IoT-Security

Gehackte Autos - nur der Auftakt zu IoT-Hacks

13.03.2017 von Christoph Müller-Dott
Das Internet der Dinge eröffnet Hackern ganz neue Möglichkeiten. Zur Verteidigung bieten sich Unternehmen alte Tugenden wie Wachsamkeit und Vorausplanung, aber auch neue Techniken wie Machine Learning an.

Egal wo man heutzutage hinsieht, die Geschwindigkeit, mit der wir uns neue Wearables, Smart Devices für das Zuhause oder vernetzte Autos zulegen, ist beeindruckend. Laut Gartner waren 2015 weltweit bereits fast 5 Milliarden IoT-Devices in Betrieb und die weltweiten Gesamtausgaben beliefen sich auf beinahe 1,2 Billionen US-Dollar. Für viele Unternehmen ist das IoT also ein profitables Geschäft. Allerdings ist es das auch für Hacker, die sich urplötzlich auf einer riesengroßen Spielwiese wiederfinden, wie im letzten Jahr die Attacke eines Mirai-Botnetzes auf den DNS-Server-Anbieter Dyn eindrucksvoll bewiesen hat.

Hacker können unzureichende geschützte vernetzte Devices zu allerlei Schandtaten verwenden.
Foto: Profit Image - shutterstock.com

Wie verändert das IoT die Vorgehensweise von Hackern?

Je mehr Unternehmen und Endverbraucher auf vernetzte Geräte setzen, desto mehr Angriffspunkte bieten sich auch für potentielle Angreifer. Eines der Flagship-Produkte des IoT ist das vernetzte Auto. So sieht Gartner das Potential bis 2020 bei bis zu 250 Millionen vernetzten Fahrzeugen.

Allerdings haben 2015 bereits zwei Sicherheitsforscher unter Beweis gestellt, dass vernetzte Fahrzeuge auch anfällig für Hacks sein können. In ihrem Feldversuch wollten die Wissenschaftler herausfinden, ob es möglich ist, ein vernetztes SUV während der Fahrt und von außerhalb zu hacken. Sie konnten erfolgreich die Klimaanlage, das Radio, das Getriebe und die Bremsen kontrollieren. 2016 gelang einem anderen Team aus Sicherheitsforschern ein ähnlicher Coup, als sie aus der Ferne die Kontrolle über einige Funktionen eines Elektroautos übernahmen.

Diese Autos wurden 2015 gehackt
Auto-Hacks 2015
Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst.
BMW "ConnectedDrive"
Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen.
Jeep Cherokee
Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen.
General Motors "OnStar"
Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten.
Corvette-SMS-Hack
Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft.
Der VW-Motorola-Hack
Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht.
Tesla Model S
Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.

Gefahr durch Social Engineering

Was den Diebstahl von Unternehmens- und privaten Daten angeht, werden IoT-Hacker vermutlich auch weiterhin auf Hacks setzen, die sich die IT-Infrastruktur zunutze machen. Dadurch können sie sich in legitimierten Netzwerkressourcen verstecken und sind schwer aufzufinden. Wearables stellen hier ein großes Ziel dar. Für Angreifer ist es oft ein Leichtes, solche Geräte mittels Social Engineering zu hacken: Sie fälschen Login-Bildschirme, um Nutzerdaten abzugreifen und bringen den Nutzer dazu, Malware zu installieren.

Mobilgeräte werden aufgrund ihrer hohen Verbreitung voraussichtlich auch in Zukunft das Angriffsziel Nummer Eins darstellen. Die meisten Leute speichern inzwischen nicht nur viele persönliche Informationen auf ihren Smartphones oder Tablets. Viele davon werden auch am Arbeitsplatz verwendet, greifen auf das Unternehmensnetzwerk zu und enthalten teilweise auch sensible Unternehmensdaten. Damit machen sie sich für Hacker zu einladenden Zielen.

Smart-City-Initiativen stehen vor einem ähnlichen Problem. Sie bieten Endverbrauchern und Unternehmen viele Vorteile in den Bereichen Agilität, Flexibilität und Effizienz. Die kritischen Netzwerkstrukturen einer Smart City sehen sich aber den gleichen IoT-Bedrohungen ausgesetzt. So werden Stromnetze oder Kraftwerke, die mit dem Internet verbunden sind, ebenfalls zum Ziel für Attacken. So war beispielsweise Stuxnet eine Malware, die speziell gegen kritische Infrastrukturen zum Einsatz kam.

Wie lassen sich neue Gefahren vermeiden?

Auch wenn es abgedroschen klingen mag, im Kern einer erfolgreichen IT-Security stehen immer Wachsamkeit und Vorausplanung. Schließlich ändern sich lediglich die Techniken, nicht jedoch die grundsätzliche Philosophie.

Weil sich im IoT Daten konstant durch verschiedene Netzwerke und Rechenzentren bewegen, muss diese Philosophie auf den Schutz der sich bewegenden Daten ausgeweitet werden, nicht nur dann, wenn sie auf dem Gerät ankommen. Mobile Geräte wechseln ebenso oft das Netzwerk, darum müssen auch diese Daten stets sorgfältig geschützt sein. Um Daten also möglichst sicher zu halten ist es unabdingbar, sichere Schnittstellen zu haben.

In Zukunft könnte auch eine weitere Lösung eine Rolle spielen, das Machine Learning. Machine Learning unterstützt jetzt schon bei der Vorhersage von Sicherheitsvorfällen und könnte die Prävention schon bald als die erfolgreichste Methode ablösen, um Angriffe auf ein Minimum zu beschränken. Der eigentlichen IT-Infrastruktur vorgelagerte Bereiche, in denen Hacker versuchen anzugreifen, helfen Organisationen dabei, ihre Daten und Systeme zu schützen.

Organisationen, deren IT- und Unternehmensstrategien das IoT einschließen, müssen sich unbedingt auf die Security fokussieren. Laut IDC werden bis 2018 66 Prozent aller Netzwerke einen IoT-Sicherheitsvorfall gehabt haben und 10 Prozent aller Cyberangriffe werden explizit IoT-Systeme zum Ziel haben.

Nicht nur das Netzwerk muss geschützt werden, sondern auch die Geräte

Die steigende Verbreitung von vernetzten Geräten gebietet, dass Organisationen Vorgaben zum Identitätsnachweis einführen. Diese sollten abhängig davon sein, welche Anwendungen verwendet werden, auf welche sensiblen Daten diese zugreifen und wie wahrscheinlich ein Angriff auf diesen Punkt ist. Leistungskennzahlen und Analysen können dazu beitragen, die Stärke des Authentifizierungsmechanismus und der Sicherungsanforderungen zu definieren, um jedes einzelne Gerät so gut wie möglich zu sichern. Bei sensibleren Daten ist es hingegen sinnvoll, gegenseitige Authentifizierungsmechanismen zu verwenden, bei denen von beiden Seiten die Identität bestätigt werden muss.

Das IoT ist gekommen, um zu bleiben. Mit so vielen verbundenen Geräten, die teilweise viele sensible Daten enthalten, muss für Organisationen die Sicherheit absolut im Vordergrund stehen. Sie müssen dafür Sorge tragen, dass ihre Sicherheitsvorkehrungen auch noch dem Netzwerk von morgen genügen. (mb)