Fehlkonfiguration in Telekom-Router leakt 30.000 Patientendaten
Das Internet der Dinge ist Fluch und Segen zugleich: Während vernetzte Geräte unseren Alltag optimieren und Unternehmen neue lukrative Geschäftsmöglichkeiten eröffnen, sind die Auswirkungen der zunehmenden Vernetzung auf unsere physische und digitale Sicherheit weniger positiv. Tatsache ist: Im gleichen Maße, indem die Zahl von IoT-Geräten steigt, steigt auch das Risiko für Missbrauch, Datendiebstahl oder gefährlichen Manipulationen.
Und dafür ist nicht einmal großes Hackergeschick vonnöten: Vielmehr reichen ein herkömmlicher Telekom-Router und eine einfache Fehlkonfiguration aus, um für einen schweren Datenschutzvorfall zu sorgen. So passiert jüngst in einer niedersächsischen Arztpraxis. Deren 30.000 sensible Patienten- und Mitarbeiterdaten waren über einen Windows-Server für jedermann im Internet frei zugänglich. Ein Supergau – nicht nur in Hinblick auf die EU-DSGVO.
Schuld an dieser Misere war eine falsche Konfiguration der Ports. Untersuchungen zeigten später, dass der Business-Router bei der Freigabe des Dienstes „HTTPS“ nicht wie vorgesehen nur den Standardport 433, sondern gleich zehn Ports für Zugriffe aus dem Internet öffnet. Ein kleiner Fehler, der schwerwiegende Konsequenzen für den Nutzer nach sich zieht.
Der Vorfall ist ein ideales Abbild unserer momentanen IoT-Sicherheit: Wie eine Untersuchung der Firmware-Analyseplattform IoT Inspector gezeigt hat, weisen mehr als 90 Prozent der IoT-Firmwaredateien kritische Sicherheitslücken auf. Dazu zählen neben Fehlkonfigurationen vor allem fest programmierte Passwörter im Firmware-Dateisystem, versteckte Standard-User-Credentials oder SSH Host-Keys. Dies betrifft Netzwerkkameras genauso wie modernes Kinderspielzeug.
Für Hersteller von IoT-Geräten zählt heutzutage vor allem eine möglichst günstige Entwicklung und schnelle Time-to-Market, was zur Folge hat, dass eine wirksame Überprüfung auf potenzielle Sicherheitslücken regelmäßig vernachlässigt wird. Dies ist freilich riskant, denn eine nachträgliche Behebung einer solchen Lücke – zum Beispiel in zehntausenden, weltweit eingesetzten IoT-Komponenten – dürfte sie teurer zu stehen kommen als eine frühzeitige Analyse und eventuelle Schwachstellenbehebung vor dem Rollout. Sie sollten stets bedenken: Vorbeugung ist besser als Heilen.
Unternehmen und Serviceprovidern kann ich nur raten, selbst aktiv zu werden und nach Verwundbarkeiten in den eingesetzten Geräten zu suchen. Um später keine bösen Überraschungen zu erleben, sollten sie die Firmware von neuen IoT-Devices idealerweise schon vor deren Einsatz auf Sicherheitslücken untersuchen. Nur so können sie eingreifen und Schutzmaßnahmen rechtzeitig daran anpassen