So macht Penetration Testing IoT-Geräte sicherer

Eine Kaspersky-Studie  aus dem vergangenen Jahr zeigt: Mehr als die Hälfte aller Unternehmen weltweit vertraut auf das Internet of Things (IoT) und künstliche Intelligenz (KI). Da sich also immer mehr IoT-Geräte ihren Einsatz im Unternehmen sichern, ist es umso wichtiger, die IoT-Sicherheit  nicht aus den Augen zu verlieren. An diesem Punkt setzen Unternehmen auf IoT-Penetration-Testing, also einen Penetrationstest.

Mit dem IoT-Penetration-Testing können Unternehmen alle angeschlossenen beziehungsweise verbundenen Geräte und ihre Kommunikationsprotokolle auf mögliche Cyberrisiken überprüfen. Bei diesen Tests simulieren Experten bestimmte Angriffe auf die IoT-Geräte. Ihr Ziel ist es dabei, bestehende Schwachstellen zu identifizieren und anschließend zu schließen. Das verbessert die Sicherheit aller verbundenen Geräte.

Zu den Geräten gehören beispielsweise:

• Smart-Home
• Thermostate
• Beleuchtungssysteme
• Überwachungskameras  
• Smart-Locks

Der Testansatz unterscheidet sich klar von dem Vulnerability-Scan. Der Vulnerability-Scan ist ein Schwachstellen-Scanner, der automatisch Fehlkonfigurationen oder Programmierfehler ausfindig macht. Beim IoT-Penetration-Testing versuchen Experten hingegen gezielt, Schwachstellen auszunutzen, um mögliche Risiken zu bewerten. Gerade im IoT gilt nämlich: Unternehmen testen keine einzelne Software oder Datenbanken, sondern ein komplexes System aus mehreren Puzzleteilen.

Der IoT-Pentest testet dabei jedes dieser Puzzleteile des gesamten IoT-Ökosystems:

• IoT Gerät (Hardware und Firmware)
• Funk-/Netzwerkanbindung (z. B. Mobilfunk/LPWAN, WLAN)
• Backend & Cloud-Dienste
• Web-/Mobile-Applikationen
• Programmierschnittstellen (API)
• unterschiedliche Einsatzgebiete bzw. Betriebsszenarien des IoT-Gerätes

Bei speziellen eingebetteten Systemen setzen Unternehmen auf das sogenannte Embedded Penetration Testing. Dies kommt vor allem bei medizinischen Geräten, industriellen Steuerungssystemen oder in Automobilen zum Einsatz.

Die beiden Penetrationstests überschneiden sich an gewissen Punkten, zeigen aber auch Unterschiede. So ist ein IoT-Pentest mehr auf Breite ausgelegt und die komplette IoT-Architektur, während ein Embedded-Test mehr in die Tiefe geht. Er spezialisiert sich auf die Sicherheit der Hardware und Firmware.

Mit einem IoT-Penetrationstest können Unternehmen ohne Mehraufwand unterschiedliche Sicherheitsrisiken aufdecken. Dazu gehören beispielsweise:

• Schwache Passwörter: Schwache Passwörter gelten als eine der größten Sicherheitslücken und Angriffsflächen für Brute-Force-Angriffe. Mit dem IoT-Penetration-Testing können Sie gezielt problematische Passwörter enttarnen und ändern. So schließen Sie bereits große Sicherheitslücken.
• Unsichere Datenspeicherung bzw. -übertragung: In der Praxis kommt es immer noch vor, dass Unternehmen Daten nicht Ende zu Ende verschlüsseln oder auf veraltete Protokolle setzen. Besonders kritisch ist dies bei ressourcenschwachen IoT-Endpunkten, deren Hardware oft nur begrenzte Sicherheitsfunktionen unterstützt. Ein Punkt, den Hacker gerne nutzen.
• Veraltete Updates: Einer der größten Sicherheitstipps lautet immer wieder: Halten Sie Ihre Software stets up to date. Aber Sie dürfen dabei nicht vergessen, dass sich die Updates noch einmal unterscheiden. So können einige von Ihnen dem System sogar eher schaden, als dass sie helfen. Das gilt es natürlich zu vermeiden. Deshalb sollten Sie auf einen sicheren Aktualisierungsmechanismus vertrauen und für den Prozess stets sichere Verbindungen nutzen. Stellen Sie auch sicher, dass Hacker bestehende Updates nicht wieder rückgängig machen können.
• Unsichere Netzwerkdienste & Protokolle: Eine IoT-Implementierung ohne Internetverbindung? Für einige Unternehmen nicht mehr vorstellbar! Ein IoT-Pentest kann Ihnen helfen, sämtliche Schwachstellen auf der Netzwerkebene zu identifizieren – von fehlerhafter Konfiguration bis hin zu unsicheren Protokollen. Häufig fehlen nämlich TLS/DTLS, Authentisierung, saubere Broker-Konfigurationen, anonymer Zugriff und DoS-Schwachstellen. Ziel des IoT-Penetration-Testings ist es, zu schauen, inwieweit sich Daten komprimieren lassen.

