Eine meiner liebsten Traditionen auf Industriekonferenzen ist das Buzzword-Bingo. Welche Wörter und Sätze werden wir bei fast jedem Vortrag, Treffen und an jedem Messestand zu hören bekommen? Meist dauert es nicht lange, bis wir die beliebtesten Schlagwörter herausfinden; und auf der diesjährigen Black Hat standen Smart Cities ganz weit oben auf der Liste.
Der Begriff ist nicht neu und auch das Konzept scheint tatsächlich eines zu sein, für das wir uns alle begeistern könnten. Eine Smart City nutzt Technologien, die Anwohnern dabei hilft, glücklicher zu leben, indem sie Überschwemmungen verhindert, den Verkehr reduziert, die Müllabfuhr automatisiert und vieles mehr. Klingt doch eigentlich ziemlich gut, oder?
Doch wie so oft, gibt es auch hier einen Haken: Die intelligenten Geräte und Systeme ermöglichen den Smart-City-Technologien eine Verbindung mit dem Internet – und weisen einige zusätzliche Schwachstellen auf, die zu realen Problemen führen können.
Oftmals tun viele Nutzer die Unsicherheiten des IoTs mit einem Achselzucken ab oder verspotten Technologie-Hersteller, weil sie es unbeteiligten Dritten beispielsweise ermöglichen, die Babyphon-Kamera einer Person auszuspionieren oder die Temperatur eines angeschlossenen Thermostats beliebig zu verändern. Wenn wir das Ganze allerdings auf Geräte beziehen, die den Wasserstand an Dämmen kontrollieren, Bewohner überfluteter Straßen alarmieren oder den Strahlungspegel in der Nähe eines Kraftwerks verwalten, sprechen wir von Paniktasten völlig anderer Ausmaßen.
Am zweiten Tag der Konferenz präsentierten Forscher von Threatcare und IBM X-Force Red gemeinsame Forschungsergebnisse, in denen sie die Zero-Day-Bedrohungen beschrieben, die sie in vier verschiedenen Smart City-Technologien gefunden hatten.
Mithilfe der IoT-Suchmaschinen Shodan und Censys fanden die Forscher heraus, dass smarte Geräte vor allem in Städten in den USA und Europa verwendet werden. Insgesamt wurden 17 Schwachstellen gefunden, von denen mehr als die Hälfte als kritisch eingestuft werden kann.
Die Suche ergab auch, dass ein anfälliges Gerät in Europa zur Erkennung von Strahlungen und in den USA zur Verkehrskontrolle genutzt wird. (Die Forscher benachrichtigten die zuständigen Behörden und Agenturen unverzüglich über die Schwachstellen.)
Die Sicherheitslücken waren für die Forscher nicht besonders schwer zu finden und könnten durch die Anbieter durch das Ergreifen grundlegender Maßnahmen behoben werden.
Wie Sie sehen können, sind die Bedrohungen real. Glücklicherweise zeigten sich die Verkäufer den Forschern gegenüber kooperativ und veröffentlichten Patches für die Schwachstellen. Ob die betroffenen Gemeinden die Patches aber auch zeitnah angewendet haben, können wir nicht sagen.
Um potenzielle Worst-Case-Szenarien auch weiterhin zu beleuchten, erstellten die Forscher ein Damm-Modell, das auf einem der Geräte basierte, die sie in ihrer Studie genauer unter die Lupe nahmen. Mit intelligenten Sensoren wurde der Wasserstand im Damm kontrolliert. Mit einem Angriff, der weniger als eine Minute dauerte, ließ das Team das gesamte im Damm angesammelte Wasser ab und überflutete den unten angrenzenden Fluss und somit auch die nahegelegenen Straßen.
Noch einmal zur Wiederholung: Bei dem Gerät handelt es sich nicht um ein willkürliches IOT-Gerät, sondern um Equipment, das in realen Städten verwendet wird. Ganze Regierungen und Stadtgemeinden verlassen sich bei ihren täglichen Aufgaben auf diese Geräte. Wenn Sicherheitsforscher in solchen Gadgets Schwachstellen mit minimalem Aufwand finden können, ist es nur eine Frage der Zeit, bis Cyberkriminelle das Gleiche tun.
Wir können uns über den Angstfaktor lustig machen, aber Städte wären klug, wenn sie den Rat dieser Cybersicherheitsforscher beherzigen; Smart Cities sind eine boomende Branche, die in den nächsten drei Jahren voraussichtlich auf einen Marktwert von geschätzt 135 Milliarden US-Dollar wachsen wird. Und im Gegensatz zu den üblichen IoT-Geräten, mit denen Sie eine Pizza nach Hause bestellen können, schützen diese Geräte, was in einer Stadt wirklich zählt: ihre Anwohner.