Eine Unmenge verbundener Geräte, vielfältige Anwendungen sowie Hersteller, die in der Design-Phase den Faktor IT-Security vernachlässigen. Beim Thema "Sicherheit im IoT" gibt es noch viel zu tun. Basis für mehr Sicherheit sind intelligente, sichere Netzwerke, Automatisierung, mehr Standards und eine neue Sicherheitskultur. [...]
DAS NETZWERK MUSS TRANSPARENT SEIN
Basis für ein sicheres IoT sind die Netzwerke. Notwendig sind intelligente Netze, die Geräte einwandfrei identifizieren, weiterleiten und ihnen dann entsprechend ihrer Rechte Zugriff gewähren. Doch angesichts der enormen Zahl der vernetzten Geräte besteht die Gefahr, dass blinde Flecken entstehen und Firmen den Überblick verlieren.
„Unternehmen benötigen neben einer Risikoanalyse eine genaue Übersicht der Endpoints in ihrem Netzwerk. Ich kann nur das schützen, was ich kenne. Es geht um Security through Visibility“, erläutert Markus Auer, Regional Sales Director DACH bei Forescout. „Hier helfen agentenlose Lösungen, die Geräte automatisch klassifizieren und feststellen, was sich hinter welcher MAC-Adresse verbirgt. Diese Transparenz bildet dann die Basis für weitere Maßnahmen wie etwa die Segmentierung des Netzwerks.“
Netzwerk-Segmentierung ist die Trennung oder Isolation von Netzwerken beziehungsweise die Aufteilung eines größeren Netzwerks in mehrere logische, autark arbeitende kleinere LAN-Segmente. Aus Gründen der Sicherheit haben diese Segmente keine Verbindung mit anderen Netzen oder dem Internet. „Die Smart Devices bewegen sich zwischen verschiedenen sicheren oder unsicheren Netzen. Das vernetzte Auto beispielsweise verbindet sich mit dem WLAN zuhause oder dem Händlernetz. Segmentierung, Verschlüsselung und sichere Authentifizierung sind hier unabdingbar, um Hacker-Attacken oder die Verknüpfung verschiedener Smart Devices zu einem Botnetz zu verhindern“, betont Josef Meier von Fortinet. Auch Paul Haigh, Country Manager Germany IoT bei Vodafone sieht das Netzwerk als Schlüssel für ein sicheres Internet der Dinge: „Um den besten Schutz zu ermöglichen, sollte IoT grundsätzlich in einem geschlossenen privaten IP-Netz ablaufen.“
KI UND AUTOMATISIERUNG ERHÖHEN SICHERHEIT
Sichere, intelligente und segmentierte Netzwerke, mehr Standards, Verpflichtung der Hersteller zu Security by Design, Verschlüsselung und sichere Authentifizierung – der Strauß an möglichen Maßnahmen zum Schutz des IoT ist bunt. „Im Prinzip brauchen wir einfache Lösungen, die aus der Zusammenarbeit verschiedener Partner entstehen, um das IoT sicher zu gestalten“ sagt Christian Pfalz, Sales Director für Cloud Service Provider & Strategic Verticals bei Juniper. „Aber noch gibt es sehr unterschiedliche Konzepte, wie eine entsprechende Security-Referenzimplementierung aussehen kann.“
In einem jedenfalls ist er sich sicher: Ohne Anomalie-Erkennungs-Algorithmen und Künstliche Intelligenz (KI) wird eine derartige Lösung künftig nicht mehr auskommen. „Das System wird nach entsprechendem Training mit Hilfe von KI Muster und Anomalien im Datenverkehr erkennen, Korrelationen herstellen und automatisiert mit entsprechenden Schutzmaßnahmen reagieren“, so Christian Pfalz. Zudem sollte seiner Meinung nach in den IoT- Geräten Software-Code eingebettet sein, um diese automatisiert schützen zu können. „Dies wäre eine notwendige Ergänzung einer klassischen Firewall“, so Pfalz.
Auch für Markus Auer von Forescout stellt die Automatisierung die Basis für eine schnelle Reaktion auf Sicherheitsvorfälle (Incidents) dar: „Die Lösungen sind vorhanden, die angegriffene Systeme identifizieren und binnen Sekunden in Quarantäne schieben, nachdem diese von Malware infiziert wurden. Doch noch zögern viele Unternehmen mit deren Einsatz, da sie der Maschine nicht vertrauen. Hintergrund dafür ist meist die False-Positive-Rate dieser Systeme. Diese wird sich künftig aber weiter verbessern.“
NEUE SICHERHEITSKULTUR NOTWENDIG
Natürlich erzeugen unreife Intrusion-Detection-Systeme mit hohen False-Positive-Raten Unsicherheit und Vorbehalte bei den Anwendern. Auer fordert deshalb eine Kultur der Offenheit mit Information der Kunden. „Denkbar wäre eine Art Beipackzettel der Hersteller, der offen legt, über welche Ports die Kommunikation läuft und potenzielle Schwachstellen aufzeigt“, erklärt Auer, „hier könnte man die Kunden auch zum Ändern des Passworts etwa bei IP-Kameras auffordern und ihr Bewusstsein für Gefahren schärfen.“
Neben Offenheit geht es auch um die Sensibilisierung und Schulung der Mitarbeiter. Der Mensch ist immer noch das schwächste Glied in der Security-Kette. „Wir benötigen einen ganzheitlichen Ansatz mit Schulungen, Zertifizierungen und technischen Maßnahmen. Wir müssen das Sicherheitsbewusstsein bei unseren Mitarbeitern schärfen. Es kann nicht sein, dass sie ihr Notebook offen im Zug stehen lassen oder über sensible Firmenthemen im Abteil laut sprechen. Der Faktor Mensch bleibt immer ein Risiko“, sagt Andreas Kaiser von Rohde & Schwarz Cybersecurity.
„Übergreifend geht es auch um organisatorische Sicherheit mit Klassifizierung von Daten, Risikoanalyse, Gebäudeabsicherung, Rechtevergabe, User Awareness oder die Verschlüsselung der wichtigsten Daten. Gegen leichtsinnigen Umgang mit vertraulichen Daten gibt es kaum Möglichkeiten der technischen Absicherung“, ergänzt Josef Meier von Fortinet, „und die Firmen müssen grundsätzlich bereit sein, in den aktuellen Stand der Sicherheitstechnik zu investieren.“
*Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.
Be the first to comment