Der Einsatz von Mikrosegmentierung als Teil einer umfassenden IoT-Sicherheitsstrategie kann eine genauere Steuerung von Netzwerksystemen und einen bessere Schutz ermöglichen. [...]
Laut einem Bericht des Forschungsunternehmens Ponemon Institute und des Risikomanagement-Dienstleistungsunternehmens The Santa Fe Group ist seit 2017 eine „dramatische“ Zunahme von Verstößen gegen IoT zu verzeichnen. Darüber hinaus sind sich die meisten Unternehmen nicht aller unsicheren IoT-Geräte oder -Anwendungen in ihrer Umgebung oder von Drittanbietern bewusst. Untersuchungen zeigen zudem, dass viele Unternehmen keine zentrale Strategie haben, um IoT-Risiken anzugehen oder diese zu verwalten.
Wie Mikrosegmentierung die IoT-Sicherheit unterstützt
Die Mikrosegmentierung soll die Netzwerksicherheit granularer gestalten. Andere Lösungen wie Next-Generation-Firewalls, Virtual Local Area Networks (VLAN) und Access Control Lists (ACL) bieten ein gewisses Maß an Netzwerksegmentierung. Bei der Mikrosegmentierung werden Richtlinien jedoch auf einzelne Workloads angewendet, um einen besseren Schutz vor Angriffen zu bieten. Infolgedessen stellen diese Tools eine feinere Segmentierung des Datenverkehrs als Angebote wie VLANs zur Verfügung. Was zur Weiterentwicklung der Mikrosegmentierung beigetragen hat, ist das Aufkommen softwaredefinierter Netzwerke (SDN) und der Netzwerkvirtualisierung. Durch die Verwendung von Software, die von der Netzwerkhardware entkoppelt ist, ist die Segmentierung einfacher zu implementieren, als wenn die Software nicht von der zugrunde liegenden Hardware entkoppelt wäre. Da die Mikrosegmentierung eine bessere Kontrolle über den Datenverkehr in Rechenzentren bietet als perimeterorientierte Produkte wie Firewalls, kann sie Angreifer daran hindern, sich in Netzwerke auszubreiten, um Schaden zu verursachen. Die Segmentierung bietet auch einen Vorteil in Sachen Management. „Wenn Mikrosegmentierung ordnungsgemäß implementiert wird, können Unternehmen eine Sicherheitsebene zwischen IoT-Geräten und anderen sensiblen Ressourcen hinzufügen, ohne Löcher in ihre Firewall zu bohren“, sagt Robyn Westervelt, IoT-Sicherheitsanalystin von IDC. „Die zugrundeliegende Infrastruktur muss diesen Ansatz unterstützen und erfordert möglicherweise die Installation neuer, moderner Switches, Gateways etc.“ Das Konzept, Netzwerke aus Sicherheitsoder Datenschutzgründen in Segmente zu unterteilen, ist nicht neu. Unternehmen isolieren seit einiger Zeit ihrer kritischen oder risikoreichen Ressourcen. Zum Beispiel sei Netzwerksegmentierung im Einzelhandel üblich, sagt Westervelt. Viele Händler isolieren ihre Zahlungsumgebungen von anderem Netzwerkverkehr, um den Bereich des PCI DSS (Payment Card Industry Data Security Standard) zu verringern – einer Reihe von Sicherheitsstandards, die garantieren sollen, dass Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung aufrechterhalten können. Die Technologie wird auch als Best Practice in industriellen Steuerungssystemumgebungen angesehen. „Ein Unternehmen kann wichtige speicherprogrammierbare Steuerungen, die sensiblen Prozessen zugewiesen sind, mithilfe von industriellen Firewalls und unidirektionalen Gateways isolieren“, erklärt Westervelt. In IT-Umgebungen können neu implementierte OTs mit Internetkonnektivität segmentiert werden, um zu verhindern, dass ein Angreifer sie als Sprungbrett in Produktionssysteme verwendet. Hier wird die Mikrosegmentierung für IoT relevant. „OT umfasst moderne Gebäudemanagementsysteme, Sonnenkollektoren, Aufzugssensoren und physikalische Sicherheitsmechanismen einschließlich Brandbekämpfungssystemen „, sagt Westervelt. „Dieser Bereich ist noch nicht von eminenter Bedeutung, aber wir sehen, dass einige große Banken und Finanzdienstleister die mit OT verbundenen Risiken in Rechenzentren minimieren.“
Umfassende Strategie
Nach Ansicht von Netzwerkexperten könnte Mikrosegmentierung auch als Teil einer umfassenden IoT-Sicherheitsstrategie sinnvoll sein. „Dieses Netzwerkmodell ermöglicht eine genauere Steuerung von Netzwerksystemen sowie eine bessere Isolierung, wenn ein Lücke ausgenutzt wird“, sagt Kevin Beaver, ein unabhängiger Berater für Informationssicherheit. „Diese Vorteile tragen nicht nur dazu bei, die Transparenz und Kontrolle der Sicherheit zu verbessern, sondern auch die Reaktion auf Vorfälle und die Forensik.“ Die Technologie „kann eine sehr effektive Methode zur Segmentierung von IoT-Netzwerken aus IT-Systemen sein“, ergänzt Jon Amato, Director Analyst bei Gartner. „Die Fähigkeit von Mikrosegmentierungsprodukten, ‚virtuelle Segmente‘ zu erstellen, die Gerätetypen auch über mehrere physische Standorte hinweg voneinander trennen, ist äußerst nützlich.“ Laut Amato passe es auch gut zu den IoT-Sicherheitsrichtlinien von Organisationen wie dem US-amerikanischen Ministerium für innere Sicherheit (Department of Homeland Security, DHS). Das DHS empfiehlt in seinem Bericht über strategische Grundsätze zur Sicherung des Internets der Dinge, dass Unternehmen die Vorteile der Konnektivität gegen die Risiken abwägen, die es mit sich bringt: „IoT-Anwender, insbesondere im industriellen Kontext, sollten aktiv prüfen, ob angesichts der Verwendung des IoT-Geräts und der mit seiner Unterbrechung verbundenen Risiken eine kontinuierliche Konnektivität erforderlich ist“, heißt es in dem Bericht. „IoT-Kunden können auch dazu beitragen, die potenziellen Bedrohungen durch die Netzwerkkonnektivität einzudämmen, indem sie sorgfältig eine Verbindung herstellen und das Risiko eines potenziellen Verstoßes oder Ausfalls eines IoT-Geräts gegen die Kosten für die Einschränkung der Konnektivität mit dem Internet abwägen.“
„Die Mikrosegmentierung passt gut zu diesem Vorschlag“, sagt Amato. „Es reicht nicht aus, nur ein einzelnes IoT-Segment zu erstellen, das ich als ‚IoT-Sumpf ‘ bezeichne. Es ist auch notwenig, diese Geräte auch voneinander zu trennen“, sagt er. „Da die meisten IoT-Geräte nicht über hostbasierte Steuerungen verfügen, sind externe Lösungen wie die Mikrosegmentierung erforderlich.“
Be the first to comment