robsonphoto - stock.adobe.com
Dark Assets: Das Unbekannte vor dem Unbekannten schützen
Nicht erkannte oder bekannte vernetzte Geräte vergrößern die Angriffsfläche von Unternehmen und sorgen für Sicherheitsrisiken. Transparenz ist jedoch die Basis der IT-Sicherheit.
Es gibt weltweit mehr als 13,8 Milliarden Connected Devices. Nach Schätzungen von IDC werden IoT-Geräte schon im Jahr 2025 für sieben Prozent des EU-Bruttoinlandsprodukts verantwortlich sein. Die Analysten gehen davon aus, dass bis zu 12-fache Produktivitätssteigerungen und Zeiteinsparung möglich sind.
Dies birgt vor allem die Gefahr, Geräte zu übersehen, beziehungsweise nicht zu erkennen. Unternehmen haben bereits 2017 angegeben, dass sie im Durchschnitt über rund 40 Prozent aller angeschlossenen IoT-Geräte keine Übersicht haben. Schätzungen von Herstellern gehen inzwischen von sogar 90 Prozent aus. Die sogenannte Schatten-IoT (Internet of Things) beschäftigt IT-Sicherheitsabteilungen seit Jahren. Mit der Zunahme der IoT- und IoMT-Geräte (Internet of Medical Things) in den jeweiligen Unternehmen und öffentlichen Einrichtungen geht auch eine gesteigerte Anzahl an Schatten-IoT einher.
Bedrohungslage
Angriffe auf IoT-Infrastrukturen wie auf die Colonial Pipeline im Mai 2021 oder der Supply-Chain-Angriff auf Kassensysteme einer schwedischen Supermarktkette, nachdem eine IT-Software des Herstellers Kaseya im Sommer 2021 manipuliert wurde, zeigen, dass die Bedrohungslage ernster denn je ist. Cyberkriminelle können die schlecht abgesicherten und unbeaufsichtigten IoT-Geräte leicht infiltrieren und als Einfallstor in die Netzwerke ihrer Opfer nutzen.
Einmal im Netz, können sie dann unbemerkt den digitalen Betrieb des Unternehmens mit einer DDoS-Attacke lahmlegen, Unternehmensdaten manipulieren oder entwenden oder auch dessen Hardware zum Krypto-Mining missbrauchen. Doch nicht nur im Ausland, sondern auch in der DACH-Region ist die Zahl der Angriffe auf IoT-Geräte im vergangenen Jahr wieder deutlich gestiegen.
Vor allem die Gesundheitsbranche war betroffen. Einer Studie von Kaspersky zufolge gehen rund 69 Prozent ihrer IT-Entscheider davon aus, dass ihre IoT-Infrastruktur nicht ausreichend abgesichert ist. Allein in Deutschland berichteten 21,3 Prozent im vergangenen Jahr von einem Anstieg der Angriffe auf die von ihnen abzusichernden IoT-Systeme.
Trotzdem haben sich nur 23,3 Prozent vorgenommen, die Sicherheit ihrer IoT-Geräte in diesem Jahr zu erhöhen. In einschlägig bekannten Portalen ähnlich dem international bekannten Shodan lassen sich zahllose ungeschützte IoT finden und leider suchen auch Cyberkriminelle in solchen Suchmaschinen genau danach. Während aber Shodan hauptsächlich von den Verteidigern genutzt wird, gibt es vergleichbare Services im Darknet, deren Ergebnisse in Foren diskutiert werden.
Fehlende Übersicht erhöht das Risiko
In einer aktuellen Umfrage von YouGov im Auftrag von Armis, bei der 1.305 IT-Experten und Entscheider in der DACH-Region befragt wurden, zeigt sich, dass Unternehmen das Problem von Dark Assets nach wie vor unterschätzen.
Mehr als die Hälfte der Umfrageteilnehmer gab an, zu glauben, dass sie im Unternehmen Schatten-IoT besitzen. Immerhin 20 Prozent wissen nicht, wie viele Geräte sich in ihren Netzwerken befinden. Rund zwei Drittel der DACH-Befragten bestätigen, dass ihr Unternehmen heute gleich viel oder mehr IoT-Geräte nutzt als noch vor fünf Jahren. Eine vollständige Übersicht über alle angeschlossenen IoT-Geräte fehlt ihnen im Regelfall aber, denn nur etwas weniger als die Hälfte gab an, diese Information zu haben. In Unternehmensnetzwerken lassen sich jedoch in der Regel deutlich mehr Geräte finden als vermutet wird. Gern übersehen werden intelligente Thermostate, elektronische Rollläden oder aber Drucker und Klimatechnik.
