Detektion von IoT-Geräten im Netzwerk

Fachbeitrag

Das Thema Digitalisierung durchdringt zunehmend alle Lebens- und Wirtschaftsbereiche. Mit diesem geht einher, dass viele Geräte „smart“ gemacht werden. Abseits davon, dass der Nutzen einiger Produkte zumindest fragwürdig ist, vergrößert sich auch die Angriffsfläche, was insbesondere Kriminelle auf den Plan ruft.

Internet of Things für alles und jeden

Industrie 4.0 ist eines der Schlagwörter, wenn das darum geht, wie sich die Digitalisierung auf die Wirtschaft auswirkt. Neben der Reduzierung von papierbasierten Prozessen geht es auch darum, dass immer mehr Daten elektronisch erfasst und verarbeitet werden. Nicht zuletzt sollen auch mehr Prozesse und Verfahren elektronisch überwacht und automatisiert gesteuert werden. Hierfür werden Geräte vernetzt und neue Produkte mit einer Vielzahl von Sensoren ausgestattet, um verschiedenste Dinge, wie z.B. Temperatur oder Latenzen, zu messen und zu melden. Darauf basierend können andere Systeme dann Entscheidungen treffen, welche sich zum Beispiel direkt auf die Produktionstrasse auswirken können.

„Smarte“ Geräte für Zuhause

Im privaten Bereich wird diese Entwicklung vor allem durch den Begriff „Smart Home“ geprägt. Neue Produkte, die auf den Markt kommen, werden zunehmend vernetzt. Dies ist nicht immer sinnvoll. Denn selbst bei den skurrilsten Produkten wird krampfhaft versucht, eine Vernetzung zu implementieren.

Gefestigter ist der Trend bei Geräten wie Lampen, Audiosystemen, Kameras oder (Tür-)Schlössern. Ob im Speziellen Sicherheitstechnik, wie der Zugang zur Wohnung, digitalisiert und vernetzt werden sollte, sollte jeder für sich selbst entscheiden.

Problematisch ist hier sowohl im privaten als auch im Unternehmenskontext, dass viele Geräte oft nicht im Punkto Sicherheit glänzen. Auch zeigte eine Untersuchung mehrerer Hersteller, dass viele weder offen ihre Standards darlegen, noch auf Hinweise von Sicherheitsforschern reagieren. Einmal verkaufte Geräte werden später nicht gepatcht und bleiben oft auf dem Sicherheitsniveau, welches sie bei der Auslieferung hatten. Und dieses ist meist zum Zeitpunkt des Verkaufs schon problematisch.

Bedeutung bei einem akuten Sicherheitsvorfall

Leidet ein Unternehmen an einem Sicherheitsvorfall, gilt es auch, mögliche IoT-Geräte mit in die Analyse miteinzubeziehen. Problem Nummer eins ist es in der Regel, überhaupt herauszufinden, ob solche Geräte vorliegen und wenn ja, wo und wie viele. Dokumentation ist in vielen IT-Abteilungen generell ein eher unbeliebtes Thema, bei Sonderfällen wie IoT-Geräte trifft dies insbesondere zu.

Weithin sind nicht immer alle vorhandenen Geräte von der IT-Abteilung ins Netzwerk installiert worden. Themen wie Schatten-IT oder mangelnde Netzwerksicherheit sorgen auch für Geräte außerhalb des Kontrollbereichs der IT.

Da IoT-Geräte oft an Schwachstellen leiden, die von den Herstellern auch nachträglich nicht behoben werden, haben Angreifer oft leichtes Spiel, diese zu übernehmen und zweckentfremden. Die IoT-Geräte dienen fortan z.B. als Teil eines Botnetzes oder Backdoor im Unternehmensnetzwerk. Je nach Art des Geräts lassen sich auch weitere Einsatzszenarien ausmalen. So kann die gekaperte Kamerasteuerung auch eine Überwachung des Unternehmens und den Diebstahl von Informationen ermöglichen.

Aus diesen Gründen sollte man solche Geräte während eines IT-Sicherheitsvorfalls im Blickfeld der Untersuchung haben und Mittel bereitstellen, diese zu identifizieren und analysieren.

IoT-Geräte als Beweismittel bei der Strafverfolgung

Abseits des Missbrauchs durch Dritte, kann noch eine ganze andere Komponente beleuchtet werden. IoT-Geräte werden auch für die Strafverfolgung zunehmend interessant.

