+49 (0) 821 80 99 46-0
Rückruf anfordern
zum Kontaktformular
+49 (0) 821 80 99 46-0
exali.de Mein Business bestens versichert
Mein exali Login
exali.de
  • Versicherungen

    IT und Engineering

    IT-Haftpflicht

    Kreative und Agenturen

    Media-Haftpflicht

    Unternehmensberater

    Consulting-Haftpflicht

    Rechtsanwälte

    Anwalts-Haftpflicht

    eCommerce-Versicherungen

    Webshop-Versicherung
    Portal-Versicherung

    Architekten und Ingenieure

    Architektenhaftpflicht
    Haftpflicht für Ingenieure

    Manager und Beauftragte

    Firmen D&O-Versicherung
    Persönliche D&O Versicherung

    Weitere Versicherungen

    Haftpflicht für Dienstleister
    Cyber-Versicherung

    Allgemein

    Berufshaftpflichtversicherung
    Betriebshaftpflichtversicherung
    Vermögensschadenhaftpflicht
     

    Versicherungslexikon

    Glossar
    Ausgewählte Berufe
  • News & Stories
  • Blog
  • Produktfinder
    Produktfinder
  • Mein exali Login
"Versicherungsschutz unkompliziert und in Echtzeit"
Alexander Schmid
CTO
Ihr Business bestens versichert
Alexander Schmid
CTO
Home / News&Stories /
Flugzeuge, Autos, Atomkraftwerke steuern – Sicherheitslücke macht`s möglich!
MQTT Daten sind frei zugänglich im Netz.

Flugzeuge, Autos, Atomkraftwerke steuern – Sicherheitslücke macht`s möglich!

Beitrag von exaliBeitrag von exaliexali
Beitrag von exaliBeitrag von exaliexali
Freitag, 21. April 2017
Freitag, 21. April 2017
Zurück zur Übersicht

Lust mal Gefängnistüren zu öffnen, ein Atomkraftwerk zu kontrollieren oder den Geldautomaten ein paar Scheinchen ausspucken zu lassen – alles vom heimischen Computer aus? Dafür braucht es keinen Super-Hack. Das ist auf Grund einer Sicherheitslücke beim Telemetrie-Protokoll MQTT gar nicht so schwer. Lustig ist das nicht, denn über MQTT kommuniziert fast alles, was in den falschen Händen großes Unheil anrichten kann! Eine unglaubliche Geschichte…  

60.000 MQTT-Broker öffentlich im Netz

MQTT ist dafür da, Telemetriedaten zwischen Sensoren und Servern zu übermitteln. Auch IoT (Internet of Things)-Sensoren sprechen so mit ihren Servern. Das Problem dabei: Das geschieht völlig unverschlüsselt und ohne Passwortschutz. Über 60.000 dieser MQTT-Broker (zentrale Server) gibt es momentan öffentlich zugänglich im Internet. Jeder von ihnen kann die Gegenstelle von hunderttausenden IoT-Sensoren sein und Daten übermitteln oder entgegennehmen.

Autos, Gefängnisse, Geldautomaten – alles kommuniziert über MQTT

Die Sensoren, die ungeschützt im Netz miteinander kommunizieren, gibt es in Autos, Atomreaktoren, Erdbebensensoren, Gefängnissen, Geldautomaten, Pipelines, TV-Sendern, Flugzeugen und, und, und… Ebenso lange ist die Liste an Informationen, die sie dabei übermitteln: Bitcoin-Daten, Nutzernamen, Passwörter, Stellung des Lenkrads oder Bremspedals in Autos, Strahlungswerte, Geschwindigkeiten und so weiter. Aus Gefängnissen übermitteln sie, ob Türen offen oder geschlossen sind. Der Fernsehsender BBC schickt die Untertitel für sein Programm per MQTT.

Sicherheitsexperte Lucas Lundgren, der laut heise.de die massive Sicherheitslücke aufdeckte, konnte nach eigenen Angaben mithilfe von MQTT das Auto eines Verdächtigen durch die Straßen verfolgen, weil die Polizei einen Tracker an dessen Auto angebracht hatte.

MQTT (Message Queue Telemetry Transport) Protokolle gibt es ungefähr seit der Jahrtausendwende. Sie wurden konzipiert, um Telemetriedaten zwischen Sensoren und Servern über unzuverlässige Datenverbindungen zu schicken. Auch der Messenger von Facebook nutzte früher MQTT. Seit das Internet der Dinge auf dem Vormarsch ist, erlebt MQTT ein Revival. Über die MQTT Protokolle sprechen IoT-Sensoren mit ihren Servern.

Manipulationen spielend einfach!

