Die Verwendung von IoT-Geräten (Internet of Things) im Handel hat in den letzten Jahren stark zugenommen. Seien es elektronische Kassensysteme, Überwachungskameras oder smarte Lagersysteme – die digitalen Helfer kommen immer häufiger zum Einsatz. Auch die digitale Beschilderung, sogenannte ESL-Tags, erfreuen sich aufgrund ihrer unkomplizierten Handhabung und der Möglichkeit, Preisangaben und Beschriftungen rasch und zentral gesteuert zu adaptieren, steigender Beliebtheit. Doch wie sicher sind diese Geräte wirklich?
Die Verwendung von IoT-Geräten wie digitalen Preisschildern, Lagerlogistik-Geräten, Sensoren, Kameras und Kassenautomaten im Handel ist inzwischen weit verbreitet, da sie für Effizienz sorgen und generell die Kund*innenerfahrung verbessern können. Doch gerade durch ihre ständige Verbindung zum Firmennetzwerk können IoT-Geräte zu einem Sicherheitsrisiko werden, da sie auch anfällig für Angriffe von außen sind.
Schwachstellen können drastische Folgen haben
Schwachstellen wie unzureichende Verschlüsselung und Absicherung ermöglichen es Angreifer*innen, in das System einzudringen, wobei sie im schlimmsten Fall enormen wirtschaftlichen Schaden bei dem betroffenen Unternehmen anrichten können. Erlangen Cyberkriminelle Zugriff auf das IT-System und damit Zugang zu vertraulichen Daten wie Kund*inneninformationen, Passwörtern oder Finanzdaten, könnte das Vertrauen der Kund*innen in das Unternehmen erschüttert werden. Zudem sind auch mögliche rechtliche Folgen zu beachten. Unsichere Geräte können ebenfalls als Eintrittspunkt für weitere Cyberangriffe wie Malware-Infektionen und Denial-of-Service-Angriffe genutzt werden. Unternehmen müssen daher die IoT-Sicherheitsrisiken verstehen und Schutzmaßnahmen ergreifen, um das Risiko von erfolgreichen Angriffen auf ihre Geräte und Daten zu minimieren.
IoT: Für Sicherheit müssen Hersteller sorgen
ESL-Tags sind digitale Preisschilder, die mithilfe von Funktechnologie mit einem zentralen System verbunden sind. Sie bieten zahlreiche Vorteile wie eine schnellere Aktualisierung von Preisen und erleichtern die Logistik im Lager. Bei Devices wie ESL-Tags sind üblicherweise die Hersteller dafür verantwortlich, die Datenübertragung mit adäquaten Schutzmechanismen und Verschlüsselungen vor Cyberkriminellen zu schützen. Anwender*innen müssen sich diesbezüglich auf Herstellerangaben verlassen können. Letztlich haben sie keinen Einblick, ob die Geräte ausreichend abgesichert sind oder nicht. Fehlen Sicherheitsmechanismen zur Gänze oder sind sie mangelhaft implementiert, können sich Hacker Zugang zu den Systemen verschaffen und teilweise großen Schaden anrichten.
Dieser Sicherheitsaspekt wird dennoch häufig ignoriert. So zeigte eine aktuelle Untersuchung des SEC Consult Vulnerability Labs, dass die im asiatischen Raum, aber auch in Europa und Amerika gerne genützte digitale Etikettierungslösung der chinesischen Firma SUNY ESL bei der Kommunikation mit dem System auf eine Authentifizierung verzichtet. Dies ermöglicht es Angreifer*innen, die drahtlose Datenübertragung zwischen dem Display mit relativ geringem Aufwand zu unterbrechen und sie – selbst mit Standardhardware – aus einer Entfernung von bis zu 300 Metern jederzeit zu beeinflussen. Da ein ungesichertes Protokoll zum Einsatz kommt, gelangen der Zugriff auf den Klartext und die Datenmanipulation auch im Test mühelos. Das untersuchte Etikett verfügt über keinen Update-Mechanismus, daher ist es auch nicht möglich, die fehlenden Sicherheitsroutinen zu ersetzen – User*innen selbst können die Schwachstelle also nicht beheben. Mehr Details zu den umfassenden Tests, die SEC Consult bei SUNY ESL durchgeführt hat, finden Sie am Blog von SEC Consult.
