Leck im Casino-Aquarium

30 Apr 2018

Leider spielt die Sicherheit bei IoT-Geräten nicht immer eine große Rolle. Unter den zahlreichen vernetzten Geräten, gibt es vermutlich eine Vielzahl, von denen wir noch nie etwas gehört haben. Die Praxis hat uns gezeigt, dass IoT-Bedrohungen die unangenehme Angewohnheit besitzen ihre Nutzer, sagen wir mal, in flagranti, zu erwischen. In diesem Beitrag möchten wir Ihnen von einem weiteren scheinbar harmlosen Gerät berichten.

Unzureichende Sicherheit

Vor kurzem installierte ein Casino in den USA ein „smartes“ Aquarium in seiner Lobby, um die Fütterung, den Salzgehalt und die Wassertemperatur automatisch zu regulieren. Bei einer exzessiven oder zu geringen Wassertemperatur würde das Thermostat dem Besitzer online eine Warnmeldung übermitteln.

Das Gerät wurde hinter einem VPN versteckt, um es vor Eindringlingen zu schützen. Aber diese Sicherheitsmaßnahme erwies sich als unzureichend – das scheinbar harmlose Thermostat bot anderen Knoten im lokalen Netzwerk eine Backdoor.

Leck im Aquarium

Es stellte sich heraus, dass das Aquarium 10 GB Daten irgendwo nach Norwegen gesendet hatte. Die für die Internetsicherheit zuständigen Mitarbeiter hatten Mühe herauszufinden, welche Informationen in die Hände der anonymen Hacker geraten waren. Später fand man heraus, dass die gesamte Datenbank der High-Roller des Casinos an die Kriminellen weitergeben wurde. Welche genauen Informationen betroffen sind, wollten offizielle Quellen nicht preisgeben. Aber ganz gleich, ob es sich nur um Namen oder um Kontaktinformationen oder sogar um Kreditkartennummern handelt: der Reputationsschaden ist unermesslich. Der Name des Casinos wurde aus offensichtlichen Gründen nicht veröffentlicht.

Vorsicht ist besser als Nachsicht

Unternehmen, die ihre Kunden nicht so leichtsinnig wie dieses Casino aufs Spiel setzen möchten, sollten folgende Regeln beachten:

  • Es reicht nicht aus, nur die Endgeräte zu schützen. Eindringlinge können jedes Gerät als Angriffspunkt nutzen, daher sollten Sicherheitslösungen auch auf Servern und Gateways installiert werden. Idealerweise sollte jeder Kontakt mit der Außenwelt blockiert werden, der Zugang über unbekannte Ports oder obskure Protokolle sucht;
  • Allen Geräten, die für Kernaufgaben keine Internetverbindung benötigen, sollte der Internetzugang verweigert werden;
  • Konfigurieren Sie alle IoT-Geräte sorgfältig, da es bislang noch keine Möglichkeit gibt, Sicherheitslösungen auf ihnen zu installieren;
  • Führen Sie periodische Penetrationstests durch. Diese Überprüfungen werden dazu beitragen, Schwachstellen aufzuspüren.