Das Problem ist nicht MQTT selbst, sondern dass die Betreiber der Software von Datenschutz wohl nicht viel halten und auf Nutzernamen, Passwörter und Verschlüsselung komplett verzichten. Laut Lundgren ist dies nur mit Unwissenheit oder Bequemlichkeit der Administratoren zu erklären. Soweit, so schlimm. Aber das ist noch nicht alles. Um die Broker zu finden, muss nicht mal ein besonders gewiefter Hacker ans Werk. Dies gelingt ganz einfach über Shodan, die Suchmaschine für das Internet der Dinge, oder den Portscanner Nmap. Letzterer, oder ein Tool wie MQTT.fx genügen schon, um sich mit den Brokern zu verbinden. Sie abonnieren einfach per Hashtag die vom Broker gesandten Nachrichten.

Dass Hacker übermittelte Daten mitschneiden können, ist nicht das größte Problem. Sie können ganz einfach eigene Daten zum Broker senden und so von Lenkrad- oder Bremspedalstellungen bei Autos über Entertainment-Systeme bis zu Geldautomaten so ziemlich alles manipulieren. Diese eklatanten Sicherheitslücken könnten durch die Abfrage von Nutzernamen und Passwörtern geschlossen werden.

Wenn die Broker schon öffentlich im Netz stehen müssen, gäbe es auch hierfür viele Möglichkeiten, um die Kommunikation sicherer zu machen. Zum Beispiel ein IP-Whitelisting, sodass keine Anfragen von beliebigen Clients mehr akzeptiert werden. Oder die Datenübertragungen werden per TLS verschlüsselt. Viele Möglichkeiten also – warum diese nicht genutzt werden, bleibt ein Geheimnis der Administratoren.

Bei allem Kopfschütteln über diesen Fall ist eines klar: Es gibt noch viele gravierende Sicherheitslücken im Netz, die nur darauf warten, dass jemand darüber stolpert – oder ein Experte sie offenlegt.   

Frühzeitig absichern – bevor Hacker Ihr Business bedrohen

Auch wenn Sie in Ihrem Business alles tun, dass keine Sicherheitslücken entstehen, ist niemand vor Cyberangriffen sicher. Dabei sind kleine und mittelständische Unternehmen besonders in Gefahr. Im Gegensatz zu Großkonzernen stecken sie die finanziellen Folgen eines Angriffs nicht so einfach weg. Deshalb gilt: Business frühzeitig absichern!  Die Cyber-Versicherung über exali.de schützt vor den unvorhersehbaren Kosten eines Hackerangriffs und den finanziellen Folgen von Schadsoftware sowie bei Datenverlust und Umsatzausfällen.

Weitere interessante Artikel:

  • Unsichtbare Schadsoftware – weltweit 140 Ziele betroffen!
  • Wahl 2017: Bundesregierung rüstet sich gegen Hacker-Angriffe. Eine Gefahr, die jedem Business droht
  • 104 DDoS-Angriffe pro Tag! Neue Studie zeigt gefährlichen Rekord

© Ines Rietzler – exali AG

vorheriger Artikel
 
zurück
 
nächster Artikel
0 Kommentare
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.
Kooperationspartner
Kooperationspartner
Kooperationspartner

Versicherungen

  • IT-Haftpflicht
  • Media-Haftpflicht
  • Consulting-Haftpflicht
  • Anwalts-Haftpflicht
  • eCommerce-Versicherungen
  • D&O Versicherung
  • Architektenhaftpflicht
  • Haftpflicht für Ingenieure
  • Haftpflicht für Dienstleister
  • Cyber-Versicherung
  • Hausverwalter-Haftpflicht
  • Ausgewählte Berufe
  • Schaden melden

News & Stories

  • Artikel
  • Videos
  • Glossar
  • Newsflash abonnieren
  • RSS Feed abonnieren

Kooperationspartner

  • GULP
  • freelancermap
  • BITMi
  • k2 Partnering Solutions
  • Kontist
  • sevDesk
  • Kooperationspartner werden

Über uns

  • Über exali.de
  • Karriere
  • Kontakt
  • Impressum
  • Nutzungsbedingungen
  • Datenschutz
  • Widerrufsbelehrung
© exali AG, alle Rechte vorbehalten
Ihr Webbrowser ist leider veraltet! Aktualisieren Sie bitte Ihren Browser, um alle Funktionen im Beitragsrechner nutzen zu können.
Wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben
Choose the location of your headquarter
Je nach Land können die von exali angebotenen Versicherungen leicht variieren. Bitte wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben, um das für Sie passende Angebot zu erhalten.
Depending on your country, the insurance offered by exali may vary slightly. Please select the country where you have your headquarter to get the offer that suits you best.