Internet der Dinge
13.07.2023, 08:45 Uhr
Schwachstelle der Cyberabwehr
Die Allgegenwart von IoT-Geräten in Fabriken und Büros schafft neue Angriffsflächen für Cyberkriminelle.
Das Internet der Dinge (IoT) bietet ein riesiges Potenzial, kann aber auch ein Sicherheitsrisiko darstellen.
(Quelle: Shutterstock/ZinetroN)
Vernetzte IoT-Geräte bieten ein riesiges Potenzial für Innovationen. Der IoT-Markt wächst in vielen Bereichen dynamisch: von smarten Haushaltsgeräten über intelligente Gebäudesysteme bis hin zu sich selbst überwachenden Industrieanlagen. Die Kehrseite der Medaille sind neue Sicherheitsrisiken für die IT.
Wie das IoT die IT-Sicherheit gefährdet
Laut Identity-Spezialist CyberArk sollten Unternehmen drei grosse IoT-Risiken immer im Blick haben:
Hard-coded Credentials: Viele IoT- und OT-Geräte verwenden vom Hersteller codierte Standard-Credentials. Angreifer können diese Anmeldedaten nutzen, um auf Schwachstellen in IoT-System-Software und IoT-Firmware zuzugreifen. Um dieses Risiko zu minimieren, empfiehlt CyberArk, Hard-coded-Passwörter durch starke individuelle Passwörter zu ersetzen und IoT-Credentials immer in einem geschützten Tresor (Vault) zu sichern und zu verwalten.
IoT-Firmware-Updates: Oft fehlen bei IoT-Implementierungen integrierte Funktionen für Software- und Firmware-Updates. Das mache es für Sicherheitsteams schwer, Schwachstellen rechtzeitig zu beheben; manchmal vergehen laut CyberArk Jahre oder sogar Jahrzehnte ohne Updates. Als eine der wirkungsvollsten Methoden, um daraus resultierende Angriffe einzudämmen, nennt CyberArk die Beschränkung der Zugriffsmöglichkeiten von Geräten in einem Netzwerk. Bevor ein Zugang gewährt werde, solle immer im Rahmen einer Identity-Security-Strategie die Identität überprüft, das Gerät validiert und der Zugriff auf das wirklich Benötigte begrenzt werden.
“IoT-Geräte bieten ein grosses Potenzial für die Beschleunigung der digitalen Transformation. Aber ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken.„
Michael Kleist
Area Vice President DACH bei CyberArk
Area Vice President DACH bei CyberArk
IoT-Sichtbarkeit: Zum IoT-Sicherheitsproblem wesentlich trägt die mangelnde Transparenz bei. Heisst: Unternehmen haben Schwierigkeiten, alle in ihrem Netzwerk vorhandenen IoT- und OT-Geräte zu identifizieren, geschweige denn über den gesamten Lebenszyklus hinweg effizient zu verwalten. Hier sieht CyberArk den Einsatz einer Automatisierungslösung als hilfreich an. Sie könne die Arbeit erleichtern und für die dringend benötigte Sichtbarkeit sorgen, indem sie beispielsweise kontinuierlich nach neuen Geräten im Netzwerk suche. Durch das automatische Ändern von Default Credentials, das Rotieren von Passwörtern und das Aktualisieren der Geräte-Firmware könnten Sicherheitsteams wertvolle Zeit sparen und zugleich den Geräteschutz verbessern.
Michael Kleist, Area Vice President DACH bei CyberArk, resümiert: «Ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken. Wichtig ist zunächst, dass Unternehmen alle IoT- und OT-Geräte kennen, die sich mit dem Netzwerk verbinden. Zudem müssen alle Anmeldedaten gesichert und verwaltet werden. Nicht zuletzt sollten Unternehmen auch die Fernzugriffe durch externe Anbieter für Firmware-Updates oder Wartungsmassnahmen sichern.»
Ungeschütztes industrielles Wireless-IoT
Die Angriffsflächen erheblich vergrössert zudem die Kombination aus industriellen drahtlosen IoT-Geräten und ihren cloudbasierten Managementplattformen. Dies liegt laut der israelischen Sicherheitsfirma Otorio vor allem an den minimalen Anforderungen für die Ausnutzung und den grossen potenziellen Auswirkungen. Otorio entwickelt eine OT-Sicherheitsplattform für die Industrie und hat deshalb in den vergangenen Monaten die Gefahren durch ungeschützte industrielle drahtlose IoT-Geräte näher untersucht. Besonders industrielle Mobilfunk-Gateways/Router und WLAN-Access-Points wurden unter die Lupe genommen. Die vier wichtigsten Erkenntnisse der Untersuchung sind laut Otorio:
- Wireless-IIoT-Infrastrukturen und ihre Cloud-Plattformen bieten in ihrem derzeitigen Zustand eine kritische Angriffsfläche für entfernte Industriestandorte.
- Bei vier führenden Anbietern wurden 38, teils kritische Schwachstellen aufgedeckt.
- Wireless IIoT, so wie es üblicherweise zum Einsatz kommt, ist ein erhebliches Risiko für OT-Umgebungen, da es eine direkte Verbindung zum Internet sowie zum internen OT-Netzwerk herstellt. Dadurch entstehe ein einziger Fehlerpunkt mit einem Angriffspfad, der alle Sicherheitsebenen gemäss dem Purdue-Modell für komplexe Automationsnetze umgehen könne.
- Angreifer können kostenlose Plattformen wie WiGLE einsetzen, um hochwertige, anfällige Ziele zu lokalisieren, ihren physischen Standort zu bestimmen und sie von der Nähe aus auszunutzen. Dies schaffe ein kritisches Risiko für OT-Netzwerke und kritische Infrastrukturen.
