{"id":18641,"date":"2019-02-28T16:15:08","date_gmt":"2019-02-28T14:15:08","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18641"},"modified":"2019-11-22T12:10:01","modified_gmt":"2019-11-22T10:10:01","slug":"securing-prosthetic-arm","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/securing-prosthetic-arm\/18641\/","title":{"rendered":"Wir hacken eine smarte Handprothese, bevor es andere tun"},"content":{"rendered":"<p>\u201eDas S in IoT steht f\u00fcr Sicherheit\u201c \u2013 hierbei handelt es sich vermutlich um einen der mit Abstand bekanntesten Witze im Bereich der Informationssicherheit der vergangenen Jahre. Warum, k\u00f6nnen Sie sich h\u00f6chstwahrscheinlich denken. Tats\u00e4chlich machen sich Sicherheitsexperten bereits seit einiger Zeit \u00fcber das Internet der Dinge lustig, und auf so gut wie <em>jeder<\/em> erw\u00e4hnenswerten Hacker-Konferenz kommt ein Smart-Ger\u00e4t zur Sprache, das wieder einmal auf verr\u00fcckte Art und Weise gehackt werden konnte. Experten haben sich bereits so sehr an dieses Szenario gew\u00f6hnt, dass sie vollkommen \u00fcberrascht sind, wenn das Gegenteil eintritt und eines dieser intelligenten <a href=\"https:\/\/www.kaspersky.de\/blog\/xiaomi-mi-robot-hacked\/15605\/\" target=\"_blank\" rel=\"noopener\">Gadgets vergleichsweise sicher ist<\/a>.<\/p>\n<p>Normalerweise konzentriert sich die Forschung auf IoT-Schwachstellen, die eine Bedrohung f\u00fcr Nutzer darstellen. Aber jede M\u00fcnze hat zwei Seiten: Schwachstellen in Smart-Ger\u00e4ten k\u00f6nnen auch f\u00fcr ihre Entwickler gef\u00e4hrlich werden und zu Datenlecks bzw. -sch\u00e4den f\u00fchren, die Infrastruktur st\u00f6ren oder die Ger\u00e4te selbst vollkommen nutzlos machen.<\/p>\n<p>Auf dem MWC19 in Barcelona pr\u00e4sentierten die Experten unseres \u201e<em>Industrial Control Systems Cyber \u200b\u200bEmergency Response Teams\u201c<\/em> (<a href=\"https:\/\/ics-cert.kaspersky.com\/services\/\" target=\"_blank\" rel=\"noopener\">ICS CERT<\/a>) <a href=\"https:\/\/securelist.com\/how-to-attack-and-defend-a-prosthetic-arm\/89693\/\" target=\"_blank\" rel=\"noopener\">einen Bericht \u00fcber Smart-Prothesen von Motorica<\/a>.<\/p>\n<p>Beginnen wir zun\u00e4chst mit den guten Nachrichten: Unsere Experten konnten keine Schwachstellen in der Firmware der Prothesen selbst ausfindig machen und auch die Daten, die Motorica behandelt, flie\u00dfen lediglich in eine Richtung \u2013 n\u00e4mlich von der Prothese in die Cloud. Das bedeutet, dass es zum Beispiel nicht m\u00f6glich ist, eine mit dem Internet verbundene Prothese zu hacken und diese fernzusteuern.<\/p>\n<p>Eine n\u00e4here Untersuchung ergab jedoch einige schwerwiegende M\u00e4ngel bei der Entwicklung der Cloud-Infrastruktur zur Sammlung und Speicherung von Telemetriedaten der Prothesen, die es Hackern erm\u00f6glichen:<\/p>\n<ul>\n<li>Zugriff auf die Daten aller Systemkonten (Nutzer <em>und<\/em> Admin), einschlie\u00dflich unverschl\u00fcsselter Benutzernamen und Passw\u00f6rter, zu erlangen.<\/li>\n<li>Alle in der Datenbank gespeicherten Telemetriedaten zu lesen, l\u00f6schen und zu bearbeiten oder neue Eintr\u00e4ge zu erstellen.<\/li>\n<li>Neue Accounts hinzuzuf\u00fcgen (einschlie\u00dflich Admin-Konten).<\/li>\n<li>Bestehende Accounts zu l\u00f6schen oder zu bearbeiten (so kann beispielsweise das Admin-Passwort ge\u00e4ndert werden).<\/li>\n<li>Eine <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dos-denial-of-service-attack\/\" target=\"_blank\" rel=\"noopener\">DoS-Attacke<\/a> gegen einen Administrator auszuf\u00fchren und so den Zugriff auf das System zu blockieren.<\/li>\n<\/ul>\n<p>Diese Schwachstellen k\u00f6nnen m\u00f6glicherweise zur Besch\u00e4digung oder dem Leak von Nutzerdaten f\u00fchren. Der vorletzte Punkt auf unserer Liste w\u00fcrde dar\u00fcber hinaus die ben\u00f6tigte Reaktionszeit im Falle eines Hacks enorm erh\u00f6hen.