Security

Hacken statt Fenster aufhebeln: Smart Buildings brauchen Cybersicherheit

Smart Homes, intelligente Fabriken und Verwaltungsgebäude repräsentierten bereits im vergangenen Jahr laut Gartner rund 45 Prozent aller “vernetzten Dinge“ weltweit. Das Analystenhaus schätzt, dass in diesen “Smart Buildings” über 206 Millionen entsprechend vernetzte Geräte in Betrieb sind, deren Anzahl sich zudem bis 2017 auf 648 Millionen mehr als verdreifachen wird. Dies ist eine Entwicklung, die Kopfzerbrechen bereiten könnte: Denn die größte Gefahr ist die Sorglosigkeit.

Vernetzte Gebäude schaffen eine Art „Schatten-IoT“ – ein stetig wachsendes Netzwerk an Geräten, die mit dem Internet verbunden sind, aber vom Radar üblicher Sicherheitsmaßnahmen im Zuge der digitalen Vernetzung noch nicht erfasst wurden. Das heißt: Gebäude, die eine Anbindung an das IoT haben, sind Cyberattacken ziemlich schutzlos ausgeliefert. Über die damit verbundenen Risiken wurde noch kaum nachgedacht.

Hier lauert jedoch eine erhebliche Gefahr. Denn bei einem Angriff auf ein vernetztes Gebäude können nicht nur sensible Daten gestohlen oder IT-Systeme manipuliert werden, sondern es drohen auch physische Schäden für Menschen und Gebäude. Denn moderne Gebäudesysteme steuern oft auch Aufzüge, Rolltreppen, Brandmeldeanlagen und gebäudeinterne Sicherheitssysteme. In besonders sicherheitssensiblen Einrichtungen wie etwa Flughäfen, Kraft- oder Klärwerken, Hospitälern oder Haftanstalten könnten die Folgen mangelnder Sicherheit sogar noch dramatischer sein. IBM hat dies in einem „Ethical Hacking Experiment“ vor kurzem simuliert.

Das IBM Ethical Hacking Experiment mit Smart Buildings

IBM hat in diesem Experiment einen Angriff auf ein real vernetztes Gebäude nachgestellt. Entdeckt wurden dabei ein gutes Dutzend Sicherheitslücken, die es den beauftragten Hackern nicht nur ermöglichten, in das Gebäudesystem einzudringen, sondern auch Zugriff auf den zentralen Server zu erlangen, über den über 20 weitere Gebäude überall in den USA gesteuert werden. Würde es echten Cyberkriminellen gelingen, die Kontrolle über diesen Server zu bekommen, hätte das gravierende Folgen für die gesamte Gebäudesicherheit, angefangen von der Steuerung der Fahrstühle bis hin zur Stromversorgung. So lautete das ernüchternde Fazit dieses Experiments.

smart-buildings-a-back-door-for-hackers-1-638Smart Buildings benötigen dringend mehr Sicherheit.

Hier besteht echter Handlungsbedarf: Die IoT-basierte Vernetzung von Gebäuden schreitet unaufhaltsam voran. Außerdem gaben in einer aktuellen Umfrage unter sogenannten Building Automation System-(BAS-)Managern 84 Prozent der Befragten an, dass sie mindestens ein Gebäude-System verwalten, das mit dem Internet verbunden ist. Und vier von zehn bestätigten, dass solche Systeme auch mit übergeordneten Unternehmensnetzwerken verbunden sind. Dennoch haben bisher nicht einmal ein Drittel der Befragten Maßnahmen ergriffen, um die Cybersicherheit ihrer intelligenten Gebäude an die neuen Entwicklungen anzupassen.

Technologien und Lösungen sind vorhanden, um smarte, vernetzte Gebäude gegen Cyberattacken zu schützen. Doch noch fehlt in vielen Fällen das Bewusstsein dafür, wie angreifbar Smart Buildings auch sein können. Hier sollten die Verantwortlichen unbedingt aktiv werden.

Schreiben Sie mir, wenn Sie Interesse an einem vertieften Dialog zum Thema haben.

