leowolfert - stock.adobe.com
Mit der Anzahl vernetzter Geräte steigt das Cyberrisiko
Das Risiko der zunehmenden Vernetzung einer Vielzahl unterschiedlichster Endgeräte ist, dass jedes potenziell ein Einfallstor für Angreifer in das Unternehmensnetz darstellen kann.
Wenn es um das Thema IoT (Internet of Things) beziehungsweise IIoT (Industrial Internet of Things) geht, denken viele Menschen zuerst an vernetzte Produktion, Sensoren zur Patientenüberwachung oder das Auto. Andere vielleicht auch noch an intelligente Stromzähler und Lampen. Über smarte Uhren und intelligente Thermometer jedoch denken vermutlich die wenigsten nach. Und es gibt noch viele weitere vernetzte Geräte:
- persönliche Assistenten
- Smartphones
- Tablets
- vernetztes Spielzeug für Kinder
- Überwachungskameras
- Die gesamte Hausautomatisierung wie: Sensoren, Rollläden, Jalousien, Tore, Schalter, vernetzte Steckdosen, intelligente Schlösser, Videotürklingeln und so weiter
- vernetzte Waagen, vernetzte Uhren
- Geschirrspüler, Backöfen, Kühlschränke
Nimmt man nun die für 2035 prognostizierten Zahlen der Experten von Gallup mit 75 Milliarden. IoT-Geräten als Maßstab, wird deutlich, dass Menge und Vielfalt dieser Geräte weiter zunehmen werden. Damit steigt auch das Risiko von Cyberattacken über diese Geräte, die nicht immer höchsten Sicherheitsstandards entsprechen.
Das zeigt ein Fall in London, bei dem ein Casino und seine Kunden Opfer einer digitalen Attacke wurden. Die Täter nutzten ein in einem Aquarium angeschlossenes Thermometer, um Daten zu stehlen. Das fragliche Gerät war mit demselben Netzwerk verbunden wie das Casino. Wer hätte gedacht, dass ein Thermometer für ein Unternehmen gefährlich sein könnte?
Daraus wird deutlich, dass wirklich jedes Gerät, das auf der einen Seite in irgendeiner Form mit dem Internet und auf der anderen Seite mit dem Firmen- oder Heimnetzwerk verbunden ist, ein potenzielles Einfallstor für Kriminelle darstellen kann.
Löchrige Grenzen
Dabei muss ebenfalls beachtet werden, dass die Grenzen zwischen Unternehmen und privater Nutzung mittlerweile nicht nur durch BYOD (Bring Your Own Device) eingerissen wurden, sondern IoT-Geräte Schutzmechanismen weiter perforieren. Wer käme schließlich auf die Idee, dass seine Uhr für Cyberkriminelle ein potenzieller Zugang zum Unternehmensnetzwerk sein könnte? Meistens sind sich die Unternehmen nicht einmal ihrer Existenz bewusst und können daher dem Risiko nicht begegnen.
Insofern werden die Bedrohungen für Unternehmensnetze aufgrund der mit dem Internet verbundenen Geräte immer zahlreicher. Dabei ist vollkommen gleichgültig, welche Form der Datenübertragung die Geräte nutzen, sei es das WLAN, Bluetooth oder auch eine normale LTE/UMTS-Verbindung.
Die Gefahren, die dabei entstehen, sind vielfältig. Dazu gehören alle Formen digitaler Angriffe, unter anderem:
- Exfiltration von Daten
- DDOS- und Botnet-Angriffe
- Identitätsdiebstahl
- Social Engineering
- Spionage
- Ransomware
Erstes Ziel: Information
Das primäre Ziel von Cyberangriffen ist in der Regel, an Unternehmensinformationen, vertrauliche Daten, Finanzdaten usw. heranzukommen. Beispielsweise um herauszufinden, ob es sich lohnt Rechner zu verschlüsseln und Lösegeld zu verlangen.
Möglicherweise geht es auch darum, geistiges Eigentum wie Patente und Erfindungen oder auch Source-Code zu stehlen. Oder Entscheidungswege und Hierarchien zu erkennen, um zu einem späteren Zeitpunkt durch Business E-Mail Compromise (BEC, auch als CEO-Masche bekannt) unberechtigte Überweisungen auf die Konten der Kriminellen anzustoßen. Sofern es sich nicht um staatliche oder staatlich geduldete Akteure handelt, ist die Motivation fast immer Geld.
Der Grund, warum der Datendiebstahl so erfolgreich ist, sind meist Sicherheitslücken in den IoT-Geräten oder ein unzureichendes Gerätemanagement. Dazu gehört das häufig vernachlässigte Updaten der Geräte – sofern Updates überhaupt verfügbar sind. Adressiert ein Angreifer eine solche Schwachstelle und ist beispielsweise auf einem Gerät erfolgreich, das das Opfer privat und beruflich nutzt, hat er bereits einen Fuß in der Tür des Arbeitgebers der betroffenen Person.
