Seit dem Mirai-Botnetz ist klar, dass billige IoT-Geräte aufgrund ihrer Standard-Logins ein leichtes Opfer für DDOS-Attacken darstellen. Damit ist Sicherheit zu einem zentralen Thema beim Einsatz von IoT-Geräten geworden.

Was kann getan werden?

Eine mögliche und effektive Lösung für IoT-Sicherheit besteht darin, Benutzern die Möglichkeit einzuräumen, ihre Anmeldedaten für Smart-Geräte problemlos zu ändern. Das hilft zwar nur gegen die einfachen Methoden der Cyber-Kriminellen, doch genau diese wurden und werden ja am häufigsten eingesetzt. Die Hersteller können ihre Kunden beispielsweise dazu bringen, im Anmeldeprozess für ihre Geräte ein eindeutiges und „starkes“ Passwort zu vergeben. Ein einfacher Schritt, der durch diese Änderungen der Anmeldedaten die Anzahl „anfälliger“ Geräte reduziert. Für Hacker und Bots ist die Übernahme von IoT-Geräten dann nicht mehr so leicht möglich. Eine gute, alternative Methode, die Hersteller schnell einführen könnten, ist jedem IoT-Geräte ein eindeutiges, zufällig generiertes Passwort zuzuweisen. Dieses wird dann dem Kunden zusammen mit dem Gerät übergeben.

Das Problem mit der Verschlüsselung

Es stellt sich jedoch als wesentlich schwieriger und aufwändiger heraus, Sicherheit gleich von Anfang an in Geräte zu integrieren. Ein Beispiel dafür ist Verschlüsselung. Dabei lassen sich die Daten, die ein IoT-Gerät sammelt, sowohl auf dem Gerät als auch während der Übertragung an ein anderes Gerät (oder während der Analyse in der Cloud) verschlüsseln. Beschäftigt man sich mit diesem Thema intensiver, findet man schnell heraus, dass es viele sehr gute Empfehlungen hinsichtlich geeigneter und verfügbarer Algorithmen und Schlüssellängen gibt. Dazu stehen auch einige interessante Open-Source-Verschlüsselungslösungen bereit. Es ist jedoch auch ein wichtiger Punkt, dass es wesentlich komplizierter ist, die damit jeweils verbundenen Codes zu schützen und zu verwalten – und durch unzureichendes Schlüsselmanagement wird der ganze Prozess hinfällig. Ein schlecht verwalteter Schlüssel kann die chiffrierten Daten unbrauchbar machen, wenn zum Beispiel der zum Verschlüsseln verwendete Code während der Authentifizierung nicht zur Verfügung gestellt werden kann. Hinzu kommt, dass die enorme Anzahl an IoT-Geräten die Herausforderungen der Verschlüsselung und des Schlüsselmanagements exponentiell erhöht.

Ein Lichtblick

Hier sollte auch erwähnt werden, dass leider zu viele IoT-Gerät für eine leistungsfähige Verschlüsselung nicht genug Rechenleistung bieten. Ohne ausreichenden Speicherplatz ist eine funktionierende SSL-Implementierung eigentlich unmöglich. Wir können davon ausgehen, dass Hersteller von IoT-Geräten, insbesondere für Endverbraucher, weiterhin unzulänglich oder gar nicht gesicherte Produkte auf den Markt bringen werden. Das lässt sich aktuell nur schwer beeinflussen. Doch der Druck von außen auf die Produzenten und Lösungsanbieter nimmt zu. Die Nachfrage nach mehr Sicherheit und Datenschutz wächst im gleichen Maße. Es existiert bereits eine kleine, aber wachsende Gruppe von Konsumenten, die sich ernsthaft Gedanken über die Sicherheit dieser Geräte macht. So sind zum Beispiel gerade die Geräte im Gespräch, die potenziell alles abhören können, was in ihrer Nähe gesprochen wird.

Die ersten großen Angriffswellen, wie beispielsweise durch das Mirai-Botnetz, haben zudem die Aufmerksamkeit von Sicherheitsexperten geweckt. Der durchschnittliche Kunde ist sich der Reichweite dieser Angriffe meist noch gar nicht bewusst.

IoT-Welt im Blick behalten

Es lässt sich nicht jede Sicherheitslücke mit zuverlässiger IoT-Überwachung schließen. Doch durch kontinuierliches Monitoring können Sicherheitsrisiken besser identifiziert und dann Lücken geschlossen werden. Zuverlässig ist das nur möglich, wenn IoT-Geräte zentral verwaltet und überwacht werden. Geeignete Monitoring-Tools lassen sich schnell und problemlos integrieren – Voraussetzung ist allerdings, dass die Lösung die technischen Möglichkeiten bietet, neben klassischer IT-Infrastruktur auch IoT-Geräte zu überwachen. Fast ebenso wichtig ist eine intuitiv bedienbare Oberfläche: Nur wenn eine Lösung einfach und benutzerfreundlich ist, wird sie auch genutzt.