kaptn - Fotolia
IoT-Geräte in Unternehmen vorausschauend absichern
IoT-Geräte sind ein immer größer werdendes Sicherheitsrisiko. Um das IoT besser vor Angriffen zu schützen, können Unternehmen jedoch zahlreiche Abwehrmaßnahmen umsetzen.
Es ist längst kein Geheimnis mehr, dass IoT-Geräte ein erhebliches Sicherheitsrisiko darstellen können. Und die Gefahr wird größer. Denn jede Sekunde werden laut McKinsey 127 dieser Geräte mit dem Internet verbunden und Gartner schätzt, dass bis Ende 2021 gut 25 Milliarden IoT-Geräte im Einsatz sein werden. Die potenzielle Angriffsfläche für Cyberkriminelle wächst also rasant. IoT-Geräte (Internet of Things) sind deshalb für Angreifer interessant, weil viele dieser Produkte die notwendigen Sicherheitsanforderungen nicht erfüllen oder zumindest gravierende Lücken aufweisen. Damit öffnen sie Attacken von Cyberkriminellen Tür und Tor, die vernetzten Geräte zu infiltrieren.
Die Hacker legen zum Beispiel die Infrastruktur durch DDoS-Angriffe gezielt lahm und verschaffen sich auf diese Weise Zugang zu vertraulichen Informationen. Immer häufiger attackieren sie auch die in den Geräten eingebettete Firmware, die oft über keinen besonderen Schutz verfügt. Entsprechend hat die Anzahl der Opfer von Firmware-Attacken sowohl bei Verbrauchern als auch bei Unternehmen in letzter Zeit stark zugenommen. Es stellt sich also die Frage, was man tun kann, um IoT-Geräte besser vor Angriffen schützen zu können.
Die Cybersecurity-Verordnung der US-Regierung
Ein Teil des Problems IoT-Geräte sicherer zu machen, liegt darin, dass die Entwicklung der notwendigen Standards, Compliance-Vorschriften und sicheren Programmiermethoden bisher weit hinterherhinkt. Doch hier gibt es ein positives Ergebnis auf dem Weg zu besserer IoT-Sicherheit: Im Mai 2021 ordnete die US-Regierung an, dass ihre Bundesbehörden nur noch als sicher eingestufte Software kaufen und einsetzen dürfen. Auslöser hierfür waren eine Reihe von hochkarätigen Cyberangriffen auf strategisch wichtige Softwarenetzwerke.
Zieht man die enorme Reichweite des US-Bundesbeschaffungswesens in Betracht, dann wird diese Verordnung nicht nur die Prozesse und Lebenszyklen der Softwareentwicklung in den USA verändern, sondern weltweit. In den Vereinigten Staaten dürften praktisch alle Gerätehersteller und Softwareunternehmen betroffen sein. Die strengen Sicherheitsauflagen gelten nämlich nicht nur für den privaten Sektor, sondern auch für die Industrie.
Zu den von der US-Bundesregierung veranlassten Maßnahmen gehören unter anderem IoT-Pilotprogramme, die die Öffentlichkeit über die Sicherheitsrisiken im Einsatz und Umgang mit IoT-Geräten informieren.
Weiterhin sollen Kriterien für eine IoT-konforme Cybersicherheit und sichere Softwareentwicklung entwickelt werden, die später die Grundlage für eine Verbraucherkennzeichnung bilden sollen. Es bleibt zu hoffen, dass die Maßnahmen ausreichen, damit der private Sektor die Sicherheitsrisiken im Zusammenhang mit IoT endlich ernst nimmt.
Informationen von Bitdefender zufolge hatten bislang weniger als 30 Prozent der Hersteller von IoT-Geräten, bei denen die Bitdefender-Software-Schwachstellen gefunden und gemeldet hatte, überhaupt auf die Schadensanalyse reagiert. Durch die Initiative der US-Regierung wird sich dieser Wert demnächst hoffentlich erhöhen. Verbraucher und Unternehmen können also mittelfristig darauf hoffen, dass die von ihnen ausgewählten IoT-Geräte zukünftig sicherer sein werden. Bis es soweit ist, sollte jedoch die Zeit genutzt werden, um die interne IoT-Sicherheit zu verbessern.
IoT-Sicherheit ist ein kontinuierlicher Prozess
Selbst wenn IoT-Geräte beim Kauf als „sicher“ eingestuft und anschließend vorschriftsmäßig installiert wurden, hört die Arbeit, sie sicher zu halten, nicht auf. Denn ab dann muss sichergestellt werden, dass die Geräte auch auf Dauer zuverlässig funktionieren.
