Ihr seid dafür verantwortlich, dass es besser läuft! – Cedric Mössner
Am 21. Oktober 2021 fand das Virtual Job Event von get in IT mit dem Special IoT & Embedded Systems statt. Im Programm der job I/O erzählten Expert:innen aus der IT-Branche von ihren Erfahrungen aus der Praxis, gaben Tipps zum Jobeinstieg und beantworteten Deine Fragen im Live-Chat.
Mit einer Special-Live-Session zur IoT Security war Cedric Mössner vom YouTube-Kanal The Morpheus Tutorials für volle 60 Minuten am Start. Er gab Einblicke in die Schwachstellen, die IoT-Geräte häufig mit sich bringen und Tipps, wie Du Deine Devices speziell vor Cyber-Kriminellen schützen kannst.
Keine Zeit gehabt und trotzdem Lust auf eine Stunde volles IoT-Security Programm mit Morpheus? Sieh Dir sein Level Up einfach hier nachträglich in Ruhe an.
Hier siehst Du die Session der job I/O in voller Länge:
Roboter, Waschmaschinen und smarte Türschlösser: Im IoT sind immer mehr Geräte vernetzt. Das hat für die Nutzer:innen viele Vorteile – bringt aber auch neue Security Risks mit sich. Cedric zeigte Euch in seiner Live Session, welche Gefahren vom IoT ausgehen, warum Standard-Passwörter ein Sicherheitsrisiko darstellen, wie einfach man die smarte Waschmaschine des Chefs im Internet aufstöbern könnte und wie Du Dich und Deine Geräte effektiv davor schützt.
Speaker
Suchmaschinen für IoT-Geräte: Was ist Shodan?
Shodan ist eine Gerätesuchmaschine und seit 2009 online. Sie scannt Devices im Netz und z. B. auch alle Ports, die sie finden kann. Mit ihr kann jemand Router aufspüren, die Stadt Berlin nach Open FTP Servern durchstöbern oder Webcams weltweit finden,... also fast alles, was mit dem Internet verbunden ist.
Die zeigt mir hier auch schon was an. Es scheint wohl gerade Nacht in Korea zu sein. – Cedric Mössner
Die bloße Anzahl an verwundbaren Geräten, die Cedric aufstöberte, war enorm. Natürlich sind zahlreiche Systeme und Devices absichtlich auffindbar – sogenannte Honeypots.
Was sind Honeypots und wie funktionieren sie?
Ein Honigtopf ist im IT-Jargon z. B. ein Device oder Netzwerk, das sich als interessantes Ziel für Hacker:innen präsentiert. Es wirkt augenscheinlich wenig bis gar nicht geschützt und so echt und lukrativ wie möglich. Um das zu erreichen, können Honeypots z. B. (Fake-)Nutzerdaten enthalten oder echte Anwendungen. Doch warum das Ganze? Ein Honeypot ist von allen relevanten Systemen isoliert und bietet deswegen keine echte Schwachstelle. Stattdessen verfügt er über zusätzliche Sicherheitssysteme, die es ermöglichen:
Hackerangriffe zu dokumentieren,
sie zurückzuverfolgen und
Cyberattacken methodisch zu analysieren.
Außerdem sind Honeypots “Decoys” also Ablenkungen, die Cyber-Kriminelle von anderen Systemen fern halten sollen.
Bei anderen Devices in den Ergebnissen bei Shodan handelt es sich leider um keine Honeypots, sondern schlichtweg schlecht gesicherte Geräte. Bei einigen zeigte Cedric generelle IoT Sicherheitsprobleme auf, wie z. B. Standard-Passwörter. Noch vor garnicht allzulanger Zeit, wurden ganze Produktserien z. B. bei Routern mit ein und demselben Standard-Passwort ausgeliefert. Der geneigte Laie musste das Passwort dann schnell ändern, damit er nicht Tür und Tor für den oder die erstbeste:n Hacker:in öffnete. Schon ziemlich surreal aus der heutigen Perspektive, oder?
Warum gibt es solche Suchmaschinen wie Shodan?
Cedric erklärte, dass die Informationen auf Shodan für Hacker:innen zwar zur Verfügung stehen, man aber für die Nutzung z. B. seine Zahlungsdaten hinterlegen muss und deswegen gut nachverfolgbar sei. Deswegen sei Shodan kein “Hacker-Tool”, sondern vor allem für Forscher:innen wichtig:
Hacker können sowieso an diese Daten kommen. Einen Portscan durchzuführen gehört zum täglichen Brot eines Netzwerkadministrators und Shodan macht nichts anderes, außer die Daten danach zur Verfügung zu stellen. – Cedric Mössner
Vor allem für die Wissenschaft sind solche Search Engines hilfreich. Die aggregierten Daten dienen dazu, Sicherheitslücken zu entdecken und Betroffene rechtzeitig zu informieren. Forscher:innen können die Suchmaschine dafür nutzen, Unternehmen und Privatpersonen zu warnen und Handlungsempfehlungen an Hersteller:innen und Produzent:innen zu geben.
Wie kannst Du Dich schützen?
Täglich passieren weltweit zahllose DDoS Attacken – viele davon über IoT Geräte, denn diese werden oft schlechter gepatcht und gewartet. Deshalb bieten sie mehr Angriffsflächen für cyber-kriminelle.
Was mach ich jetzt? - Klar! Ich änder erstmal mein Passwort. 😅 – Cedric Mössner
Grundsätzlich empfahl Cedric, dass Du den Angriffsvektor minimierst und dadurch die Angriffsfläche so gering wie möglich hältst. Das klappt, indem Du das Gerät abschottest und z. B. einen FTP Server so einstellst, dass er erst über einen VPN erreichbar ist. Außerdem kannst Du die Passwörter Deiner User:innen sicherer machen oder mit 2-Faktor-Authentifikation arbeiten.
Du willst mehr Tipps, wie Du Deine IoT-Geräte sicherer machst? Dann klick Dich in die Session von Cedric und erfahre mehr zum Thema I(o)T-Security.
- 02:20 – Was ist Shodan?
- 03:55 – Suchanfragen mit einer Gerätesuchmaschine
- 28:10 – Echtzeit Botangriffe weltweit
- 31:40 – Tipps für mehr IoT-Security
- 33:30 – Fragen aus dem Live-Chat
