Internet der Dinge – Schwachstelle der Cyberabwehr

Die Allgegenwart von IoT-Geräten in Fabriken und Büros schafft neue Angriffsflächen für Cyberkriminelle. [...]

Foto: jeferrb/Pixabay

Vernetzte IoT-Geräte bieten ein riesiges Potenzial für Innovationen. Der IoT-Markt wächst in vielen Bereichen dynamisch: von smarten Haushaltsgeräten über intelligente Gebäudesysteme bis hin zu sich selbst überwachenden Industrieanlagen. Die Kehrseite der Medaille sind neue Sicherheitsrisiken für die IT.

Wie das IoT die IT-Sicherheit gefährdet

Laut Identity-Spezialist CyberArk sollten Unternehmen drei große IoT-Risiken immer im Blick haben:

Hard-coded Credentials: Viele IoT- und OT-Geräte verwenden vom Hersteller codierte Standard-Credentials. Angreifer können diese Anmeldedaten nutzen, um auf Schwachstellen in IoT-Systemsoftware und IoT-Firmware zuzugreifen. Um dieses Risiko zu minimieren, empfiehlt CyberArk, Hard-coded-Passwörter durch starke individuelle Passwörter zu ersetzen und IoT-Credentials immer in einem geschützten Tresor (Vault) zu sichern und zu verwalten.

IoT-Firmware-Updates: Oft fehlen bei IoT-Implementierungen integrierte Funktionen für Software- und Firmware-Updates. Das mache es für Sicherheitsteams schwer, Schwachstellen rechtzeitig zu beheben; manchmal vergehen laut CyberArk Jahre oder sogar Jahrzehnte ohne Updates.

Als eine der wirkungsvollsten Methoden, um daraus resultierende Angriffe einzudämmen, nennt CyberArk die Beschränkung der Zugriffsmöglichkeiten von Geräten in einem Netzwerk. Bevor ein Zugang gewährt werde, solle immer im Rahmen einer Identity-Security-Strategie die Identität überprüft, das Gerät validiert und der Zugriff auf das wirklich Benötigte begrenzt werden.

IoT-Geräte bieten ein großes Potenzial für die Beschleunigung der digitalen Transformation. Aber ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken.

Michael Kleist, Area Vice President DACH bei CyberArk

IoT-Sichtbarkeit: Zum IoT-Sicherheitsproblem wesentlich trägt die mangelnde Transparenz bei. Heißt: Unternehmen haben Schwierigkeiten, alle in ihrem Netzwerk vorhandenen IoT- und OT-Geräte zu identifizieren, geschweige denn über den gesamten Lebenszyklus hinweg effizient zu verwalten.

Hier sieht CyberArk den Einsatz einer Automatisierungslösung als hilfreich an. Sie könne die Arbeit erleichtern und für die dringend benötigte Sichtbarkeit sorgen, indem sie beispielsweise kontinuierlich nach neuen Geräten im Netzwerk suche. Durch das automatische Ändern von Default Credentials, das Rotieren von Passwörtern und das Aktualisieren der Geräte-Firmware könnten Sicherheitsteams wertvolle Zeit sparen und zugleich den Geräteschutz verbessern.

Michael Kleist, Area Vice President DACH bei CyberArk, resümiert: „Ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken. Wichtig ist zunächst, dass Unternehmen alle IoT- und OT-Geräte kennen, die sich mit dem Netzwerk verbinden. Zudem müssen alle Anmeldedaten gesichert und verwaltet werden. Nicht zuletzt sollten Unternehmen auch die Fernzugriffe durch externe Anbieter für Firmware-Updates oder Wartungsmassnahmen sichern.“

Ungeschütztes industrielles Wireless-IoT

Die Angriffsflächen erheblich vergrössert zudem die Kombination aus industriellen drahtlosen IoT-Geräten und ihren cloudbasierten Managementplattformen. Dies liegt laut der israelischen Sicherheitsfirma Otorio vor allem an den minimalen Anforderungen für die Ausnutzung und den großen potenziellen Auswirkungen.

Otorio entwickelt eine OT-Sicherheitsplattform für die Industrie und hat deshalb in den vergangenen Monaten die Gefahren durch ungeschützte industrielle drahtlose IoT-Geräte näher untersucht. Besonders industrielle Mobilfunk-Gateways/Router und WLAN-Access-Points wurden unter die Lupe genommen. Die vier wichtigsten Erkenntnisse der Untersuchung sind laut Otorio:

  1. Wireless-IIoT-Infrastrukturen und ihre Cloud-Platt­formen bieten in ihrem derzeitigen Zustand eine kritische Angriffsfläche für entfernte Industriestandorte.
  2. Bei vier führenden Anbietern wurden 38, teils kritische Schwachstellen aufgedeckt.
  3. Wireless IIoT, so wie es üblicherweise zum Einsatz kommt, ist ein erhebliches Risiko für OT-Umgebungen, da es eine direkte Verbindung zum Internet sowie zum internen OT-Netzwerk herstellt. Dadurch entstehe ein einziger Fehlerpunkt mit einem Angriffspfad, der alle Sicherheitsebenen gemäss dem Purdue-Modell für komplexe Automationsnetze umgehen könne.
  4. Angreifer können kostenlose Plattformen wie WiGLE einsetzen, um hochwertige, anfällige Ziele zu lokalisieren, ihren physischen Standort zu bestimmen und sie von der Nähe aus auszunutzen. Dies schaffe ein kritisches Risiko für OT-Netzwerke und kritische Infrastrukturen. 

