Kein Smart Device ohne Authentifizierung

Von Udo Schneider, IoT Security Evangelist Europe bei Trend Micro

Gleichgültig, ob man Smart Devices oder IoT für sinnvoll hält oder nicht – die Verkaufszahlen zeigen reges Interesse an diesen Geräten. Und selbst wenn bei der Security in den Augen vieler IT-Experten einiges im Argen liegt, scheint für die meisten Nutzer die Funktion wichtiger zu sein als die Sicherheit. Die Taktik, einfach nur die Unsicherheit anzuprangern und dann darauf zu vertrauen, dass solche Geräte schon nicht gekauft werden, ist definitiv fehlgeschlagen. Umso wichtiger ist es, beratend (und nicht tadelnd) auf bessere Smart Device-Sicherheit hinzuarbeiten. Dazu gehören auch Tipps und Hinweise für die Anwender, die sie bei Kauf und Nutzung berücksichtigen sollten.

Die Erfahrung zeigt auch, dass Konsumenten durchaus bereit sind, für ein sichereres Gerät mehr zu zahlen, sofern sie den Sicherheitsvorteil erkennen und nicht nur einfach Belehrungen glauben müssen. Doch welches sind die verschiedenen Sicherheitskriterien für Smart Devices?

IoT-Geräte sollten in der Lage sein, ihren rechtmäßigen Besitzer zu identifizieren. In aller Regel findet dies über eine Benutzername/Passwort-Kombination statt. Dabei ist es nebensächlich, ob diese nun direkt am Gerät eingegeben wird oder die Authentifizierung zum Beispiel via OAuth „über Bande“ an der Companion-App und dem Backend stattfindet. Leider gibt es jedoch auch Fälle, in denen man aus „Komfortgründen“ darauf verzichtet.

Sofern das Gerät andere Identifikationsmöglichkeiten hat (wie entsprechende NFC/Bluetooth-Tags in der Nähe), ist daran grundsätzlich auch nichts auszusetzen. Leider gibt es jedoch Extreme, die ganz auf eine Authentifizierung verzichten. Dies bedeutet: Das Gerät traut implizit jedem, der Zugang zum WLAN hat. Damit hängt die Sicherheit direkt davon ab, wie sicher das WLAN (Passwort/Verschlüsselung) ist, beziehungsweise ob es einem Angreifer gelingt, in das lokale Netz vorzudringen. Dabei ist es unerheblich, ob er von außen über das Internet kommt, sich vielleicht lokal per Ethernet anschließt oder gar ein anderes kompromittiertes Gerät als Brückenkopf nutzt.

Aber auch bei der Nutzername/Passwort-Kombination gibt es einiges zu beachten. Viele Geräte kommen mit einem voreingestellten Standard-Benutzernamen und -Passwort oder eben ohne. Hier gilt es also sicherzustellen, dass die Passwörter beim initialen Setup auch wirklich geändert werden und eine entsprechende Stärke aufweisen.

Es gibt auch einige Best Practices, die Anwender für die Sicherheit eines Smart Devices beachten sollten:

  • Stellen Sie sicher, dass Ihre Smart Devices explizit Sie als rechtmäßigen Nutzer identifizieren können. Das blinde Vertrauen in das richtige WLAN ist selbst im heimischen Netz nicht mehr zeitgemäß.
  • Ändern Sie das Passwort Ihres Geräts schnellstmöglich während der Installation — Gute Geräte „zwingen“ Sie sogar dazu. Wenn möglich, ändern Sie auch den voreingestellten Usernamen (in vielen Fällen „admin“). Dies zwingt einen potenziellen Angreifer dazu, sowohl das richtige Passwort als auch den richtigen Benutzernamen zu erbeuten!
  • Nutzen Sie keine leicht zu erratenden Passwörter am Gerät. Ist der Markenname Ihres Routers zum Beispiel „Router 0815“, so ist „0815“ als Passwort sicher einfach zu merken – aber eben auch einfach zu knacken! Wenn möglich, beachten Sie die gleichen Passworthinweise wie bei anderen Accounts auch (Groß-/Kleinschreibung, Ziffern, Sonderzeichen verwenden) und nutzen Sie einen Passwort-Manager, der es Ihnen erlaubt, auch sehr komplizierte Passwörter zu nutzen, ohne dass man sich diese merken muss.

Der Beitrag ist zuerst im LANline Security Awareness Newsletter erschienen. Interessierte können sich hier kostenlos für den Newsletter anmelden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.