IoT-Sicherheit: Tests können Lücken offenbaren

IoT Sicherheit

15.10.2018
Florian Deuring

Das Internet der Dinge hält zunehmend Einzug in Privathaushalte. Geräte, die mit dem Internet verbunden sind, können jedoch von außen angegriffen werden. So erlaubt beispielsweise eine neu entdeckte Sicherheitslücke in einer Waschmaschine den Zugriff auf den verwendeten Webserver. Kurz: Die IoT-Sicherheit ist in vielen Fällen ausbaufähig. Wo konkreter Handlungsbedarf besteht, können spezifische Sicherheitstests zeigen.

Mehrere Risiken im IoT-Umfeld

Wie lässt sich IoT-Sicherheit gewährleisten? — Die Sicherheitsrisiken bei IoT-Geräten werden häufig unterschätzt

IoT-Geräte bergen Sicherheitsrisiken auf mehreren Ebenen. Die erste Ebene ist die Hardware - insbesondere die integrierten Sensoren. Bestimmte Signalarten lassen sich manipulieren, sodass die Sensoren gestört werden und Fehlfunktionen auftreten. Bei einem Hardwarezugriff können Angreifer zudem sensible Daten vom Gerät entwenden. Die zweite Risikoebene ist das Netzwerk und bezieht sich auf den Datenaustausch. Hacker sind hier möglicherweise in der Lage, die Software zu ungewollten Aktionen zu bringen. Ein weiterer Risikofaktor ist die Back-End- oder Cloud-Lösung, auf der verschiedene Services zur Verfügung gestellt werden. Hier werden nicht nur Gerätevorgaben, sondern teils auch Daten gespeichert. Schwachstellen entstehen beispielsweise durch veraltete Software. Die vierte Ebene ist die Applikation. Sie bezieht sich auf Sicherheitslücken in einer Webanwendung oder einem mobilen Endgerät.

Simulierte Angriffe können Sicherheit erhöhen

SySS besitzt langjährige Erfahrung in der Durchführung von Penetrationstests — Hackerangriffe simulieren, um Schwachstellen aufzudecken

Jedes IoT-Gerät erfordert individuelle Tools und Sicherheitstests. Wie eine professionelle Herangehensweise aussehen kann, zeigt das Beispiel der Tübinger SySS GmbH. Der spezialisierte Dienstleister befasst sich bereits seit 1998 mit IT-Sicherheitstests. Die IoT-Sicherheit stellt einen Leistungsbaustein des Unternehmens dar, der zunehmend an Bedeutung gewinnt. Grundsätzlich gestalten die Penentrationstester ihre Vorgehensweise so, dass die Testzeit optimal ausgeschöpft wird und möglichst viele Erkenntnisse entstehen. Identifizierte Schwachstellen werden genau dokumentiert. Auftraggeber erhalten zudem Empfehlungen für das Schließen der erkannten Sicherheitslücken. Die IoT-Pentests werden durch SySS flexibel an die Gegebenheiten des jeweiligen Produkts angepasst. Sie können unter anderem die Analyse der Cloudsysteme, die Prüfung von Webservices, eine API-Analyse, Analysen der Webapplikation und Hardwareanalysen umfassen.

IoT-Sicherheit bereits in der Planung und Entwicklung berücksichtigen

Sicherheitslücken aufdecken und schließen — Jedes IoT-Produkt sollte vor der Markteinführung getestet werden

Die Experten von SySS betonen, dass IoT-Sicherheit bereits in der Planungs- und Entwicklungsphase von IoT-Produkten berücksichtigt werden muss. Insbesondere sei hierbei Wert auf die Kommunikation zwischen den beteiligten Schnittstellen und deren Absicherung zu legen. Zudem empfiehlt SySS, jedes Produkt vor der Markteinführung durch einen unabhängigen Dienstleister testen zu lassen. Ist dies nicht erfolgt, so sollte der Sicherheitstest unbedingt nachgeholt werden.

Mehrere Risiken im IoT-Umfeld

Simulierte Angriffe können Sicherheit erhöhen

IoT-Sicherheit bereits in der Planung und Entwicklung berücksichtigen

Digitale Forensik | Spurensuche in IT-Systemen

Pentest | Sicherheit durch Simulation von Cyber-Attacken