Das IoT-Penetration-Testing ist ein komplexer Prozess, der sich in 5 Phasen unterteilen lässt.

Phase 1: Kickoff

Das IoT-Penetration-Testing fängt mit einem Kick-off-Gespräch an. In diesem Gespräch entwickeln Sie gemeinsam mit dem Experten klare Sicherheitskonzepte, legen die Ziele, den Umfang und die Spielregeln fest. Hier lassen sich offene Fragen schon im Vorfeld klären. Zu den Fragen gehören:

• Welche Komponenten stehen im Fokus (Gerät/Firmware, Funk & Netzwerk, Cloud/Backend, Apps & APIs)?
• Welche Sicherheitsziele streben Sie an?
• In welchem Rahmen (Black/Gray/White Box) soll der Experte die Systeme untersuchen?
• Soll der IoT-Pentest bei Ihnen vor Ort oder Remote durchgeführt werden?
• Welche Freigaben/Testfenster gelten – und was ist out of scope (z. B. produktive DoS-Tests)?

Die Dauer des IoT-Penetration-Testings hängt maßgeblich von diesen Antworten ab! Sobald der Experte alle wichtigen Informationen hat, kann er Ihnen ein ungefähres Zeitfenster nennen. Nach dem Kick-Off-Gespräch halten Sie einen abgestimmten Testplan in den Händen. Idealerweise starten Sie mit einem IoT-Penetration-Testing bereits im frühen Entwicklungsstadium.

Phase 2: ausführliche Sicherheitsuntersuchung

Hat der Experte alle wichtigen Informationen, führt er in Phase 2 eine ausführliche Sicherheitsuntersuchung durch. Er deckt Schwachstellen im System auf und unterbreitet Ihnen unmittelbar danach passende Lösungsvorschläge. Zudem berücksichtigt der Experte das jeweilige Betriebs- und Einsatz-Umfeld des IoT-Systems, um realistische Angriffsszenarien zu simulieren. Das ist natürlich etwas grob beschrieben – aber bewusst. Denn leider lässt sich der Ablauf eines solchen IoT-Penetration-Testings nicht im Detail beschreiben. Warum? Es hängt nämlich von der Applikation ab.

Untersucht er infolge eines IoT-Pentests das Front-End einer Web-Applikation? Dann attackiert er die Applikation wahrscheinlich mit schädlichem JavaScript oder prüft die Quellcodes auf unsichere Programmiermuster, um Sicherheitslücken zu identifizieren. Phase 2 ist ein sehr ausführlicher Schritt des IoT-Penetration-Testings. Er geht mit ausführlichen Analysen, die individuell an Ihre Applikation angepasst sind, einher. So kann der Experte Ihre Systeme genau unter die Lupe nehmen.

Phase 3: Bericht

In der 3. Phase überreicht der Experte Ihnen einen Bericht über den IoT-Pentest. Dort finden Sie alle identifizierten Schwachstellen sowie geeignete Gegenmaßnahmen. Neben diesen Informationen erhalten Sie auch einen umfassenden Überblick über die eingesetzten Tools und das verwendete Vorgehen.

Phase 4: Fehlerbehebung

Sie wissen jetzt also, wo die Probleme liegen. In der 4. Phase leiten Sie alle Schritte ein, um die potenziellen Angriffsflächen zu beheben. Häufig stehen die Experten des IoT Penetration Testings Ihnen auch in dieser Phase mit Rat und Tat zur Seite. Sie geben Ihnen hilfreiche Tipps und Empfehlungen, damit auch alles sicher über die Bühne geht.

Phase 5: Erneute Überprüfung

Nachdem Sie alle Schwachstellen behoben haben, erfolgt eine erneute Überprüfung. Gemeinsam mit dem Experten prüfen Sie, ob Sie wirklich alle in Phase 2 gefundenen Lücken schließen konnten. Gleichzeitig schaut der Experte in dieser Phase, ob durch die Anpassungen neue Angriffslücken entstehen könnten. Sie erhalten im Anschluss einen erneuten Bericht, entweder mit dem Vermerk “behoben” oder “nicht behoben”, sowie klaren Handlungsschritten.

Im Anschluss führt der Experte häufig noch ein Gespräch mit Ihnen. Sie erhalten dort wichtige Tipps, wie Sie Ihre IoT-Geräte und ‑Systeme auch zukünftig schützen. Denn eines ist sicher: Die gefundenen Fehler sollten nicht erneut auftreten! So spricht er mit Ihnen über die Implementierung von automatischen Sicherheitssystemen sowie über die regelmäßige Weiterbildung Ihrer Mitarbeiter.