Im Interview: Ein Whitehat – ein ethischer Hacker - hat kürzlich diverse Mängel an Geräten des Internet of Things (IoT) entdeckt.

Hacker kommen überall rein. Ist nur eine Frage der Zeit.

Veröffentlicht am

Hacker kommen überall rein. Ist nur eine Frage der Zeit.

Hacker brauchen nur Zeit, um schlecht geschützte IoT-Geräte zu knacken

Viele Hersteller von IoT-Geräten vernachlässigen die Sicherheit. Im Interview ein Ex-Hacker, der das gar nicht gut findet.

Jean Pereira ist ein Whitehat, also ein ethischer Hacker, der Firmen zu IT-Sicherheit berät. Pereira brachte sich das Programmieren selbst bei. Im Alter von 14 hackte er die Server der US-Army. Danach entschied er sich, als professioneller Sicherheitsberater tätig zu werden. Er ist jetzt Geschäftsführer der SECBIZ IT-Security GmbH.

Hinweis: Sie lesen an dieser Stelle einen Auszug aus dem abgedruckten Artikel in unserem Kundenmagazin. Die jeweils aktuelle Print-Ausgabe bestellen Sie über die Formulare auf dieser Website. Wollen Sie eine ältere Ausgabe lesen, schreiben Sie uns an redaktion@datareport.de

Herr Pereira, sie haben gerade einhundert Sicherheitslücken in IoT-Geräten aufgespürt, die noch nicht einmal den Herstellern bekannt sind. Sagen Sie uns doch kurz, welche Geräte und Branchen betroffen sind.

Wir haben es hier mit Sicherheitslücken in der industriellen Produktion, der Telekommunikation, der Energieversorgung, in Krankenhäusern und in Transportmitteln zu tun. Ein Beispiel: RFID-Türen, also elektronische Schließsysteme mit Chipkarten. Manipuliert man diese, kann man Personen aussperren, einsperren oder sich selbst unbefugt Zugriff in Gebäude verschaffen.

Sagten Sie gerade Krankenhäuser?

Ja, Schwachstellen wurden auch in medizinischen Geräten aufgedeckt. Es ist möglich, sich zum Beispiel direkt in Herzschrittmacher einzuhacken. Oder in andere Geräte, die Blutdruckwerte, Herzfrequenz, Atmung messen. Außerdem könnten Hacker bis in die Datenbanken vordringen, in denen sich Patientendaten befinden. Abgesehen davon, dass die Daten entfernt werden können: Ich überlasse es Ihrer Phantasie, sich vorzustellen, was passiert wenn Sie operiert werden sollen und jemand ändert vorher die Angaben zu Ihrer Blutgruppe.

Wir haben zudem Probleme bei Überwachungskameras identifiziert. Die Kameras lassen sich fernsteuern, pausieren, ausschalten und auf andere Art manipulieren. Der Industriespionage stehen dabei die Türen sperrangelweit offen. Gefährlicher ist aber, dass man Produktionsanlagen genauso stilllegen kann wie Energieversorgungsanlagen. Hacker könnten gezielt flächendeckende Stromausfälle herbeiführen.

Bleiben wir beim Beispiel der Energieversorgung: Warum ist es für Hacker leicht, solche Systeme zu knacken?

Bei der von uns entdeckten Schwachstelle im Energieversorgungssystem handelt es sich um einen sogenannten „Zero-Day-Exploit“. Das bedeutet, der Exploit – also die Sicherheitslücke – ist dem Hersteller noch nicht bekannt und deswegen extrem gefährlich.

Grundsätzlich können Sicherheitslücken immer auftreten, jedoch wurden alle 100 Schwachstellen, die wir identifiziert haben, mit sehr wenig Zeitaufwand und Mühe aufgedeckt. Das bedeutet, dass alle diese Hersteller sich nicht ausreichend auf digitale Angriffe vorbereitet haben.

Das kann ich nur fahrlässig nennen. Hacker-Angriffe finden täglich auf jede Art von Ziel statt und der Verbraucher ist machtlos, wenn die Hersteller-Software nicht ausreichend geschützt ist. Ziel eines Hacker-Angriffs wird so ziemlich jedes Netz irgendwann. Die Frage ist, wie einfach oder schwierig ich es dem Hacker mache. Kommt ein Hacker nach den ersten Versuchen nicht weiter, sucht er sich meistens das nächste Ziel.

 

Nachfolgend ein Beispiel für einen Test zu einem Zero-Day-Exploit bei einem Mercedes GL aus dem Juli 2018, durchgeführt von Jean Pereira: