10.11.2016 Das Geschäftsmodell von IoT Device Anbietern sieht Security (Patches) meist nicht vor!

Viele Hersteller von vernetzten Produkten und Smart-Home Produkten haben recht kurze Lebenszyklen für ihre Produkte konzipiert - oft wird ein Gerät nur einige Monate (1-2 Jahre) angeboten und dann gibt es schon den Nachfolger. Auch der Nachfolger basiert oft auf dem gleichen Softwarestand, und der ist oft schon viele Jahre alt.

Patches gibt es bei vielen Produkten überhaupt nicht oder nur dann, wenn die Funktion massiv beeinträchtigt ist. Sicherheit war bis jetzt offensichtlich kein Thema. Das Problem dabei ist, dass solche Devices of sehr lange im Einsatz sind (WebCams, Smart-Home Lösungen oft 10-20 Jahre oder länger). In der Zwischenzeit werden viele Lücken gefunden (OpenSSL, OpenSSH, Shellshock, etc.) - und die Hacker müssen nur noch diese Lücken ausnutzen und die Devices übernehmen.

Das Ergebnis kennen wir: DDoS Angriffe mit über einen TBit - wir haben darüber berichtet.

Wie könnten Lösungen aussehen? Heise bingt einige Vorschläge zu diesem Thema.