

Das Patchen bzw. Schließen von Sicherheitslücken im Internet der Dinge sei problematischer als bei IT-Systemen. Denn smarte Endgeräte aus dem Internet der Dinge (auch die professionell und bewusst eingesetzten, nicht die zufällig in die Firma gebrachten wie Vibratoren) würden in sensiblen Branchen zum Zug kommen: In den Finanz-, Gesundheits- und Fertigungsbranchen. Diese „neuen“ Netzwerke sollten von den Unternehmensnetzwerken getrennt sein, beide sollten nicht miteinander verbunden sein und über separate Schutzvorrichtungen verfügen.

(..) TEXT AN DIESER STELLE GEKÜRZT, LIEGT KOMPLETT VOR !

Was ist jetzt aber mit den gehackten Vibratoren, die gehackt privat und professionell zugleich riskant sind? „Trend Micro wird nicht anfangen, Ehe-Hygiene-Geräte zu schützen“, so Schneider. „Den Schutz der Infrastruktur, Cloud, Rechenzentren, Backend machen wir seit Jahrzehnten.“ TM kümmere sich um API Security, Network Security und Cloud Security – um klassisches TM Security Geschäft.

Dass die Sicherheit bei Smart-Devices zu kurz kommt, liege oft an Komfortaspekten oder dem Versuch, die Produkteinführungszeit („time-to-market“) kurz zu halten.

Besonders riskant ist die Verführung zum Herstellungskosten-Sparen beim Internet der Dinge: Mit Bluetooth-Enablern, die weniger als 50 Cent kosten, plus WLAN, mit Zusatzkosten von einem Dollar 50 Cent, würden bestehende Geräte ganz einfach erweitert, um über die Smartphone-/Internet-Anbindung einen Mehrwert zu erreichen. Hinzu kommt eine Smartphone-App, laut Schneider: „schnell zusammengeklöppelt, Sicherheit kommt erst ganz, ganz am Ende“.
Nach der Kompromittierung aller Geräte und Daten? Nach der Kompromittierung des Backend? Nachdem kleine, private Netzwerkgeräte zum Eintrittstor ins Firmennetz geworden sind? Schneider: „Bei einer Smartwatch, die im Firmennetz hängt, habe ich eh verloren.“

Wie kann aber ein Hacker einen Vibrator benutzen, um in die Firma hineineinzukommen? „Wenn ich über Bluetooth etc. merke, ein Mitarbeiter hat einen mit, kann dieses Wissen zu klassischer Erpressung genutzt werden, um indirekt in die Firma zu kommen“, erläutert der Evangelist. Und empört sich darüber hinaus: „Beim Schutz der Geräte und der Geräteschnittstellen wird gegen Windmühlen geredet. Security? Weg damit, sagen die Hersteller. Sie wollen möglichst schnell in den Markt“.

Ernüchternd: „Die Geräte kann man kaum noch sichern.“ Und: „Die Wahlmöglichkeit, Internet der Dinge nicht zu machen, haben wir nicht“, so Schneider. Der Rattenschwanz hinter IoT-Geräten seien Smartphone-Apps, Backend-Probleme, Datenschutzprobleme….

(..) TEXT AN DIESER STELLE GEKÜRZT, LIEGT KOMPLETT VOR !

Bislang wenig beachtet würde der Unterschied zwischen Smartphones, die von IT-Experten stammen, oder einfachen Konsumer-Geräten wie Kühlschränken, auf die einfachste Firmware und Backends „draufgesetzt und zusammengestöppelt“ werden. Schneider empört: „So etwas könnte kein Student als Hausarbeit abgeben! Security und vernünftige Entwicklung: Vergessen Sie es!“.

Vom Starwars-Marsch-Vibrator bis zum potenziell durchdrehenden Kühlschrank: Im Internet der Dinge zeigt sich der plakativen Demo zufolge ein ganz klassischer Konflikt, den Schneider so zusammenfasst: „Komfort gegen Security – Komfort gewinnt“.

Stahlwände aus Codezeilen gegen Bremssysteme-Hacking

(..) TEXT AN DIESER STELLE GEKÜRZT, LIEGT KOMPLETT VOR !

