Das Internet der Dinge (IoT) ist längst Realität und nicht mehr wegzudenken. Aber wie man es von einer Technologie erwartet, die von der Interkonnektivität lebt, vergrößert sie die Angriffsfläche für Cyberbedrohungen gleich mit. Mark Dacanay, Experte für Digitales Marketing, hat Tipps zusammengestellt, wie man am besten Nutzen und Risiken des IoT miteinander in Einklang bringt. [...]
1. Weniger ist mehr
Nur weil es eine BYOD-Richtlinie gibt, sollte das nicht automatisch heißen, dass Mitarbeitende jedes beliebige Gerät, das sie mitbringen mit dem Firmennetzwerk verbinden dürfen. Insbesondere die beliebten IoT-Wearables haben diverse Sicherheitsschwachstellen. Viele Geräte speichern und übertragen Daten unverschlüsselt, oft ohne ein Passwort oder biometrische Authentifizierung zu verwenden. Sie verbinden sich zudem über potenziell unsichere Verbindungen wie Bluetooth oder NFC mit dem Smartphone des Trägers und sind dadurch besonders anfällig für Brute-Force-Angriffe.
Die dabei am meisten gefährdeten Daten sind die persönlichen Daten des Trägers, denn sie werden üblicherweise in IoT-Wearables verwendet. Aber es gibt noch andere Gefahren. Schon 2014 haben White-Hat-Hacker Sicherheitslücken in IoT-Glühbirnen aufgedeckt, über die das WLAN–Passwort offengelegt wurde. Und schlimmer noch: war ein Gerät erst ein Mal kompromittiert ist, konnte es andere mit dem Netzwerk verbundene Devices ebenfalls ausspähen und gefährden. Schränken Sie also am besten die Zahl der IoT-Geräte, die mit Ihrem Netzwerk verbunden sind, so weit wie möglich ein. Oder verbinden Sie sie wenigstens in einem separaten Netzwerk. Dazu unser nächster Tipp.
2. Verwenden Sie ein separates Netzwerk
Mittlerweile ausreichend bekannt ist, dass man ein separates Netzwerk aufbauen kann, auf das nur Gäste zugreifen. Und zwar nur auf dieses Netzwerk und nicht auf das komplette Unternehmensnetz. Das Gleiche können Sie für IoT-Geräte tun. Dann ist es möglich, IoT-Geräte zu verwenden, aber Mitarbeitende greifen damit nicht auf das Hauptnetzwerk des Unternehmens zu. Eine vergleichsweise einfache Methode das Netz besser abzusichern.
Ist Industriespionage illegal? Was kann man tun, um sich dagegen zu schützen? Wir verraten es Ihnen!
3. Verwenden Sie starke und eindeutige Passwörter
Wie bei noch fast jeder Sicherheitsmaßnahme steht am Anfang ein starkes Passwort. Das gilt auch für Sicherheit im IoT. Halten Sie Ihre Mitarbeiter an, nur starke und eindeutige Passwörter zu verwenden, insbesondere wenn sie Geräte über ein WLAN–Netzwerk verbinden. Der massive Mirai DDoS-Angriff (Distributed Denial-of-Service) im Jahr 2016 wurde speziell entwickelt, um IoT-Geräte mit schwachen Passwörtern und veralteten Versionen des Linux-Kernels auszuspähen. Er infizierte hauptsächlich Router und IP-Kameras und verwendete sie anschließend, um den DNS-Provider DYN zu überfluten. Eine ganze Reihe großer und beliebter Websites wie Etsy, Shopify, Twitter und Spotify gingen aufgrund dieses Angriffs in die Knie. Am Ende breitete sich das Botnetz auf 380.000 Geräte aus. Darüber hinaus lassen sich einfach zu hackende IoT-Geräte für Industriespionage benutzen. Intelligente Kameras, Mikrofone und Lautsprecher mit schwachen Passwörtern erlauben Angreifern sensible Unternehmensinformationen zu erfassen oder aufzuzeichnen.