Eine neue Herangehensweise an die Absicherung der Kommunikation von Benutzern und Maschinen fordert auch der deutsche IT-Security-Spezialist ECOS Technology, der zuletzt auf der Hannover Messe seine ECOS TrustManagementAppliance gezeigt hat. ECOS-Geschäftsführer Paul Marx erklärt: «Die Bedeutung vertrauenswürdiger IT-Infrastrukturen hat nochmals deutlich zugenommen. Hier spielt im IoT- und Industrie-4.0-Umfeld vor allem eine Rolle, dass oft zahlreiche Kleinstgeräte bis auf die Ebene von Sensoren sicher und vor Manipulationen geschützt miteinander kommunizieren müssen. Dies stellt für Unternehmen eine neue Herausforderung dar, die über bislang bekannte, klassische IT-Security-Szenarien deutlich hinausgeht und entsprechend auch eine neue Herangehensweise erfordert. Denn auch das Angriffspotenzial und mögliche Angriffsformen verändern sich massiv.» Mehr Infos zu Security by Design und der Entwicklung von IoT-Geräten enthält ein Whitepaper von ECOS Technology (www.ecos.de/whitepaper-security-by-design).
Neue IoT-Sicherheitsvorschriften
Dass mit der rasanten Verbreitung des IoT besondere Sicherheitsmassnahmen unerlässlich geworden sind, haben auch die Gesetzgeber erkannt. Regierungen auf der ganzen Welt haben Vorschriften definiert, um die Standardsicherheit von IoT-Geräten zu verbessern. Die Palette reicht vom IoT Cybersecurity Improvement Act in den USA bis hin zum Cybersecurity Act und Cyber Resilience Act in der EU. Um es den Unternehmen zu erleichtern, diese komplexen Vorschriften einzuhalten, wurden zudem eine Reihe von Zertifizierungen und Standards wie UL MCV 1376, ETSI EN 303 645, ISO 27402 und NIST.IR 8259 beschlossen.
“Unternehmen, die ihre IoT-Geräte gegen akute Gefahren wappnen wollen, sollten Lösungen verwenden, die ihre Geräte mit minimalem Aufwand sichern und einen Risikobewertungsdienst umfassen.„
Lothar Geuenich
VP Central Europe/DACH bei Check Point Software Technologies
VP Central Europe/DACH bei Check Point Software Technologies
Folgende Schlüsselelemente müssen IoT-Hersteller deshalb implementieren: Möglichkeit von Firmware-Updates, Datenminimierung, Risikobewertung, Standard-Sicherheitskonfiguration, Authentifizierung/Autorisierung, gesicherte Kommunikation zwischen IoT-Assets.
Vor diesem Hintergrund fordert Lothar Geuenich, VP Central Europe/DACH bei Check Point Software Technologies: «Unternehmen, die ihre IoT-Geräte gegen akute Gefahren wappnen wollen, sollten daher Lösungen verwenden, die ihre Geräte mit minimalem Aufwand sichern und einen Risikobewertungsdienst umfassen, der in ein IoT-Gerät eingebettet werden kann. So kann ein Gerät über seine gesamte Laufzeit gegen IT-Bedrohungen geschützt werden. Im besten Fall sollte die Lösung minimale Ressourcen erfordern und in ein Produkt integriert werden können, ohne dass der Code geändert werden muss.»
IoT im Büro als schwächstes Glied
Auch in Büros und an nicht industriellen Arbeitsplätzen verrichtet immer mehr IoT-Technik ihren Dienst – von vernetzten Druckern und Kaffeemaschinen bis hin zu intelligenten Lautsprechern und autonomen Fahrzeugen. Palo Alto Networks prognostiziert, dass über 30 Prozent aller Geräte in Unternehmensnetzwerken IoT-Geräte sein werden. Das zieht auch die Aufmerksamkeit der Cyberkriminellen auf sich: Über 70 Prozent der Firmen haben laut Palo Alto schon Hackerangriffe auf ihre IoT-Geräte erlebt.
“Das Angriffspotenzial und mögliche Angriffsformen verändern sich massiv.„
Paul Marx
Geschäftsführer der ECOS Technology GmbH
Geschäftsführer der ECOS Technology GmbH
Die IoT-Geräte im Büro gehören Palo Alto zufolge aus mehreren Gründen «zu den schwächsten Gliedern des Unternehmensnetzwerks». Sie seien oft nicht sichtbar und würden nicht verwaltet, sodass sie nicht durch die Sicherheitskontrollen des Unternehmens, wie Endpunktsicherheit und Schwachstellen-Scanner, geschützt seien. Sie seien auf nicht unterstützte Betriebssysteme angewiesen, die schwer zu patchen seien, und die Segmentierung – eine gängige Technik für IoT-Geräte – sei aufgrund mangelnder Sichtbarkeit, ungenauer Geräteidentifizierung, fehlender granularer Kontrolle und Bedrohungsabwehr oft nicht effektiv. Es gebe zudem keine klaren Vorgaben, wer IoT-Geräte sichern solle, und die Verwendung veralteter Sicherheitsarchitekturen behindere die Compliance.
Palo Alto rät zu einem Schutz für IoT-Geräte, basierend auf dem Zero-Trust-Prinzip und vier konkreten Schritten:
- Erstellen eines umfassenden Inventars der Geräte
- Kontextbezogene dynamische Gerätesegmentierung und Least-Privilege-Zugriffskontrolle
- Erhöhen der Sichtbarkeit der Geräte
- Kontinuierliche Überwachung mit Automatisierung der Sicherheitsinspektionen
Autor(in)
Johann
Scheuerer