Das OWASP-Projekt ist vor allem bekannt für seine regelmäßig aktualisierten Top Ten der häufigsten Schwachstellen in Webapplikationen. Mittlerweile gibt es jedoch auch ein Team, das sich mit der Zusammenstellung einer Liste der häufigsten Schwachstellen im Internet of Things (IoT) beschäftigt. Von Glühbirnen, über die Hausautomatisierung bis hin zu Connected Cars haben diese smarten Produkte eins gemeinsam: Sie enthalten vollwertige Computer und kommunizieren mittelbar oder unmittelbar über das Internet und sind auch über dieses erreichbar. Das macht sie zur lohnenden Zielscheibe für Angreifer, bspw. Betreiber von Botnetzen, zum Versand von Spam oder zur Verteilung von Schadsoftware.
Das OWASP IoT Top Ten Projekt bietet auf seiner Seite nicht nur die Liste der häufigsten Schwachstellen, sondern auch Empfehlungen und Maßnahmen, sowie einen Leitfaden zur Prüfung von IoT-Geräten.
Im Folgenden werden die OWASP Internet of Things Top Ten gelistet und kurz erläutert:
1: Schwache, leicht zu erratende oder fest einprogrammierte Kennwörter
Viele Geräte haben Standardkennwörter, deren Änderung durch den Benutzer nicht erzwungen wird. Die Standardkennwörter sind üblicherweise kurz und leicht zu erraten, z.T. sogar bei der Auslieferung geräteübergreifend identisch. Darüber hinaus fehlt oft eine erzwungene Kennwortrichtlinie, sodass Benutzer schwache Kennwörter einstellen können. Etliche Geräte enthalten auch fest einprogrammierte Kennwörter oder Backdoors, die sich nicht ändern oder entfernen lassen. Hierdurch lassen sich Geräte leicht von außen kompromittieren. Das Mirai-Botnetz nutzte diese Kennwortschwächen großflächig aus.
2: Unsichere Netzwerkdienste
Für die eigentliche Funktionalität nicht benötigte oder unsichere Dienste werden nach außen verfügbar angeboten und gefährden Vertraulichkeit, Verfügbarkeit und Integrität der auf den Geräten verarbeiteten Daten und deren Funktionen. Sie bieten u.U. auch ein Einfallstor für die weiteren IT-Systeme im Netzwerk.
3: Unsichere „Ökosystem“-Schnittstellen
Webdienste oder Schnittstellen, die der Hersteller des Geräts im Internet betreibt (z.B. um auf Videodaten von Kameras zuzugreifen), können Schwachstellen enthalten, wie z.B. fehlende oder fehlerhafte Zugangskontrollen sowie schwache Verschlüsselung.
4: Unsicherer Update-Mechanismus
Häufig fehlen IoT-Geräten Mechanismen zum sicheren Einspielen von Updates. Hierzu zählen bspw. die Prüfung der Authentizität des zu installierenden Updates und die Sicherstellung der Integrität der Übertragung mittels Signaturalgorithmen.
5: Einsatz unsicherer oder veralteter Komponenten
Die Software (und auch die Hardware) der meisten IoT-Geräte greift auf Drittanbieter-Komponenten zurück. Beim Einsatz veralteter Komponenten oder der fehlerhaften Anpassung an das Produkt können Schwachstellen entstehen.
6: Unzureichender Datenschutz
Die auf dem Gerät oder im Ökosystem des Herstellers eingegebenen personenbezogenen Daten werden auf unsichere Weise oder unzweckmäßig verarbeitet. Oft fehlt es auch an einer Möglichkeit zur Einwilligung in die Verarbeitung.
7: Unsichere Übertragung und Speicherung von Daten
Durch fehlende oder schwache Verschlüsselung ist die Vertraulichkeit der auf den Geräten oder im Ökosystem des Herstellers gespeicherten Daten und der Daten, die über das Internet übertragen werden, gefährdet.
8: Fehlendes Device-Management
Häufig bieten IoT-Geräte keine Möglichkeiten oder Schnittstellen für die Eingliederung in ein zentrales Asset- oder Update-Management, was bspw. den gleichzeitigen, sicheren Einsatz einer Vielzahl an Geräten oder den Betrieb von Geräten in Firmennetzwerken erschwert.
9: Unsichere Standardeinstellungen
Bei Inbetriebnahme eines Gerätes ist dieses oftmals so konfiguriert, dass erst vom Benutzer Einschränkungen vorgenommen werden müssen, um die Sicherheit und den Datenschutz zu erhöhen, Privacy-by-Default ist häufig nicht gegeben.
10: Fehlende physische Härtung
Geräte bieten vielfach keinen oder nur geringen Schutz vor physischen Angriffen, was den sicheren Betrieb an öffentlichen oder leicht zugänglichen Orten erschweren kann. Hierzu gehört auch die Verfügbarkeit von überflüssigen Geräteschnittstellen.