- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Man-in-the-Middle-Angriffe im IoT


Gefahren im Internet der Dinge (IoT): Die beste Möglichkeit, einen Man-in-the-Middle-Angriff zu verhindern ist es starke Verschlüsselung zwischen Client und Server zu verwenden
Beim Man-in-the-Middle-Konzept fängt ein Angreifer oder Hacker die Kommunikation zwischen zwei Systemen ab

(19.04.16) - Was versteht man unter einer Man-in-the-Middle-Bedrohung? Lea Toms, Marketing Manager bei GlobalSign erläutert das Konzept eines Man-in-the-Middle-Angriffs und gibt Empfehlungen, was man dagegen tun kann. Beim Man-in-the-Middle-Konzept fängt ein Angreifer oder Hacker die Kommunikation zwischen zwei Systemen ab. Das ist deshalb so gefährlich, weil sich der Angreifer als der ursprüngliche Absender ausgibt und vor allem die ursprüngliche Mitteilung kennt. Das Opfer geht dann unter Umständen immer noch davon aus eine legitime Nachricht erhalten zu haben.

Im Internet der Dinge kann man sich beispielsweise folgendes Szenario vorstellen: Ein Angreifer fälscht Temperaturdaten eines Überwachungsgeräts, um ein Maschinenteil so zu überhitzen, dass dadurch die Produktion lahmgelegt wird. Neben Unannehmlichkeiten führt das zu materiellen und finanziellen Schäden innerhalb der betrieblichen Organisation.

Aktuelle Man-in-the-Middle-Angriffe
Es sind bereits Fälle vorgekommen, bei denen Hacker verbundene Geräte wie Smart Cars angegriffen haben. Vor kurzem wurden mehrere Klagen gegen große Automobilhersteller eingereicht, dass Autos aufgrund fehlender und geeigneter Sicherheitsmaßnahmen angreifbar seien. Beispielsweise wurde im Juli 2015 ein Jeep Cherokee gehackt, was zu einer großen Rückrufaktion der Chrysler Corporation führte. Wenn wichtige Sicherheitsmaßnahmen nicht eingebaut und getestet werden, können Hacker möglicherweise auf Grundfunktionen der Fahrzeuge zugreifen und diese kontrollieren, wie z.B. Bremsen, Lenken und Gas geben. Ein "Connected Car" kann also mit mehreren Netzwerken verbunden sein, z.B.:

Cellular
V2V/V2I/V2X
Bluetooth
WLAN
Wired Automotive Ethernet

In der gleichzeitigen Verbindung mit mehreren Netzwerken liegt eine weitere Gefahr. Jede einzelne dieser Verbindungen muss abgesichert sein. Das funktioniert nur mit mehreren Sicherheitsebenen.

Wollen Fahrzeughersteller die Risiken minimieren, liegt der Schlüssel also in einem mehrschichtigen Sicherheitskonzept, dazu gehören z.B. mobile Authentifizierung oder Geräte-Authentifizierung und sichere End-to-End-Netzwerksicherheit, Kryptografie oder SSL-Verschlüsselung im CAN (Control Area Network) des Fahrzeugs. SSL-verschlüsselte Daten, die zwischen dem CAN eines Fahrzeugs und drahtlosen oder verkabelten Verbindungen ausgetauscht werden, machen es Hackern sehr viel schwerer.

Allein die Möglichkeit Fahrzeuge auf diese Art zu hacken ist ein offensichtlicher Grund zur Besorgnis. Man sollte aber auch scheinbar harmlosen Geräten wie einem "intelligenten Kühlschrank" dasselbe Maß an Aufmerksamkeit widmen. Der Gedanke, dass ein Hacker die Kontrolle über einen Kühlschrank übernimmt ist eventuell weniger erschreckend, als dass er ein Smart Car übernimmt. Aber alle verbundenen "Dinge" fungieren potenziell als Zugang zu sensiblen und persönlichen Informationen. Ein gutes Beispiel dafür ist die vor kurzem aufgedeckte Man-in-the-Middle-Verwundbarkeit eines "intelligenten Kühlschranks” von Samsung, der dem Hacker den Zugang zu verknüpften Gmail-Login-Daten ermöglichte. Und da immer noch die Mehrzahl der User identische Passwörter für mehrere Konten verwendet, hätte der Hacker mit nur einer einzigen Information leicht auf weitere Konten zugreifen können.

Man-in-the-Middle-Angriffe verhindern

Digitale Zertifikate für "Dinge"
Die beste Möglichkeit, einen Man-in-the-Middle-Angriff zu verhindern ist es starke Verschlüsselung zwischen Client und Server zu verwenden. In diesem Fall authentifiziert der Server die Anfrage eines Clients durch die Vorlage und Validierung eines digitalen Zertifikats. Erst dann wird die Verbindung hergestellt.

IoT-Anbieter sollten schon bei der Herstellung an Identität und Authentifizierung denken, und nicht erst, wenn ein Gerät bereits marktreif ist. Bei einem Man-in-the-Middle-Angriff geht es nur darum, gefälschte Informationen zu senden und sich gegenüber einem anderen Gerät oder einer Person als ein Gerät auszugeben. Man muss also nachweisen, dass Geräte und Personen wirklich die sind, für die sie sich ausgeben, wenn sie miteinander kommunizieren.

Digitale Zertifikate sind eine Möglichkeit des Identitätsnachweises, der auf jedem Gerät installiert werden kann. Eine Schwierigkeit liegt darin, dass eine Herstellerfirma Hunderttausende, vielleicht sogar Millionen von Zertifikaten für Geräte ausstellen und die Ausstellung, den Widerruf und Lebenszyklus jedes dieser Zertifikate verwalten muss. Eine von einer Zertifizierungsstelle wie z.B. GlobalSign bereitgestellte Management-Lösung kann auch große Mengen von Zertifikaten in der Cloud verwalten, ein Verfahren mit dem Hersteller Zeit und Geld sparen.

Digitale Zertifikate für VPNs
Eine andere Methode, um einen Man-in-the-Middle-Angriff zu verhindern, ist es, ein verschlüsseltes Virtual Private Network (VPN) zu verwenden. Ein VPN ist ein Kommunikationstunnel zwischen zwei oder mehr Geräten. Um diesen Tunnel zu sichern, können Sie alles verschlüsseln was in den Tunnel hinein- und wieder hinausgeht. So verschlüsselt, kann ein potenzieller Angreifer die Daten beim Abhören der Kommunikation nicht lesen. In diesem Fall benötigt das VPN ein digitales Zertifikat und alle Geräte, mit denen es kommuniziert, benötigen ein Zertifikat mit einem öffentlichen und einem privaten Schlüssel. Bei der Kommunikation werden die erforderlichen Schlüssel in einem Handshake ausgetauscht und alle Daten bleiben verschlüsselt, bis sie ihren endgültigen Bestimmungsort erreicht haben.
(GMO GlobalSign: ra)

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Verschlüsselte Telekommunikation

    Die FDP-Fraktion interessiert sich für die Möglichkeiten der Überwachung von Telekommunikationsmitteln zur Strafverfolgung und die Nutzung einschlägiger Software. Offenbar habe das Bundeskriminalamt (BKA) damit begonnen, auch verschlüsselte Botschaften im Internet zu lesen. Neben der selbst konzeptionierten Software RCIS stehe dem BKA dazu ein Programm namens FinSpy zur Verfügung, heißt es in einer Kleinen Anfrage (19/1020) der Fraktion. Die Abgeordneten wollen von der Bundesregierung nun wissen, wie oft, in welchen Fällen und auf welche Weise Software zur Überwachung informationstechnischer Systeme eingesetzt worden ist oder noch eingesetzt wird.

  • Schutz industrieller Informationssysteme

    Das Thema Cybersicherheit war 2017 für viele Industrieunternehmen auf der Tagesordnung. Hackerangriffe auf Informationssysteme machten Schlagzeilen. Sie zeigten vielen, dass man selbst eventuell auch angreifbar ist. Um die Sicherheit der Industriesysteme zu gewährleisten, sind geeignete Maßnahmen erforderlich, sowohl in Bezug auf die IT-Infrastruktur als auch auf die OT-Integrität. Die Zuverlässigkeit ist dabei von zentraler Bedeutung und hat oftmals größeren Einfluss als die IT, weil sie sich auf die Integrität des Eigentums und natürlicher Personen auswirken kann. Informationssysteme von produzierenden Unternehmen unterscheiden sich von denen anderer Wirtschaftszweige. Dadurch werden Sicherheits- und Schutzmaßnahmen erforderlich, die eine geschäftsspezifische Logik integrieren. So bieten herkömmliche, funktionsübergreifende Sicherheitslösungen kein entsprechendes Sicherheitsniveau für diesen Bereich.

  • Next Generation Cryptography

    Ob Online-Banking oder Blockchain - die meisten IT-Sicherheitsmechanismen für Daten und digitale Kommunikation beruhen auf Kryptografie. Quantencomputer und neue Angriffsmöglichkeiten bedrohen zahlreiche dieser IT-Sicherheitsmechanismen. Wie Wirtschaft und Gesellschaft die Cyberwelt in der Zukunft vor solch großen Bedrohungen schützen können, diskutierten Experten aus Wirtschaft, Forschung und Politik beim Eberbacher Gespräch "Next Generation Cryptography". Das Fazit der Experten: Kryptografie muss dringend flexibler werden, um schnell auf technische Veränderungen reagieren zu können. Falls dies nicht umgehend geschieht, droht der Cyberwelt ein Supergau. Die Experten empfehlen deshalb Aufklärung, die Entwicklung von Praxishilfen sowie EU-Mindeststandards und einen EU-Expertenrat für Kryptografie. Der vollständige Bericht ist im Internet unter www.sit.fraunhofer.de/eberbach-crypto kostenlos verfügbar.

  • Crypto-Mining als Geschäftsmodell

    Cryptowährungen von Bitcoin bis Petro beruhen auf sehr anspruchsvollen mathematischen Verschlüsselungen. Um sie zu erzeugen, ist extrem viel Rechenkraft notwendig. Diese kann beispielsweise in Server-Farmen produziert werden, deren Betrieb jedoch teuer ist. Immer häufiger lagern daher Webseitenbetreiber das sogenannte Schürfen von Cryptowährungen unbemerkt an Surfer im Internet aus. Alles was es dazu bedarf, ist das Platzieren entsprechender Scripte auf einem Webserver. Daraus sind inzwischen erste Geschäftsmodelle entstanden. "Das bekannteste Beispiel ist derzeit Coinhive, ein Javascript, welches Webseitenbetreiber in ihrem Webangebot einbauen können", sagt Patrick Koetter, Leiter der Kompetenzgruppe Anti-Abuse beim eco - Verband der Internetwirtschaft e. V. und CEO der sys4 AG. "Über die im Browser ausgeführten Rechenoperationen wird dabei die Cryptowährungen Monero erzeugt und ein so erzielter Gewinn an den Webseiten-Betreiber ausgezahlt."

  • Zugangsdaten im Netz

    Die IT-Sicherheitsanalysten von RadarServices haben eine Sammlung von insgesamt 21 Millionen ausgespähten Zugangsdaten im Netz gefunden. Es handelt sich um E-Mail-Adressen, Passwörter und Webseiten, auf denen diese Login-Daten eingesetzt wurden. Alle Datensätze waren auf einer Webseite öffentlich zugänglich. Die Seite ist mittlerweile nicht mehr erreichbar. Die Sammlung umfasst entwendete Login-Daten von 1.400 Webseiten, darunter vor allem Seiten von privaten Weiterbildungsanbietern. Auch die Login-Informationen aus dem Vorfall bei Cybasar.at, der Ende Januar 2017 in Österreich publik wurde, sind darin enthalten.