Mein Business
bestens versichert
 
Dennis Leichter
“Versicherungslösungen für besten Schutz bei undenkbaren Fällen”
Dennis Leichter
Kundenbetreuung
 
Flugzeuge, Autos, Atomkraftwerke steuern – Sicherheitslücke macht`s möglich!
 

60.000 MQTT-Broker öffentlich im Netz

MQTT ist dafür da, Telemetriedaten zwischen Sensoren und Servern zu übermitteln. Auch IoT (Internet of Things)-Sensoren sprechen so mit ihren Servern. Das Problem dabei: Das geschieht völlig unverschlüsselt und ohne Passwortschutz. Über 60.000 dieser MQTT-Broker (zentrale Server) gibt es momentan öffentlich zugänglich im Internet. Jeder von ihnen kann die Gegenstelle von hunderttausenden IoT-Sensoren sein und Daten übermitteln oder entgegennehmen.

Autos, Gefängnisse, Geldautomaten – alles kommuniziert über MQTT

Die Sensoren, die ungeschützt im Netz miteinander kommunizieren, gibt es in Autos, Atomreaktoren, Erdbebensensoren, Gefängnissen, Geldautomaten, Pipelines, TV-Sendern, Flugzeugen und, und, und… Ebenso lange ist die Liste an Informationen, die sie dabei übermitteln: Bitcoin-Daten, Nutzernamen, Passwörter, Stellung des Lenkrads oder Bremspedals in Autos, Strahlungswerte, Geschwindigkeiten und so weiter. Aus Gefängnissen übermitteln sie, ob Türen offen oder geschlossen sind. Der Fernsehsender BBC schickt die Untertitel für sein Programm per MQTT.

Sicherheitsexperte Lucas Lundgren, der laut heise.de die massive Sicherheitslücke aufdeckte, konnte nach eigenen Angaben mithilfe von MQTT das Auto eines Verdächtigen durch die Straßen verfolgen, weil die Polizei einen Tracker an dessen Auto angebracht hatte.

MQTT (Message Queue Telemetry Transport) Protokolle gibt es ungefähr seit der Jahrtausendwende. Sie wurden konzipiert, um Telemetriedaten zwischen Sensoren und Servern über unzuverlässige Datenverbindungen zu schicken. Auch der Messenger von Facebook nutzte früher MQTT. Seit das Internet der Dinge auf dem Vormarsch ist, erlebt MQTT ein Revival. Über die MQTT Protokolle sprechen IoT-Sensoren mit ihren Servern.

Manipulationen spielend einfach!

Das Problem ist nicht MQTT selbst, sondern dass die Betreiber der Software von Datenschutz wohl nicht viel halten und auf Nutzernamen, Passwörter und Verschlüsselung komplett verzichten. Laut Lundgren ist dies nur mit Unwissenheit oder Bequemlichkeit der Administratoren zu erklären. Soweit, so schlimm. Aber das ist noch nicht alles. Um die Broker zu finden, muss nicht mal ein besonders gewiefter Hacker ans Werk. Dies gelingt ganz einfach über Shodan, die Suchmaschine für das Internet der Dinge, oder den Portscanner Nmap. Letzterer, oder ein Tool wie MQTT.fx genügen schon, um sich mit den Brokern zu verbinden. Sie abonnieren einfach per Hashtag die vom Broker gesandten Nachrichten.

Dass Hacker übermittelte Daten mitschneiden können, ist nicht das größte Problem. Sie können ganz einfach eigene Daten zum Broker senden und so von Lenkrad- oder Bremspedalstellungen bei Autos über Entertainment-Systeme bis zu Geldautomaten so ziemlich alles manipulieren. Diese eklatanten Sicherheitslücken könnten durch die Abfrage von Nutzernamen und Passwörtern geschlossen werden.

Wenn die Broker schon öffentlich im Netz stehen müssen, gäbe es auch hierfür viele Möglichkeiten, um die Kommunikation sicherer zu machen. Zum Beispiel ein IP-Whitelisting, sodass keine Anfragen von beliebigen Clients mehr akzeptiert werden. Oder die Datenübertragungen werden per TLS verschlüsselt. Viele Möglichkeiten also – warum diese nicht genutzt werden, bleibt ein Geheimnis der Administratoren.

Bei allem Kopfschütteln über diesen Fall ist eines klar: Es gibt noch viele gravierende Sicherheitslücken im Netz, die nur darauf warten, dass jemand darüber stolpert – oder ein Experte sie offenlegt.   

Frühzeitig absichern – bevor Hacker Ihr Business bedrohen

Auch wenn Sie in Ihrem Business alles tun, dass keine Sicherheitslücken entstehen, ist niemand vor Cyberangriffen sicher. Dabei sind kleine und mittelständische Unternehmen besonders in Gefahr. Im Gegensatz zu Großkonzernen stecken sie die finanziellen Folgen eines Angriffs nicht so einfach weg. Deshalb gilt: Business frühzeitig absichern!  Die Cyber-Versicherung über exali.de schützt vor den unvorhersehbaren Kosten eines Hackerangriffs und den finanziellen Folgen von Schadsoftware sowie bei Datenverlust und Umsatzausfällen.

Weitere interessante Artikel:

© Ines Rietzler – exali GmbH

 
0 Leser-Kommentar
 

Schreiben Sie einen Kommentar

Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

 
 
 
 
 
 
  Absenden  
 
 
exali.de - Versicherungen für Selbstständige, Freiberufler und Unternehmen
Versicherungen für Selbstständige, Freiberufler und Unternehmen

Das Versicherungsportal exali.de bietet IT-Freiberuflern und Dienstleistern, Medienschaffenden und Consultants exklusive Versicherungslösungen, die Ihre geschäftlichen Risiken kalkulierbar machen.

 IT-Versicherung
Bestens versichert rund um IT- & Telekommunikation

  Consulting-Versicherung
Bestens versichert als Consultant, Manager & Trainer

 Media-Versicherung
Bestens versichert im Kreativ-, Agentur, und Medienbereich

  Anwalts-Versicherung
Bestens versichert als Rechtsanwalt und Sozietät

 eCommerce-Versicherung
Bestens versichert als Webshop und Internetportal

  D&O-Versicherung
Bestens versichert als Angestellter bei persönlicher Haftung

 A&I-Versicherung
Bestens versichert als Architekt oder (Bau-)Ingenieur