„Unsere Technologie kann man sich vorstellen wie einzelne Schließfächer in einem Banktresor. Wir packen alle Anwendungen, die man zum Beispiel für dienstliche Telefonate und Mails benötigt, in einen Safe und setzen diesen völlig isoliert in eine Smartphone-Umgebung“, erläutert Michael Backes, Professor für IT-Sicherheit der Universität des Saarlandes und Gründer der Firma Backes SRT. Beispielsweise habe nur der Arbeitgeber den Schlüssel zum Safe und könne von außen Updates aufspielen, Zugriffsrechte vergeben oder gestohlene Handys wieder aufspüren. „Das für diese Nutzung benötigte Programm lässt sich auf allen Android-Smartphones ganz einfach über eine App installieren. Private und dienstliche Programme und darüber gespeicherte Daten werden völlig voneinander getrennt“, erläutert Backes.

Die komplexe Technologie, die wie Tresore mit stählernen Wänden funktioniert, umfasst etwa eine halbe Million Codezeilen. Apps sollen sich damit nicht mehr gegenseitig beeinflussen oder gar ausspionieren können. „Niemand kann Schadsoftware auf das Smartphone einschleusen“, erklärt Backes. Es bestehe also keine Gefahr mehr, wenn der Mitarbeiter auf dem Diensthandy die sozialen Netzwerke privat nutze oder auch mal ein Computerspiel dazwischen schiebe.

Unerwünschtes Eindringen in Unternehmen über das Internet der Dinge – Hacking 2016

„Wenn wir über das Internet der Dinge sprechen, sprechen wir auch über die Sicherheitslücken zwischen den Geräten, über Backend-Möglichkeiten“, sagte Udo Schneider, Security Evangelist DACH beim japanischen IT-Sicherheitsanbieter Trend Micro, bei der Preview zu den IT-Themen des Jahres in München. Die Vernetzung von Produktionsanlagen, aber auch Smartwatches, Wearables wie Fitness-Armbändern, sowie vielen anderen Smart-Devices und intelligenten Maschinen, wird zusammengefasst unter dem Begriff „Internet der Dinge“. Dieses „IoT“ (Internet of Things) ist fühlbar als allgegenwärtige Verstrickung. Selbst beim Schwangerschaftstest mit Bluetooth-Anbindung – und bei Vibratoren mit eigener Smartphone-App. Die ungeschützte Angreifbarkeit der Privat-Geräte hat Folgen, die bis zu Durchgriffsmöglichkeiten in die Firmennetzwerke reichen.

(..) TEXT AN DIESER STELLE GEKÜRZT, LIEGT KOMPLETT VOR !

Nach der Kompromittierung aller Geräte und Daten? Nach der Kompromittierung des Backend? Nachdem kleine, private Netzwerkgeräte zum Eintrittstor ins Firmennetz geworden sind? Schneider: „Bei einer Smartwatch, die im Firmennetz hängt, habe ich eh verloren.“

Wie kann aber ein Hacker einen Vibrator benutzen, um in die Firma hineineinzukommen? „Wenn ich über Bluetooth etc. merke, ein Mitarbeiter hat einen mit, kann dieses Wissen zu klassischer Erpressung genutzt werden, um indirekt in die Firma zu kommen“, erläutert der Evangelist. Und empört sich darüber hinaus: „Beim Schutz der Geräte und der Geräteschnittstellen wird gegen Windmühlen geredet. Security? “Weg damit”, sagen die Hersteller. Sie wollen möglichst schnell in den Markt“.

(..) TEXT AN DIESER STELLE GEKÜRZT, LIEGT KOMPLETT VOR !

Internet der Dinge von einer ganz neuen Seite. Persönliche Daten werden ausgelesen und manipuliert. Beobachtet wurden bereits Hacker-Attacken auf individualisierte Internet-Toiletten mit Rundum-Comfort, die besonders in Japan beliebt sind, sich aber auch in Europa ausbreiten. „Zu heiß geföhnt“ wurden die Nutzer, erzählte Schneider von weiteren launig klingenden Tücken des Internets der Dinge, die hinten nach für größeres Unbehagen sorgen können.

„Der ganze Zoo an Problemen, den wir seit Jahren kennen. Der Nachgang von IoT bei Geräten, bei denen wir gar nicht damit rechnen würden“, bilanzierte Schneider. „Was passiert, wenn wir es schaffen, das Backend zu hacken? Wir kommen auf die Geräte und auf die Rechner.“

Bislang wenig beachtet würde der Unterschied zwischen Smartphones, die von IT-Experten stammen, oder einfachen Konsumer-Geräten wie Kühlschränken, auf die einfachste Firmware und Backends „draufgesetzt und zusammengestöppelt“ werden. Schneider empört: „So etwas könnte kein Student als Hausarbeit abgeben! Security und vernünftige Entwicklung: Vergessen Sie es!“.

