Datenschutzrisiko im IoT Mit MQTT kann jeder ein Atomkraftwerk hacken

publish-industry Verlag GmbH

Unverschlüsselte kritische Infrastrukturen stellen ein enormes Sicherheitsrisiko dar.

22.02.2017

Kritische Infrastrukturen, die nicht einmal durch ein Passwort geschützt sind? Was absurd klingt, ist heutzutage immer noch Realität.

Das IoT-Standardprotokoll MQTT wurde für die zuverlässige Nachrichtenübertragung geschaffen. Jedoch droht das Protokoll, zu einer Spielwiese für Hacker zu werden. Mittlerweile werden zahlreiche Informationen per MQTT (Message Queue Telemetry Transport) ausgetauscht. Autos und Fitnesstracker übertragen über dieses Protokoll Daten - aber auch Sensoren in Gefängnissen und Atomreaktoren.

IoT - nackt und unverschlüsselt

Um die Jahrtausendwende entwickelt, blüht MQTT mit dem Boom des Internet of Things wieder auf. Die Idee der Macher des Protokolls: Telemetriedaten zwischen Sensoren und Servern auch über unzuverlässige Datenverbindungen schicken. Der Haken: Die Übertragung der jeweiligen Telemetriedaten geschieht unverschlüsselt, Betreiber konfigurieren ihre Anwendungen nicht anständig und verzichten gar auf Nutzernamen und Passwörter.

Mit bis zu 60.000 im Netz verfügbaren „Brokern“ ist es Hackern theoretisch möglich, die Daten abzugreifen und sie zu manipulieren. Diese Broker können sowohl Sender als auch Empfänger für zigtausende IoT-Sensoren sein. Wird diese Schwachstelle in kritischen Infrastrukturen missbraucht, sind die Gefahren nicht zu unterschätzen.

Neue Verschlüsselungsformen könnten Abhilfe verschaffen. Allerdings: Bereits der Einsatz von Nutzername und Passwort kann zur Authentifizierungssicherheit von MQTT-Anwendungen beitragen.

Verwandte Artikel