„Zum Problem wird die fehlende Übersicht, wenn die Geräte aus der Ferne ansteuerbar und damit manipulierbar sind.“
Alexander Bünning, Armis
Zum Problem wird die fehlende Übersicht, wenn die Geräte aus der Ferne ansteuerbar und damit manipulierbar sind. Doch offenbar fahren einige Entscheider auf Sicht, denn zwei Drittel der Befragten sind sich darüber bewusst, dass unerkannte IoT-Geräte Daten nach außen geben können und kompromittierbar sind.
Lediglich ein Drittel ist der Überzeugung, dass dies ein erhöhtes Sicherheitsrisiko darstellt. Über eine praktikable und effektive Lösung für das Problem verfügen aber die wenigsten Befragten. Die Hälfte vertritt ohnehin die Ansicht, dass die IT-Abteilungen das Problem der Schatten-IoT selbstständig lösen sollten, jedoch fehlen diesen oft schlicht die Mittel und Tools, sämtliche Geräte automatisiert und kontinuierlich zu erfassen.
Häufig wird auf manuelle Prozesse zurückgegriffen, die aber unvollständig sind und nicht permanent auf dem neuesten Stand gehalten werden können. Die Kenntnis über sämtliche Assets ist jedoch die Basis einer jeden Sicherheitsstrategie – wenn ich nicht weiß, wie viele Geräte eigentlich überwacht und abgesichert gehören, kann ich auch deren Risiken nicht bewerten. Man möchte fast meinen, dass IT-Entscheider ein erhöhtes Sicherheitsrisiko unentdeckter Geräte leichtfertig in Kauf nehmen, solange sie von den Vorteilen der IoT-Geräte profitieren.
Bei vielen herrscht große Unsicherheit und es mangelt an dem Wissen darüber, wie dieses Sicherheitsrisiko eingedämmt werden könnte. Nur rund die Hälfte wäre bereit, die Anzahl ihrer IoT-Geräte zu reduzieren, um die Netzwerksicherheit zu erhöhen, da in ihren Augen der wirtschaftliche Mehrwert der Geräte zu groß ist, um eine Begrenzung der Gerätezahl in Kauf zu nehmen.
Traditionelle IT-Sicherheit übersieht IoT
Lange Zeit konnten sich IT-Entscheider auf traditionelle Endpunkt- und Netzwerksicherheitslösungen verlassen. Wenn es um die Erfassung und Verwaltung von IoT-Geräten geht, waren und sind diese jedoch nicht sehr effektiv. Auf IoT-Geräten kann man keine Software installieren, um diese zu managen und abzusichern. Auch ist es nicht praktikabel, Geräte in OT-Umgebungen (Operational Technology), oder Netzwerkbereiche mit medizinischen Geräten aktiv zu scannen.
Fazit
Mittlerweile gibt es jedoch neue, moderne Lösungen, mit denen genau die obigen Probleme umgangen werden können. Diese können angeschlossene Geräte erkennen und verwalten. Hierzu wird der gesamte Datenverkehr im LAN und WLAN des Unternehmens passiv überwacht. Die Daten werden dann in einer Gerätedatenbank analysiert und ausgewertet.
Dies ermöglicht es der IT-Sicherheitsabteilung, sämtliche Geräte zu identifizieren und zu klassifizieren. In weiterer Folge lassen sich Anomalien bewerten und Bedrohungen erkennen. Bei einem erkannten Angriff oder bei Compliance-Verstößen können Gegenmaßnahmen ergriffen werden, sei es automatisch durch Integrationen mit bestehenden Sicherheitslösungen oder durch das Alarmieren der verantwortlichen Personen.
Über den Autor:
Alexander Bünning ist Regional Director DACH bei Armis. Das kalifornische Unternehmen Armis bietet mit gleichnamiger Plattform Cybersecurity Asset Management., Risikomanagement und Richtliniendurchsetzung.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.