Zusätzliche Informationen im IBM Security-Intelligence-Blog: https://securityintelligence.com/is-your-smart-office-creating-backdoors-for-cybercriminals/

Add Comment
2 Comments

Leave a Reply

Your email address will not be published.Required fields are marked *


Ernst-Dieter Weißenberger

Ich begrüße es, dass das Thema “Sicherheit im IoT” hier aufgegriffen wird. Meiner Meinung nach ist das Thema wesentlich brisanter, als es in dem Artikel beschrieben wird. Dass es zB Telefone gibt, bei denen das Mikrofon der Freisprecheinrichtung von außerhalb eingeschaltet werden kann (ohne die zugehörige LED einzuschalten), ist bekannt. Im gewerblichen Bereich, der hier angesprochen wurde, kann ich mir entsprechende Sicherheitseinrichtungen noch vorstellen. Wobei der Vorschlag, alles mit einem möglichst langen Passwort zu schützen, und die Passwörter nicht im Klartext zu speichern, etwas hilflos klingt.

Bei IoT im privaten Bereich sehe ich noch viel größere Sicherheitsprobleme. Wenn ich mir vorstelle, dass jedes Elektrogerät (Kühlschrank, Kaffeemaschine, Heizung, Schließsystem, Alarmanlage, …) mit dem Internet verbunden ist, dazu kommen die Wearables zB in der Kleidung. Salopp gesagt: Über die Elektronik in meiner Hose wird das Schließsystem meines Hauses gesteuert. Ich frage mich, wie dieser Teil der Zukunft funktionieren soll. Wie stelle ich einen regelmäßigen Firmware- und Antivirus-Update meines Kühlschranks über 20 Jahre sicher ? Wie funktioniert der Antivirus-Update meiner Winterjacke ? Für den privaten Bereich sehe ich da keine Lösungen. Ich möchte in diesem Zusammenhang daran erinnern, wie schwer es vor einigen Jahren war, die Fachwelt und die Gerichte davon zu überzeugen, dass Bankkarten ausgespäht werden können. Scharen von Gutachtern haben nachgewiesen, dass sowas vollkommen unmöglich ist. Wenn ich das auf das IoT transformiere bekomme sehe ich einen erheblichen Handlungsbedarf.

Reply

    Guten Tag, danke für Ihre Meinung! Es ist richtig, daß das Internet der Dinge völlig neue Sicherheitsfunktionen benötigen wird, um zu funktionieren und Akzeptanz zu finden. IBM forscht und entwickelt hier mit wichtigen Industriepartnern an vielen Themen, es gibt außerdem bereits erprobte Lösungen. Ein Beispiel für das vernetzte Auto ist die zur IAA vorgestellte Security-Kooperation mit Giesecke&Devrient.
    Grundsätzlich sehen wir im Security-Bereich auch Analogien zum Hase/Igel-Rennen. Fertig wird die Branche mit dem Thema auf absehbare Zeit nicht sein. Schlüsselpunkt wird der Faktor Mensch bleiben.

    Reply

More Security Stories

Millennials setzen auf biometrische Authentifizierung, die Generation 55+ auf starke Passwörter

Ob bei der Anmeldung in Anwendungen oder an Geräten – Sicherheit hat bei Verbrauchern weltweit mittlerweile höchste Priorität. Das zeigt eine neue globale Studie mit knapp 4.000 Befragten aus den USA, APAC und der EU, die kürzlich von IBM Security in Auftrag gegeben wurde. Unterschiede ergeben sich vor allem in Bezug darauf, wie die Befragten […]

Free flow of data: Lasst die Daten frei!

In Europa können sich Bürger, Waren und Kapital frei bewegen, die Daten stoßen aber – trotz der Vision eines digitalen Binnenmarktes – häufig noch an nationale Schlagbäume. Dabei liegt es in der ursprünglichen Bedeutung des Wortes „Daten“. Wörtlich übersetzt aus dem Lateinischen ist es eine Vergangenheitsform des Verbs „dare“ und bedeutet „gegeben“. Das Wort beinhaltet […]

DSGVO: Digitale Persönlichkeitsrechte – neu definiert

Am 25. Mai 2018 ist es soweit: die von der EU verabschiedete neue Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Mit diesen neuen, strikteren Vorschriften sollen die Datenschutzregeln in allen 28 EU-Mitgliedsstaaten möglichst weitgehend harmonisiert werden. Sie soll, vereinfacht ausgedrückt, die Persönlichkeitsrechte und die Sicherheit der EU-Bürger im Umgang mit ihren Daten stärken. Die Missachtung dieser neuen […]