Neue ForeScout-Studie zeigt, dass gängige IoT-Geräte in weniger als drei Minuten gehackt werden können.Die Analyse verdeutlicht die Gefahr, welche IoT-Geräte in Unternehmen mitbringen: Die meisten eröffnen leichten Zugriff in kritische Unternehmensnetze.
Forescout Technologies veröffentlicht heute seinen „IoT Enterprise Risk Report, an dem Samy Kamkar, einer der bekanntesten ethischen Hacker in den USA, maßgeblich beteiligt war. Die Studienergebnisse geben einen Einblick, wie gängige IoT-Geräte in Unternehmen grundlegende Risiken für die Sicherheit von Unternehmen aufwerfen.
„Das IoT ist nicht mehr wegzudenken, doch die Verbreitung und Allgegenwart dieser Geräte vergrößert die Angriffsfläche enorm – und bietet Hackern leicht nutzbare Einfallstore“, erklärt Michael DeCesare, Präsident und CEO, Forescout Technologies. „Die Lösung dieses Problems beginnt mit kontinuierlicher Sichtbarkeit, Transparenz und Kontrolle von IoT-Geräten in Echtzeit, und zwar von dem Augenblick an, in dem sie sich mit dem Netz verbinden. Denn man kann nichts absichern, was man nicht sieht.“
Kamkar untersuchte für die Studie sieben IoT-Geräte, die in Unternehmen häufig verwendet werden, wie beispielsweise über IP verbundene Sicherheitssysteme, intelligente Klimaanlagen und Energiemessgeräte, Videokonferenzsysteme und Netzwerkdrucker. Anhand eines physischen Tests sowie der Analyse unabhängig begutachteter Branchenuntersuchungen gelangt Kamkar zu dem Schluss, dass diese Geräte für Unternehmen erhebliche Risiken mit sich bringen, da sie zumeist keine integrierten Sicherheitsfunktionen besitzen. Bei denjenigen Geräten, die über rudimentäre Sicherheitsfunktionen verfügten, stellte Kamkar fest, dass viele mit gefährlich veralteter Firmware ausgestattet waren.
Im Rahmen seiner Untersuchungen hackte sich Kamkar physisch in eine netzwerkbasierte, für Unternehmen ausgelegte Überwachungskamera ein. Die Kamera wurde in keiner Weise verändert und war mit der neuesten Firmware des Herstellers ausgerüstet. Dennoch erwies sie sich als angreifbar und ermöglichte letztlich die Installation einer Hintertür, die von außerhalb des Netzwerks gesteuert werden konnte. Um den gesamten Hackerangriff zu sehen, besuchen bitte hier klicken.
Die wichtigsten Erkenntnisse aus dem „IoT Enterprise Risk Report“:
- Die sieben untersuchten IoT-Geräte können in nur drei Minuten gehackt werden; die Problembehebung kann dagegen Tage oder Wochen in Anspruch nehmen.
- Wird ein solches Gerät infiziert, können Hacker Hintertüren einrichten, um einen automatisierten IoT-Botnet-DDoS-Angriff zu entwickeln und zu starten.
- Mittels Jamming- oder Spoofing-Techniken können sich Cyber-Kriminelle in intelligente Sicherheitssysteme von Unternehmen einhacken und auf diese Weise Bewegungsmelder, Schlösser und Überwachungstechnik unter ihre Kontrolle bringen.
- Bei VoIP-Telefonen können die Konfigurationseinstellungen ausgenutzt werden, um die Authentifizierung zu umgehen, was Angreifern die Möglichkeit gibt, Telefongespräche abzuhören und mitzuschneiden.
- Über vernetzte Klimaanlagen und Energiemessgeräte können Hacker erreichen, dass wichtige Infrastruktur in kritischen Räumen (zum Beispeil Serverräumen) überhitzt wird, und auf diese Weise physische Schäden anrichten.
Das IoT breitet sich immer mehr aus, und nichts deutet darauf hin, dass sich dieser Trend abschwächen wird. Die Analysten bei Gartner rechnen bis 2020 mit 20 Milliarden vernetzten Geräten, und bis zu ein Drittel davon könnten mit unerkannten Anfälligkeiten in den Netzen von Unternehmen, Behörden, Gesundheitseinrichtungen und Industriebetrieben im Einsatz sein.[1] Hacker wiederum können unsichere Geräte leicht als Ansatzpunkt nutzen, um in ein sicheres Netzwerk zu gelangen und schließlich auf andere Unternehmenssysteme zuzugreifen, auf denen vielleicht Bankdaten, Personalakten oder vertrauliche Geschäftsinformationen gespeichert sind.
Mehr über die Ergebnisse der Untersuchung sowie die Risiken beim Einsatz IoT-fähiger Geräte im Unternehmen erfahren findet man hier.
Untersuchungsmethodik
Für den „IoT Enterprise Risk Report“ bedient sich ForeScout Technologies, Inc. an dem Wissen von Samy Kamkar, einen der weltweit führenden White Hat Hacker. Er wurde beauftragt, die Sicherheitsrisiken zu untersuchen, die IoT-Geräte in Unternehmensumgebungen mit sich bringen. Die Studie hatte das Ziel, Schwachstellen in unternehmenstauglichen Technologien aufzudecken, und benutzte dafür sowohl physische Tests als auch Branchenforschungen, die Peer Reviews unterzogen worden waren.