Dieses Beispiel zeigt, wie groß die Herausforderung ist, IoT-Systeme abzusichern, und wie groß die Gefahr ist, die von ihnen ausgeht, da sie oft miteinander verbunden und zentralisiert sind. Jedes Gerät kann eine Schwachstelle aufweisen, die wiederum ausgenutzt werden kann, um Zugriff auf das Gesamtsystem zu erhalten. Ein erfolgreicher Angriff auf ein IoT-Gerät kann einen Dominoeffekt auslösen und das gesamte Netzwerk in Gefahr bringen. Daher sollten aktiv Maßnahmen ergriffen werden, um IoT-Geräte zu sichern und das Risiko von Angriffen zu minimieren.
Mit der richtigen Strategie zu mehr Sicherheit
Neben der Verwendung sicherer Passwörter und der Nutzung von IoT-Geräten, die von vertrauenswürdigen Herstellern produziert und bei der Einrichtung auch richtig konfiguriert wurden, gibt es eine Reihe von weiteren wichtigen Maßnahmen:
- Regelmäßige Aktualisierungen und Patches: Die IoT-Geräte sollten immer mit den neuesten Sicherheitspatches und -updates versehen sein, um bekannte Schwachstellen zu beheben.
- Verschlüsselung: IoT-Geräte müssen verschlüsselt kommunizieren, um zu verhindern, dass unerwünschte Personen auf die Daten zugreifen können.
- Zugangsbeschränkungen: Unternehmen sollten den Zugriff auf ihre IoT-Geräte beschränken und sicherstellen, dass nur autorisierte Personen darauf zugreifen können.
- Schulungen und Cybersecurity-Bewusstsein: Mitarbeiter*innen sollten regelmäßig geschult werden, um sicherzustellen, dass sie über die neuesten IoT-Bedrohungen für den Handel informiert sind und wissen, wie sie diese erkennen und melden können.
Insgesamt ist es wichtig, dass Unternehmen sich der Risiken bewusst sind, die von unzureichend geschützten IoT-Geräten ausgehen können. Durch die Implementierung von Schutzmaßnahmen, regelmäßigen Sicherheitsüberprüfungen wie Penetration-Tests (Pen-Tests) und die Zusammenarbeit mit Expert*innen aus dem Cybersecuritybereich können diese Gefahren jedoch zielgerichtet minimiert werden.
Über den Autor: Steffen Robertz ist Sicherheitsberater bei SEC Consult und hat sich auf Embedded-Systeme spezialisiert. Er konzentriert sich auf das Auffinden und Reverse Engineering von Firmware, um Schwachstellen zu finden. Durch seinen Hintergrund als Elektrotechnik-Student interessiert er sich auch für RF-Systeme und Hardware-Entwicklung. Er hat bereits mehrere Sicherheitshinweise über das SEC Consult Vulnerability Lab veröffentlicht.
SEC Consult ist eines der führenden Beratungsunternehmen für Cyber- und Applikationssicherheit. Das Unternehmen mit Niederlassungen in Europa und Asien ist Spezialist für externe und interne Sicherheitsüberprüfungen, Penetrationstests, den Aufbau von Informationssicherheits-Management und Zertifizierungsbegleitung nach ISO 27001, Cyber-Defence, sichere Software(-Entwicklung) und die schrittweise, nachhaltige Verbesserung des Sicherheitsniveaus. SEC Consult ist Teil von Eviden, an Atos business, weitere Informationen finden Sie unter: www.sec-consult.com