Vom Vibrator bis zum potenziell durchdrehenden Kühlschrank: Im Internet der Dinge zeigt sich ein ganz klassischer Konflikt, den Schneider so zusammenfasst: „Komfort gegen Security – Komfort gewinnt“."


KOMPLETTER TEXT UND BILDAUSWAHL SIND SOFORT LIEFERBAR !!

TEXT: Annegret Handel-Kempf
FOTOS: Bildagentur Zoonar
Medienübersicht
  • Text
  • Foto
  • Illustration
  • Grafik
  • Animation
  • Ton
  • Film
Star-Wars-Marsch auf IoT-Vibratoren Unsere Preise für Text, Fotos und Grafik pro Thema
Individuelle Preisvereinbarung: info@reportagen.de
+49 (0)40 390 92 91
Blog & Social Media
Der Preis wird individuell mit Ihnen vereinbart. Er ist abhängigkeit davon wie lange Sie den Beitrag veröffentlichen wollen, wie häufig oder wie viele Beiträge Sie erwerben und ob Sie eine Exklusivität (Unique Content) wünschen. In der Regel werden zum Festpreis drei Fotos oder ersatzweise Grafiken, Illustrationen sowie der kompletten Text geliefert. Copyrighthinweise müssen entweder unter dem Text bzw. Fotos oder im Impressum genannt werden.

Hinweis: Wir produzieren als ABO regelmäßige Blogbeiträge passend zu Ihrer Zielgruppe die wir "Just-In-Time" liefern. Sprechen Sie uns bei Interesse an!
Absprache
Internet & Online-Magazin
Der Preis wird individuell mit Ihnen vereinbart. Er ist abhängigkeit davon, wie lange Sie den Beitrag veröffentlichen wollen, wie häufig oder wie viele Beiträge Sie erwerben und ob Sie eine Exklusivität (Unique Content) wünschen. In der Regel werden zum Festpreis drei Fotos oder ersatzweise Grafiken, Illustrationen sowie der kompletten Text geliefert. Copyrighthinweise müssen entweder unter dem Text bzw. Fotos oder im Impressum genannt werden.

Hinweis: Sie können als regelmäßig passende Beiträge mit Text und Fotos von uns erhalten. Wir vereinbaren gerne individuelle Preise. Sprechen Sie uns bei Interesse an.
Absprache
Tageszeitung Komplettpreis
Wir verhandeln in der Regel Pauschalpreise für komplette Reportagen (Texte, Fotos, Grafiken) je nach Auflage und Umfang mit unseren Kunden. Bitte nehmen Sie Kontakt mit uns auf, wenn Sie Interesse an einem Thema haben. Klicken Sie dafür einfach auf den "Bestellen" Button.
VB
Print bis Auflage 300.000 pro Seite
Wir verhandeln in der Regel Pauschalpreise für komplette Reportagen (Texte, Fotos, Grafiken) je nach Auflage und Umfang mit unseren Kunden. Bitte nehmen Sie Kontakt mit uns auf, wenn Sie Interesse an einem Thema haben. Klicken Sie dafür einfach auf den "Bestellen" Button.
VB
Print > 300.000 pro Seite
Wir verhandeln in der Regel Pauschalpreise für komplette Reportagen (Texte, Fotos, Grafiken) je nach Auflage und Umfang mit unseren Kunden. Bitte nehmen Sie Kontakt mit uns auf, wenn Sie Interesse an einem Thema haben. Klicken Sie dafür einfach auf den "Bestellen" Button.
VB
Merchandising Lizenz
Sie können viele Texte, Fotos, Videos, Grafiken und Illustrationen auch für Bücher, Kalender, Software, Spiele, Werbegeschenke, Sammelalben oder sonstige Handelsprodukte erwerben. Hierfür vereinbaren wir mit Ihnen individuelle Preise je nach Vorhaben.
Absprache
TV & Video, Hörfunk
Videos, Filme und Tonbeiträge können bei Reportagen.de derzeit nur mit Screenshoots und textlicher Beschreibung dargestellt werden. Wenn Sie Interesse daran haben, einen Film zu veröffentlichen, dann sprechen Sie uns bitte an. Wir liefern Ihnen zuerst einige Videos zur Vorabansicht. Bei weiterhin vorhandenem Interesse erfolgt eine Preisabsprache und anschließend die Produktion bzw. Auslieferung des Endproduktes gemäß Vereinbarung.
Absprache

Reportage kaufen