Sie sollten also unbedingt sicherstellen, dass jedes angeschlossene Gerät, das jemand für geschäftliche Zwecke an den Arbeitsplatz mitbringt – Dinge wie Projektoren, Lautsprecher und sogar Kaffeemaschinen oder Verkaufsautomaten – ein eindeutiges, starkes Passwort verwendet und nicht die werksseitigen Standard-Anmeldedaten, mit denen es ausgeliefert wurde. Beachten Sie dabei die üblichen Empfehlungen:
- Passwörter sollten eine Kombination aus alphabetischen (Groß- und Kleinbuchstaben), numerischen und Sonderzeichen sein.
- Verwenden Sie für jedes Gerät ein eindeutiges Passwort, also nicht dasselbe Passwort für mehrere Geräte.
4. Verzichten Sie auf Universelles Plug & Play
Die meisten IoT-Geräte verfügen über „Universelles Plug & Play“-Funktionen (UPnP), die es dem Gerät einfacher machen sich mit anderen zu verbinden. Router, Drucker, Kameras und andere Geräte erkennen sich ohne komplexe Konfigurationen und verbinden sich miteinander. Der Nebeneffekt ist allerdings bedenklich. Das Gerät ist für jeden und damit auch für potenzielle Angreifer leicht ausfindig zu machen. Es ist ein bisschen so als würde man ein „Herzlich willkommen, wir haben für Sie geöffnet“-Schild anbringen. UPnP ist zwar bequem, aber leider auch für Personen mit weniger hehren Absichten. Wir raten deshalb davon ab, die UPnP-Funktionen zu nutzen. Schalten Sie UPnP ab und nehmen sich die Zeit, das Setup selbst zu konfigurieren.
5. Firmware aktualisieren – ohne Ausnahme
Leider bedeuten Sicherheitsfunktionen auf einem Gerät noch lange nicht, dass es automatisch geschützt ist. Wie bei einer PC-Software ist es unbedingt empfehlenswert, die Firmware eines IoT-Geräts immer zu aktualisieren. Patches beheben Fehler und andere sicherheitsrelevante Probleme, die immer wieder neu auftauchen. Auf die Aktualisierungen zu verzichten gefährdet ein Gerät unnötig, gerade bei neu auftauchenden Bedrohungsvektoren. Automatisieren Sie die Updates; oder besser noch, schauen Sie regelmäßig auf der Website des Herstellers nach oder kontaktieren Sie ihn direkt, um festzustellen, ob Ihr Gerät schon über die jeweils neueste Version verfügt.
6. Nur sichere Cloud-Services integrieren
Anbieter cloudbasierter Business-Apps haben schnell erkannt, dass das IoT viele Geschäftsprozesse effizienter gestaltet. Ende letzten Jahres startete beispielsweise Amazons Alexa for Business . Die Anwendung lässt sich in einige der beliebtesten Cloud–Apps für Unternehmen integrieren wie zum Beispiel das Business-Telefonsystem RingCentral, Microsoft Office 365, die Produktreihe G Suite für Produktivitäts-Apps und die Customer Relationship Management-App von Salesforce.
Diese Dienste verfügen über starke Verschlüsselungs- und Datenschutzfunktionen. Das lässt sich nicht von allen Cloud-Services sagen. Das Problem liegt darin begründet, dass viele IoT-Geräte einen Cloud-Dienst benötigen, der nicht so sicher ist wie die oben genannten. Es kann also passieren, dass Sie beim Synchronisieren von Daten mehr Informationen weitergeben als Sie es ursprünglich wollten. Lesen Sie deshalb wirklich die komplette Datenschutzrichtlinie eines Cloud-Dienstes einschließlich aller Verschlüsselungs- und Datensicherheitsfunktionen.
Geräte, Funktionen und Dienste im IoT helfen dabei, Geschäftsprozesse an vielen Stellen zu optimieren und effizienter zu gestalten. In Sachen Sicherheit und Datenschutz allerdings steckt vieles noch in den sprichwörtlichen Kinderschuhen. Wägen Sie sorgfältig ab wo die Annehmlichkeiten potenziell schwerwiegende Folgen für den Datenschutz nach sich ziehen.
*Mark Dacanay ist Experte für Digitales Marketing.
Be the first to comment