Zum einen stellen sie, wie jedes andere IT-Gerät, ein mögliches Beweismittel mit relevanten Informationen dar. Zum anderen sind sie dazu geeignet, Spuren zu verwischen. Wird beispielsweise eine Hausdurchsuchung durchgeführt, kann der Verdächtige mittels Sprachbefehl womöglich Spuren löschen. Hängt der Computer an einer smarten Steckdose, kann diese auf Zuruf ausgeschaltet und flüchtige Spuren damit vernichtet werden. Ist der Rechner zudem festplattenverschlüsselt, kommt man ohne Weiteres nicht mehr an die Daten. Analog können solche Mechanismen auch mit Bewegungs- oder anderen Sensoren durchgeführt werden.

Bei Verdächtigen, die z.B. einer TKÜ-Maßnahme nach §100a StPO unterliegen, kann ggf. durch Auswertung der Netzwerkaufzeichnung bereits ein Rückschluss auf mögliche IoT Geräte im Netzwerk getroffen werden. Mit diesen Erkenntnissen können dann geeignete Maßnahmen getroffen werden, um die Sicherung von Beweismitteln im Rahmen der Hausdurchsuchung möglichst verlustfrei bzw. risikoarm durchführen zu können.

Wie findet man heraus, welche IoT-Geräte im Netzwerk hängen?

Bei der Erkennung von IoT-Geräten kann man zwei verschiedenen Ansätzen folgen. Aus der Perspektive der Strafverfolgung eignet sich hier lediglich die zweite Variante.

Scannen innerhalb des Netzwerks

Befindet sich der Analyst innerhalb des zu untersuchenden Netzwerks, kann aktiv nach solchen Geräten gesucht werden. Mittels Portscanner kann ein bestimmter Adressbereich nach Geräten gescannt werden. IoT-Geräte haben oft charakteristische Netzwerkdienste installiert, nach welchen gesucht werden kann.

Weiterhin geben diese bei bestimmten Anfragen Antworten zurück, welche auf das Gerät schließen lassen. Auch dies kann als Kriterium für eine Identifikation genutzt werden.

Auswertung des Netzwerkverkehrs

Ein anderer Ansatz ist die Aufzeichnung des Netzwerkverkehrs mit anschließender Auswertung. Dieser sollte möglichst an einer zentralen Stelle im Netzwerk aufgenommen werden. Liegt eine Segmentierung vor, ergibt es Sinn, für jedes Segment eine eigene Aufzeichnung durchzuführen. Diese dienen nicht zuletzt auch der Analyse des eigentlichen Vorfalls.

Anschließend können die Mitschnitte nach charakteristischen Eigenschaften von IoT-Geräten analysiert werden. Mögliche Parameter sind:

  • Domainnamen Anfragen
  • IP-Adressen
  • Die Verwendung bestimmter Protokolle und Ports
  • Zeichenketten in IP-Paketen

Zudem können statische Auswertungen gefahren werden, welche prüfen, ob Muster bei Paketfolgen oder Kommunikationswegen auftreten.

Woher stammen die Muster und Kriterien?

Es gibt eine Vielzahl von Geräten und „das IoT-Gerät“ oder eine gemeinsame Basis für alle gibt es nicht. Viele basieren z.B. auf einem Unix oder Linux Betriebssystem. Dies selbst zeichnet ein IoT-Gerät aber als solches nicht aus. Aus diesem Grund sind die Geräte Gegenstand aktueller Forschung. Allein das zeigt schon, dass die Erkennung solcher Geräte alles andere als trivial ist.

Analog verhält es sich auch bei der forensischen Auswertung dieser. Eigene Dateisysteme und andere kreative Ideen der Hersteller erschweren hier die Arbeit. Ist die Analyse des Dateisystems gelungen, startet die eigentliche Arbeit, die Lokalisierung der relevanten Daten.

Die Verbreitung wächst stetig

Die Anzahl der Geräte und deren Vielfalt steigt, gleichzeitig tut sich nur wenig an der Sicherheit dieser Geräte. Insbesondere bei günstigen Exemplaren ist „Security by Design“ ein Fremdwort. Zwar wird sich das für einige IoT-Geräte und deren Hersteller durch die gerade beschlossene Ergänzung der Verordnung über Funkanlagen ändern. Deren Umsetzungsfrist läuft aber noch bis August 2024.

Grundsätzlich sollte in Unternehmen eine gute IT-Dokumentation der IoT-Geräte vorhanden sein und gepflegt werden, um nicht im Nachhinein und möglicherweise unter Zeitdruck auf die – wie beschrieben teilweise schwierige – technische Erkennung der IoT-Geräte im Netzwerk angewiesen zu sein. Im Sicherheitskonzept sollten insbesondere solche IoT-Geräte besonders markiert sein, welche keine Updates (mehr) erhalten und entsprechende Maßnahmen zum Schutz implementiert werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.