Um dies zu gewährleisten, muss das SOC (Security Operations Center) eines Unternehmens sie regelmäßigen Tests unterziehen. Dazu gehören vor allem EDR-Tests (Endpoint Detection and Response), die eine gute Basis bilden, um im Falle eines Angriffs zu erkennen, ob sich die Geräte auffällig verhalten.
Die Ergebnisse der Erkennungs- und Reaktionstest liefern zuverlässige Informationen über die reguläre Funktionsweise der Geräte. Abweichendes Verhalten lässt sich auf dieser Basis leichter erkennen und ermöglicht im Falle eines Angriffs gezielten Schutz. Doch trotz des Einkaufs sicherer Geräte und anschließender kontinuierlicher Absicherung, muss man eingestehen: Es gibt auf Dauer keine komplette Sicherheit.
Man sollte damit rechnen, dass IoT-Geräte kompromittiert wurden
Die durchschnittliche Nutzungsdauer von IoT-Geräten zeigt beispielsweise, warum die Sicherheit mit zunehmendem Alter der Geräte abnimmt. Vergleicht man die Lebensdauer eines IoT-Geräts im privaten mit der eines Systems im industriellen oder gewerblichen Rahmen, so ergeben sich Unterschiede von drei bis fünf Jahren im privaten Umfeld und eine durchschnittliche Nutzungsdauer von sieben bis zehn Jahren im gewerblichen Bereich. Nur ein kleiner Teil der privat genutzten Geräte verfügt nämlich über intelligente, automatisierte Aktualisierungsfunktionen, so dass die integrierten Schutzmechanismen in der Regel innerhalb von zwei Jahren veraltet sind.
„Ähnlich wie bei Zero-Trust-Ansätzen sollte man grundsätzlich immer davon ausgehen, dass eine IoT- Umgebung, und alle damit verbunden Sicherheitsmaßnahmen, Fehler enthalten.“
Jay Balan, Bitdefender
Auch wenn in den USA zurzeit die Einführung von Standards in den Produktentwicklungszyklen geplant ist – einen hundertprozentigen Schutz für IoT-Systeme wird es auch danach nicht geben. Ähnlich wie bei Zero-Trust-Ansätzen sollte man grundsätzlich immer davon ausgehen, dass eine IoT- Umgebung, und alle damit verbunden Sicherheitsmaßnahmen, Fehler enthalten. Es wird immer jemanden geben, der eine Lücke in einem System findet. Um Systeme trotzdem so vollständig wie möglich abzusichern, sollten Unternehmen ihre Abwehrmaßnahmen gegen potenzielle Risiken vorbereiten. Dazu gehören:
- Priorisierung der IoT-Geräte nach der Wahrscheinlichkeit ihrer Gefährdung und anschließende Netzsegmentierung. Durch die Abgrenzung einzelner Geräte im Netzwerk kann der potenzielle Schaden im Falle eines Angriffs minimiert werden.
- Nutzung von EDR-Technologien, um mögliche Bedrohungen auf Nutzer- oder Geräteebene zu erkennen. Alternativ kann man mit entsprechenden externen Dienstleistern im Rahmen einer MDR-Strategie (Managed Detection and Response) zusammenarbeiten.
- Durchführung regelmäßiger Penetrationstests.
- Erstellung von kurz-, mittel- und langfristigen Wartungsplänen für alle Geräte im Netzwerk.
- Sicherstellen, dass alle Systeme, auch Switches oder Router, auf die neueste Betriebssystem- oder Softwareversion aktualisiert sind. Dabei sollte berücksichtigt werden, ob die Geräte sich leicht oder schwer aktualisieren lassen und ob ein Hersteller im Falle einer Sicherheitslücke das Update schnell bereitstellen kann.
Unternehmen müssen IoT-Geräte proaktiv absichern
Man muss eingestehen, dass vollständige Sicherheit für IoT-Geräte eine Illusion ist. Initiativen wie die der US-Regierung werden das IoT mittel- und langfristig sicherer machen. Bis es soweit ist, müssen Unternehmen viel proaktiv leisten, um die Sicherheit ihrer Umgebung und ihrer IoT-Geräte zu verbessern. Hierzu bedarf es einer wirkungsvollen Strategie für die Endpunkt- und Netzwerkverteidigung, die auch die besonderen Merkmale von IoT-Geräten beinhaltet. Je gründlicher sich Unternehmen hier vorbereiten, desto besser sind sie gewappnet, falls jemand Schwachstellen in ihrem System findet und ausnutzt.
Über den Autor:
Alex „Jay“ Balan ist Security Research Director bei Bitdefender. Er verfügt über mehr als 15 Jahren Berufserfahrung in den Bereichen Informationssicherheit, Innovation und Produktstrategie.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.