Eine neue Herangehensweise an die Absicherung der Kommunikation von Benutzern und Maschinen fordert auch der deutsche IT-Security-Spezialist ECOS Technology, der zuletzt auf der Hannover Messe seine ECOS TrustManagementAppliance gezeigt hat.

ECOS-Geschäftsführer Paul Marx erklärt: „Die Bedeutung vertrauenswürdiger IT-Infra­strukturen hat nochmals deutlich zugenommen. Hier spielt im IoT- und Industrie-4.0-Umfeld vor allem eine Rolle, dass oft zahlreiche Kleinstgeräte bis auf die Ebene von Sensoren sicher und vor Manipulationen geschützt miteinander kommunizieren müssen. Dies stellt für Unternehmen eine neue Herausforderung dar, die über bislang bekannte, klassische IT-Security-Szenarien deutlich hinausgeht und entsprechend auch eine neue Herangehensweise erfordert. Denn auch das Angriffspotenzial und mögliche Angriffsformen verändern sich massiv.“

Mehr Infos zu Security by Design und der Entwicklung von IoT-Geräten enthält ein Whitepaper von ECOS Technology (www.ecos.de/whitepaper-security-by-design).

Neue IoT-Sicherheitsvorschriften

Dass mit der rasanten Verbreitung des IoT besondere Sicherheitsmaßnahmen unerlässlich geworden sind, haben auch die Gesetzgeber erkannt. Regierungen auf der ganzen Welt haben Vorschriften definiert, um die Standard­sicherheit von IoT-Geräten zu verbessern.

Die Palette reicht vom IoT Cybersecurity Improvement Act in den USA bis hin zum Cybersecurity Act und Cyber Resilience Act in der EU. Um es den Unternehmen zu erleichtern, diese komplexen Vorschriften einzuhalten, wurden zudem eine Reihe von Zertifizierungen und Standards wie UL MCV 1376, ETSI EN 303 645, ISO 27402 und NIST.IR 8259 beschlossen.

Unternehmen, die ihre IoT-Geräte gegen akute Gefahren wappnen wollen, sollten Lösungen verwenden, die ihre Geräte mit minimalem Aufwand sichern und einen Risikobewertungsdienst umfassen.

Lothar Geuenich, VP Central Europe/DACH bei Check Point Software Technologies

Folgende Schlüsselelemente müssen IoT-Hersteller deshalb implementieren: Möglichkeit von Firmware-Updates, Datenminimierung, Risikobewertung, Standard-Sicherheitskonfiguration, Authentifizierung/Autorisierung, gesicherte Kommunikation zwischen IoT-Assets.

Vor diesem Hintergrund fordert Lothar Geuenich, VP Central Europe/DACH bei Check Point Software Technologies: „Unternehmen, die ihre IoT-Geräte gegen akute Gefahren wappnen wollen, sollten daher Lösungen verwenden, die ihre Geräte mit minimalem Aufwand sichern und einen Risikobewertungsdienst umfassen, der in ein IoT-Gerät eingebettet werden kann. So kann ein Gerät über seine gesamte Laufzeit gegen IT-Bedrohungen geschützt werden. Im besten Fall sollte die Lösung minimale Ressourcen erfordern und in ein Produkt integriert werden können, ohne dass der Code geändert werden muss.“

IoT im Büro als schwächstes Glied

Auch in Büros und an nicht industriellen Arbeitsplätzen verrichtet immer mehr IoT-Technik ihren Dienst – von vernetzten Druckern und Kaffeemaschinen bis hin zu intelligenten Lautsprechern und autonomen Fahrzeugen.

Palo Alto Networks prognostiziert, dass über 30 Prozent aller Geräte in Unternehmensnetzwerken IoT-Geräte sein werden. Das zieht auch die Aufmerksamkeit der Cyberkriminellen auf sich: Über 70 Prozent der Firmen haben laut Palo Alto schon Hackerangriffe auf ihre IoT-Geräte erlebt.

Das Angriffspotenzial und mögliche Angriffsformen verändern sich massiv.

Paul Marx, Geschäftsführer der ECOS Technology GmbH

Die IoT-Geräte im Büro gehören Palo Alto zufolge aus mehreren Gründen „zu den schwächsten Gliedern des Unternehmensnetzwerks“. Sie seien oft nicht sichtbar und würden nicht verwaltet, sodass sie nicht durch die Sicherheitskontrollen des Unternehmens, wie Endpunktsicherheit und Schwachstellen-Scanner, geschützt seien.

Sie seien auf nicht unterstützte Betriebssysteme angewiesen, die schwer zu patchen seien, und die Segmentierung – eine gängige Technik für IoT-Geräte – sei aufgrund mangelnder Sichtbarkeit, ungenauer Geräteidentifizierung, fehlender granularer Kontrolle und Bedrohungsabwehr oft nicht effektiv.

Es gebe zudem keine klaren Vorgaben, wer IoT-Geräte sichern solle, und die Verwendung veralteter Sicherheitsarchitekturen behindere die Compliance.

Palo Alto rät zu einem Schutz für IoT-Geräte, basierend auf dem Zero-Trust-Prinzip und vier konkreten Schritten:

  • Erstellen eines umfassenden Inventars der Geräte;
  • kontextbezogene dynamische Gerätesegmentierung und Least-Privilege-Zugriffskontrolle;
  • Erhöhen der Sichtbarkeit der Geräte;
  • kontinuierliche Überwachung mit Automatisierung der Sicherheitsinspektionen.

*Johann Scheuerer ist Autor bei com! professional.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*