Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Analyse

Warum IoT-Hersteller das Thema Sicherheit nicht weiter ignorieren können

(Grafik: Instacod.es)

Eine neuentdeckte Sicherheitslücke in einer Spülmaschine erlaubt den Zugriff auf einen darauf laufenden Webserver. Das Problem ist dabei weniger die Lücke, als der Umgang des Herstellers damit.

Das Internet der Dinge setzt sich aus zwei großen Versprechungen zusammen: Das Erste richtet sich direkt an die Konsumenten, denen die Vernetzung vor allem Zeit und Mühen sparen soll. Doch auch immer mehr Hersteller sehen eine goldene Zukunft vor sich, in der Konsumenten scharenweise ihre alten Haushaltsgeräte gegen Internet-fähige Nachfolgemodelle austauschen. Außerdem, so die Hoffnung, bekommen sie dadurch echte Nutzerdaten, und können ihre Produkte endlich auch so optimieren, wie es in der Internet-Branche längst gang und gäbe ist. Das Problem: Wer seine Geräte ins Internet bringen möchte, der muss auch für deren Sicherheit sorgen.

Internet der Dinge: Sicherheitslücken in vernetzten Haushaltsgeräten und fehlende Ansprechpartner

Die Erkenntnis ist natürlich nicht neu, aber dennoch fehlt gerade im Internet der Dinge auf Herstellerseite noch immer ein Bewusstsein dafür, dass eine gewisse Verantwortung mit dem Verkauf Internet-fähiger Hardware einhergeht. Deutlich wird das an einem aktuellen Fall. Dabei ging es um einen Reinigungs- und Desinfektionsautomaten des deutschen Herstellers Miele, der im medizinischen Bereich eingesetzt wird. Das Gerät mit der Produktbezeichnung PG 8528 verfügt über einen Ethernet-Anschluss und enthält einen Webserver. Der wiederum verfügt über eine sogenannte Directory-Traversal-Sicherheitslücke.

Beim Directory Traversal können Unbefugte durch die Eingabe von URLs auf Dateien und Ordner zugreifen, auf die sie eigentlich keinen Zugriff haben sollten. Entdeckt wurde die Sicherheitslücke im Fall des Miele-Geräts von dem Sicherheitsexperten Jens Regel. Um den Hersteller über die Sicherheitslücke zu informieren, hat Regel am 18. November 2016 bei Miele nachgefragt, wer denn der zuständige Security-Kontakt sei. Anschließend meldete sich ein Produktverantwortlicher, dem Regel im Detail das Problem beschrieb.

Miele reagiert auf die Sicherheitslücke so, wie viele andere Unternehmen im IoT-Sektor auch: gar nicht. (Foto: ricochet64 / Shutterstock.com)

Genau jetzt kommen wir zu dem eigentlichen Problem: Eine Rückmeldung von Miele hat Regel trotz erneuter Nachfrage im Januar und Februar 2017 nie erhalten. Daraufhin hat Regel die Sicherheitslücke am 23. März 2017 öffentlich gemacht. Damit haben sich Regel und sein Arbeitgeber, die Schneider & Wulf EDV-Beratung, an die üblichen Gepflogenheiten gehalten. Problematisch bleibt jedoch das Versäumnis von Miele, nicht adäquat auf den Vorfall reagiert zu haben.

Unsere Anfrage an Miele, wie das Unternehmen denn generell mit gemeldeten Sicherheitslücken umgehe, und ob es dafür einen festgelegten Workflow gebe, wurde leider nicht beantwortet. Im Fall des betroffenen Geräts muss allerdings erwähnt werden, dass das mitgelieferte Ethernet-Kabel laut Gebrauchsanweisung nur vom Miele-Kundendienst an ein anderes Gerät angeschlossen werden soll. Doch selbst wenn das betroffene Gerät in den meisten Fällen nicht mit dem Internet verbunden ist, lässt sich die mangelnde Reaktion von Miele als durchaus symptomatisch für das Internet der Dinge betrachten.

Viele Hersteller machen ihre Geräte internetfähig, kümmern sich jedoch nicht um Sicherheits-Updates und haben häufig nicht einmal eine Infrastruktur aufgebaut, über die etwaige Schwachstellen gemeldet werden können. „Im Zuge der ständig weiter voranschreitenden Vernetzung entstehen immer neue und gravierende Schwachstellen, die leider oftmals viel zu einfach auszunutzen sind. In vielen Fällen werden Systeme von Herstellern auf den Markt gebracht, die voll von Sicherheitslücken sind. Die Hersteller haben leider oftmals keinen Fokus auf die Sicherheit von IT-Komponenten“, so Regel gegenüber t3n.de.

Shutterstock)

IoT-Sicherheit betrifft nicht nur die Kunden der jeweiligen Geräte

Der mangelnde Fokus der Hersteller auf IT-Sicherheit hat mehrere Gründe: Zum einen kommen viele Hersteller, die jetzt in den IoT-Bereich drängen, traditionell aus einer ganz anderen Branche und haben daher wenig Erfahrung. Außerdem sind angreifbare Endgeräte in vielen Fällen für den eigentlichen Kunden gar kein Problem, weil er häufig nur nichts davon merkt. Allerdings stehen Hersteller nicht nur ihren Kunden, sondern auch dem gesamten Netz gegenüber in der Pflicht – oder sollten es zumindest.

Warum dem so ist, zeigt ein Fall aus dem Oktober 2016. Damals legte ein massiver DDoS-Angriff auf DNS-Server viele bekannte Web-Dienste lahm. Ausgeführt wurde der Angriff von einem IoT-Botnet. Das wiederum soll aus nur 50.000 Geräten bestanden haben, und konnte trotzdem einen verheerenden Schaden anrichten. Gegenüber t3n.de stellte Chester Wisniewski vom Sicherheitsunternehmen Sophos die rhetorische Frage: „Wenn 50.000 von hundert Millionen schlecht geschützter Geräte sowas anrichten können, was können dann hunderttausend oder eine Million oder zehn Millionen anrichten?“

Es wird Zeit, dass all die Unternehmen, die ihre Geräte jetzt unbedingt mit dem Internet verbinden wollen, endlich auch die Verantwortung für ihre Produkte übernehmen. Niemand wird Sicherheitslücken je ausschließen können. Aber wenigstens muss es dedizierte Ansprechpartner für die Sicherheitsbranche, regelmäßige Sicherheitsupdates und natürlich funktionierende Update-Kanäle geben. Solange das nicht passiert, bleibt das Internet der Dinge auch eine potenzielle Gefahr für unsere Infrastruktur.

Nachtrag vom 29. März 2017: Mittlerweile liegt t3n.de ein Statement von Miele zu der oben erwähnten Sicherheitslücke vor. Darin räumt das deutsche Unternehmen eine „Kommunikationspanne“ ein, die von der Geschäftsleitung als „ein ernstes Versäumnis“ bezeichnet wird. Weiter heißt es: „Schon jetzt dankt die Geschäftsleitung von Miele dem Hinweisgeber Jens Regel ausdrücklich für die Information – und auch für seine Beharrlichkeit.“ Besitzer betroffener Geräte will Miele direkt kontaktieren. Außerdem sei ein Sicherheits-Update in Arbeit, das innerhalb der nächsten Wochen verfügbar sein soll.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Eine Reaktion
Stefan

Hat sich mal jemand die mühe gemacht und geschaut aus welchem Jahr diese maschine stammt?

Wahrscheinlich gab es zu diesem Zeitpunkt den begriff IoT noch nicht einmal.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen

Finde einen Job, den du liebst