macrovector - Fotolia

Dem Risiko IoT in Unternehmen richtig begegnen

Eine Integration von smarter Technologie ist in der industriellen Produktion unausweichlich. Beim Umgang mit digitaler Innovation muss aber immer auf das richtige Schutzniveau geachtet werden.

Im letzten Jahr sorgte das Mirai-Botnetz für Schlagzeilen, dass es für die Angriffe auf die Telekom-Router missbraucht wurde. Zudem drohte vor einigen Tagen der Aufbau eines noch größeren Netzwerks aus IoT-Geräten. Hinzu kommen Vorfälle wie die HomeHack-Schwachstelle in LG Smart Home-Appliances, die durch Sicherheitsexperten erkannt wurde, bevor Cyberkriminelle die Nutzer ausspionieren konnten.

Das Internet der Dinge ist aus dem Alltag nicht mehr wegzudenken, allerdings zeigen die Ereignisse, dass die Entwicklung beim Thema Sicherheit häufig unterschätzt wird.

Threat Researchern gelang es, im Falle von LGs SmartThinqQ einen Schwachpunkt in der App auszunutzen, um jeden beliebigen Account zu übernehmen. Damit konnten sie alle angeschlossenen Geräte im Zuhause der Nutzer steuern und manipulieren.

LG und Check Point konnten durch Updates den Schaden begrenzen, bevor Details an die Öffentlichkeit gelangt sind. Darüber hinaus wurden entsprechende Patches vor der Bekanntmachung bereitgestellt.

Dabei hat LG schon vorab Sicherheitsmechanismen implementiert, die für smarte Geräte nicht unbedingt Standard sind. Die Angreifer mussten zunächst den Code der App anpassen, damit diese auch auf einem beliebigen Smartphone läuft. Außerdem haben sie den TLS-verschlüsselten Datenverkehr über einen Proxy geleitet, um ihn zu analysieren. Nach der Anpassung der App muss diese neu kompiliert werden. Der Einsatz von Verschlüsselung und einem gepinnten Zertifikat waren aber nicht ausreichend und konnten im Rahmen der Untersuchung die Fernsteuerung nicht unterbinden.

Behörden sehen ebenfalls Probleme

Im aktuellen Bericht zum Thema Cybercrime des BKA geht man auf die Problematik der smarten Geräte ein:

„Zu oft verfügen diese sogenannten intelligenten Endgeräte über keine oder nur unzureichende Schutzmechanismen und nutzen häufig veraltete Betriebssysteme/Software mit Sicherheitslücken. Für Cyberkriminelle sind solche Geräte leicht angreifbar, wobei Infektionen für die Benutzer kaum feststellbar sind.“

Im nächsten Absatz warnt das Kriminalamt explizit vor Angriffen auf Smart Home-Lösungen:

„Der Trend zum sogenannten Smart Home, das heisst die Vernetzung von Haustechnik und Haushaltsgeräten (zum Beispiel Jalousien, Heizung, Garagentor etc.) und die gezielte Fernsteuerung der Funktionen über das Heimnetzwerk und das Internet, verbreitet sich zunehmend.

Hierdurch eröffnen sich vielfältige neue Möglichkeiten zur Begehung von Straftaten (zum Beispiel Deaktivierung der häuslichen Alarmanlage zur Vorbereitung von Einbrüchen, Manipulation von Kraftfahrzeugen).“

Botnetze wie Mirai sind wahrscheinlich nur der Anfang. Die Ereignisse zeigen, dass sich die Angriffe der Kriminellen verstärkt auf IoT fokussieren. Gleichzeitig durchdringen smarte Endpunkte nahezu jede Organisation und sind somit ein fester Bestandteil. Trotzdem haben sich viele IT-Entscheider noch keine nachhaltigen Gedanken über die Absicherung der Geräte gemacht.

Richtiger Schutz des IoT

Grundsätzlich ist das Potenzial von smarten Ökosystemen riesig. Nicht nur im Büros, sondern auch in der Stadtverwaltung ergeben sich neue Möglichkeiten. Öffentliche Transportmittel und der Automobilverkehr können durch Echtzeitanalysen besser verwaltet werden.

Auch die Steuerung der öffentlichen Versorgung mit Wasser und Energie ist wesentlich schneller und effizienter. Zudem gibt es gute Fortschritte im Bereich Gesundheit und Nachbarschaftshilfe durch IoT.

Dietmar Schnabel Check Point

 „IoT ist eine Schlüsselherausforderung für gleich mehrere Sektoren. Allerdings muss beim Umgang mit digitaler Innovation immer auf das richtige Schutzniveau geachtet werden, sonst ist die Modernisierung zum Scheitern verurteilt.“

Dietmar Schnabel, Check Point

Allerdings braucht es die richtigen Sicherheitsmechanismen, denn die wenigsten IoT-Endpunkte lassen sich wie andere Geräte managen. Trotzdem muss die digitale Infrastruktur richtig geschützt werden. Ein wichtiger Schritt, wie im Beispiel von LG, ist die Kooperation mit Sicherheitsexperten, um im Falle einer Schwachstelle diese umgehend zu schließen, bevor Cyberkriminelle die Geräte angreifen können.

Als Vorsorge sollten Unternehmen zudem vier grundlegende Prinzipen umsetzen:

  • Discovery und Access Management: Hier geht es um die eindeutige Erkennung des Endpunktes. Gerade IoT-Geräte haben häufig nur wenig oder gar keine Sicherheitsmechanismen, daher können sie leicht Opfer von Spoofing werden.
  • Netzwerksegmentierung: Wegen der speziellen Anforderungen von IoT-Geräten sollten diese immer von anderen Teilen des Netzwerks getrennt werden. Im Falle eines Sicherheitsvorfalls kann so das Ausbreiten einer Bedrohung verhindert werden.
  • Threat Prevention: Attacken können schon frühzeitig geblockt werden, beispielsweise durch Intrusion Prevention.
  • Integrität von Daten: Um keine Informationen preiszugeben, macht es Sinn, Daten durch Verschlüsselung zu schützen. Auch bei Befall eines Netzwerksegments sind die Informationen dann trotzdem geschützt.

Fazit

Um dem eigenen Anspruch nach einer Vorreiterrolle in den Bereichen industrieller Produktion und Nachhaltigkeit gerecht zu werden, ist eine Integration von smarter Technologie in Deutschland unausweichlich. IoT ist daher eine Schlüsselherausforderung für gleich mehrere Sektoren. Allerdings muss beim Umgang mit digitaler Innovation immer auf das richtige Schutzniveau geachtet werden, sonst ist die Modernisierung zum Scheitern verurteilt.

Die Herausforderung ist machbar, wenn auf effektive Schutzpfeiler für die Absicherung aufgebaut wird. Allerdings können Hersteller nicht alleine für die Sicherheit ihrer Geräte garantieren, sondern brauchen entsprechendes Know-how von IT-Sicherheitsexperten, um Ansätze wie Security-by-Design und Security-by-Default realisieren zu können. Gleichzeitig sollten IT-Entscheider in Unternehmen ihre Systeme und Netzwerke ebenfalls auf IoT einrichten und die richtigen Sicherheitsmechanismen implementieren, damit sie für Cyberkriminelle keine leichte Beute sind. Die Sicherheitsmechanismen auf den Endgeräten sind alleine nicht hinreichend.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ransomware: Industrielle Steuerungsanlagen als Ziel

Schwachstellen in Industrieanlagen: Gefahr für die Sicherheit

Kritische Infrastrukturen und die Herausforderung ISMS

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über NAC- und Endpunktsicherheits-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close