<\/p>\n<p>Nat\u00fcrlich haben unsere Forscher Motorica \u00fcber alle entdeckten Schwachstellen informiert und mittlerweile konnten alle Probleme behoben werden. Leider handelt es sich hierbei lediglich um einen kleinen Sieg in der gro\u00dfen Schlacht, das Internet der Dinge sicher(er) zu machen. Folgende Dinge m\u00fcssen sich in Zukunft definitiv \u00e4ndern:<\/p>\n<ul>\n<li>Entwickler sollten sich mit den h\u00e4ufigsten Bedrohungen und <em>Best Practices<\/em> f\u00fcr die Erstellung von sicherem Code vertraut machen. Dies ist in allen Entwicklungsstadien von entscheidender Bedeutung \u2013 unsere Untersuchung zeigt deutlich, dass Fehler bei der Erstellung eines Teils des Systems katastrophale Auswirkungen haben k\u00f6nnen.<\/li>\n<li>Hersteller von Smart-Ger\u00e4ten sollten <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/bug-bounty\/\" target=\"_blank\" rel=\"noopener\">Bug-Bounty-Programme<\/a> einf\u00fchren, die besonders effektiv sind, um Schwachstellen zu finden und zu beheben.<\/li>\n<li>Idealerweise sollten Produkte, die sich in der Entwicklung befinden, Sicherheitsbewertungen, die von Informationssicherheitsexperten durchgef\u00fchrt werden, unterzogen werden.<\/li>\n<\/ul>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/15SVsmUtNLM?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auf dem MWC 2019 in Barcelona pr\u00e4sentierten unsere Experten eine Studie \u00fcber die Sicherheit der Smart-Prothesen von Motorica.<\/p>\n","protected":false},"author":40,"featured_media":18642,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[2782,2239,1027,1631,1910,312,1367,3223],"class_list":{"0":"post-18641","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ics-cert","9":"tag-idd","10":"tag-internet-der-dinge","11":"tag-internet-of-things","12":"tag-iot","13":"tag-mobile-world-congress","14":"tag-mwc","15":"tag-mwc19"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/securing-prosthetic-arm\/18641\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/securing-prosthetic-arm\/15335\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/securing-prosthetic-arm\/12899\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/securing-prosthetic-arm\/17273\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/securing-prosthetic-arm\/15429\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/securing-prosthetic-arm\/14133\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/securing-prosthetic-arm\/17936\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/securing-prosthetic-arm\/16970\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/securing-prosthetic-arm\/22330\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/securing-prosthetic-arm\/25736\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/securing-prosthetic-arm\/11463\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/securing-prosthetic-arm\/11539\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/securing-prosthetic-arm\/10413\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/securing-prosthetic-arm\/22661\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/securing-prosthetic-arm\/23870\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/securing-prosthetic-arm\/18021\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/securing-prosthetic-arm\/22206\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/securing-prosthetic-arm\/22141\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/internet-der-dinge\/","name":"Internet der Dinge"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18641"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18641\/revisions"}],"predecessor-version":[{"id":20898,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18641\/revisions\/20898"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18642"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}