Die lückenlose Vernetzung unterschiedlichster Geräte über das Internet wird zunehmend Realität – Stichwort Internet der Dinge. Selbst einzelne LED-Lampen bilden keine Ausnahme mehr. Die damit verknüpften Sicherheitsgefahren werden aber vielfach unterschätzt, vor allem hinsichtlich des potenziellen Datenabflusses. [...]
Die gekaperte Glühlampe ist keine Fiktion mehr. Vor Kurzem haben der Kanadier Colin O’Flynn und der Israeli Eyal Ronen gezeigt, wie einfach es ist, sich Zugriff auf das Hue-Lichtsystem von Philips zu verschaffen. Eine Infizierung mit einer Schadsoftware oder ein Datendiebstahl ist damit ohne Weiteres denkbar. Es handelt sich dabei nicht um einen Einzelfall. Bereits in der Vergangenheit wurden vernetzte Fernsehgeräte und intelligente Kühlschränke von Hackern erfolgreich für den Aufbau von Botnets genutzt.
Ein zentrales Problem ist die ungesicherte und nicht überwachte Internet-Anbindung der smarten Geräte in den modernen Büroalltag, vor allem hinsichtlich ihrer in der Regel völlig unkontrollierten Kommunikation nach außen. Hierbei ist eine große Gerätevielfalt zu berücksichtigen: Sie beginnt beim Fernseher und Beamer im Konferenzraum und endet beim Multifunktionsdrucker, auf den der Hersteller zu Wartungszwecken zugreifen kann. Jedes im Unternehmensnetz hängende Gerät stellt dabei ein potenzielles Einfallstor für externe Angreifer dar – und auch einen möglichen Abflusspunkt für Daten.
Unterschätze Gefahr
Viele Unternehmen unterschätzen diese Sicherheitsgefahr. Das zeigt sich unter anderem daran, dass kaum oder nur unregelmäßige Software-Updates erfolgen und dass zum Beispiel nicht darauf geachtet wird, dass Produkte über eine signierte und verschlüsselte Firmware oder andere Sicherheitsmerkmale verfügen.Das zentrale Sicherheitsdilemma besteht darin, dass zwar in fast allen Unternehmen der Datenzufluss mit zahlreichen Tools (wie Firewalls, Intrusion-Detection- und Prevention-Systemen oder Antivirenlösungen) überwacht und gegebenenfalls unterbunden wird, allerdings die Mehrheit aller Unternehmen nach verschiedenen Untersuchungen keinerlei Lösungen zur Unterbindung eines unerwünschten Datenabflusses im Einsatz hat.
Was ist also zu tun? Hat der Anwender überhaupt einen Handlungsspielraum im Hinblick auf die Always-Online-Natur moderner Geräte? Zunächst muss konstatiert werden, dass sich im Bezug auf das Internet der Dinge bisher keine übergreifenden Standards etabliert haben. Bei der drahtlosen Vernetzung der Geräte werden zum Beispiel nach wie vor unterschiedliche Übertragungsverfahren genutzt. An dieser Vielfalt wird sich in absehbarer Zeit nichts ändern, auch wenn es branchenweit Standardisierungsbestrebungen gibt.
Datensicherheit beginnt bei der Geräteauswahl
Dennoch sind Unternehmen den Gefahren nicht hilflos ausgeliefert. In einem ersten Schritt sollten alle Geräte dahingehend überprüft werden, ob und inwieweit eine Einschränkung der Kommunikation nach außen überhaupt möglich ist. Falls hier keine Gestaltungsfreiheit besteht, sollte von der Neuanschaffung abgesehen oder ein Geräteaustausch in Betracht gezogen werden. Generell muss bei jeder Auswahl eines Produkts darauf geachtet werden, dass es die Möglichkeit bietet, die Außenkommunikation restriktiv zu gestalten – und zwar mit einer Reduzierung auf das maximal Erforderliche.
Zudem muss hinsichtlich der Datenabfluss-Unterbindung immer der gesamte Produkt-Lebenszyklus im Blickfeld bleiben. So sind Geräte oft auch nach Ablauf eines Vertrags weiter im System vernetzt, obwohl keine Updates mehr verfügbar sind; auch wenn sie nicht genutzt werden, stellen sie eine Gefahr dar, solange sie online sind. Bei der endgültigen Außerbetriebnahme von Geräten ist auf eine fachgerechte und sichere Entsorgung zu achten. Das betrifft zum Beispiel auch die zuverlässige Datenlöschung der Speichermedien von Druckern oder Kopierern. So ist beispielsweise im Fall von Flash ein physikalisches Zerstören der Medien nötig, um Sicherheit zu gewährleisten.
Von entscheidender Bedeutung ist aber vor allem, dass die An-wender Maßnahmen bei der Sicherung der Außenkommunikation ergreifen. Hier gibt es Standards, Best Practices und auch klar definierte Sicherheitsverfahren. Doch auch bei deren Nutzung hapert es noch. Das zeigt sich schon an der Schnittstelle zum Internet, dem Router: Erfahrungswerte belegen, dass zwar die Standard-Passwörter der Router meistens geändert werden, anschließend aber keine weitere regelmäßige Änderung der Kennwörter erfolgt. Dadurch ergibt sich schon die erste Sicherheitslücke. Klar ist, dass für die Sicherung des Unter-nehmensnetzes strikte Firewall-Einstellungen vonnöten sind; es muss eindeutig festgelegt werden, wer worauf Zugriff erhält.
Data-Loss-Prevention
Ebenso wichtig ist auch die Nutzung eines Data-Loss-Prevention (DLP)-Systems, mit dem der unerwünschte – auch versehentliche – Abfluss vertraulicher Daten zuverlässig zu verhindern ist. Alle Datenübertragungen müssen zudem lückenlos verschlüsselt erfolgen, und zwar sowohl intern als auch extern. Selbstverständlich sollte sein, dass sich alle genutzten Systeme immer auf einem aktuellen Stand befinden und Software-Updates regelmäßig durchgeführt werden.
Auch wenn Anwender einige grundlegende Sicherheitsrichtlinien beachten, eines darf nicht außer Acht gelassen werden: Die Sicherung der Infrastruktur weist gerade auch im Hinblick auf die Anbindung der heterogenen Gerätevielfalt eine hohe Komplexität auf. Das heißt, es kann durchaus sinnvoll sein, auf Expertenwissen zuzugreifen. Bevor ein Unternehmen also den Weg der umfassenden Vernetzung geht, sollte es sich durchaus die Frage stellen, ob es nicht von Vorteil ist, sich die Unterstützung eines externen Dienstleisters zu sichern. Ein solcher kann die Bestandsanalyse durchführen und Handlungsempfehlungen aussprechen, zum Beispiel hinsichtlich einer Netzwerk-Segmentierung oder des Einsatzes eines dedizierten Update-Servers. Abgesehen von den reinen Beratungsleistungen kann er zudem die Systemimplementierung, -integration und -konfiguration sowie die anschließende Wartung und Pflege übernehmen.
* Henning von Kielpinski ist Leiter Business Development bei Consol Software in München
Be the first to comment