Ein weiterer Angriffsvektor besteht für Cyberkriminelle darin, diese Geräte anzugreifen, um über Datenübertragungen auf persönliche oder Unternehmensnetzwerke zuzugreifen. Indem sie die Kontrolle über ein Smartphone übernehmen, können sie im Namen des Opfers Nachrichten und E-Mails versenden, um Informationen zu erhalten oder Störungen zu verursachen. Jedes Mal, wenn Daten übertragen werden, steigt das Risiko einer Datenverletzung oder -gefährdung.
Daher müssen Unternehmen unbedingt sicherstellen, dass buchstäbliche jedes Gerät, dass in irgendeiner Form Zugriff auf das Firmennetzwerk hat, den Sicherheitsrichtlinien des Unternehmens entspricht. Dies muss geschehen, bevor der erste Zugriff auf das Netz möglich ist. Sonst könnte sich ein Angreifer Zugang des mobilen Geräts zum Wi-Fi-Netzwerk des Unternehmens zunutze machen und auf Unternehmensdaten zugreifen, wenn das Opfer ins Büro zurückkehrt.
DDOS- und Botnet-Angriffe
Dass Cyberkriminelle Botnets nutzen, ist nicht neu. Doch die Vielzahl der IoT-Geräte bedeutet eine vollkommen neue Dimension. So fand 2016 eine DDoS-Attacke (Distributed Denial of Serivce) statt, die sich auf ein Heer von Überwachungskameras (145.000 Kameras) und andere IoT-Geräte stützte – insgesamt 380.000 Bots. Der Angriff führte zur Unterbrechung des Zugangs zu wichtigen Websites wie Amazon, Twitter und Spotify.
Der Grund für solche Angriffe ist die schwache Sicherheit dieser Objekte, offene Ports, unveränderte Anmeldeinformationen, veraltetes IoT und fehlende Updates.
„Jedes Gerät, das auf der einen Seite in irgendeiner Form mit dem Internet und auf der anderen Seite mit dem Firmen- oder Heimnetzwerk verbunden ist, kann ein potenzielles Einfallstor für Kriminelle darstellen.“
Éléna Poince, Tehtris
Social Engineering via Smartwatch
Social-Engineering-Angriffe werden mit dem Aufkommen von IoT einfacher. Der Zugang eines Cyberkriminellen zu einer Smartwatch bedeutet oft Zugang zu sehr detaillierten Daten über deren Umgebung und Benutzer. Dies wiederum ermöglicht es den Angreifern, vertrauliche Informationen wie Bankdaten, Kaufhistorie, Adresse, Vor- und Nachnamen, Pseudonym, Geburtsdatum, Gewicht, Größe, Geschlecht und so weiter zu erhalten. All diese Informationen erlauben es, zukünftige Angriffe zu verfeinern.
Zudem erfasst eine Smartwatch den GPS-Standort und verfügt über Zugriff auf den Terminkalender. Werden diese Daten kombiniert, lassen sie sich auf dem Schwarzmarkt gut verkaufen.
Was tun?
Einer der wirksamsten Schutzmaßnahmen besteht darin, darauf zu achten, welche Geräte mit den Netzwerken verbunden werden dürfen und dabei die grundlegenden Schutzmaßnahmen zu beachten.
So sollten die Unternehmen unbedingt sicherstellen, dass jedes Gerät, jedes Peripheriegerät, jeder USB-Schlüssel authentifiziert und verschlüsselt wird, um jegliche Kompromittierung zu vermeiden.
Außerdem dürfen die SecOps nicht vergessen, Patches und Sicherheits-Upgrades für diese neuen mobilen Geräte bereitzustellen. Zero Trust für IoT ist daher das Gebot der Stunde. Alle Geräte, die sich mit dem Unternehmensnetzwerk verbinden, müssen überwacht werden.
Ein einheitliches Endpunktmanagement ist eine wesentliche Sicherheitslösung, die die IT-Teams genau dabei unterstützt. Schließlich geht es um die Verwaltung, Sicherung und Bereitstellung von Unternehmensressourcen und -anwendungen auf jedem Gerät im Unternehmen. Optimalerweise ist dies von einer einzigen Konsole aus möglich.
Diese sollte über umfangreiche Funktionen zur Abwehr von Viren, Würmern, Trojanern und anderer Schadsoftware verfügen. Hinzukommt, dass auch die Reaktion auf einen Vorfall und die Bekämpfung der Malware möglich ist – Incident Response and Defense in Depth – und dies vollkommen unabhängig vom Formfaktor und Betriebssystem der Endgeräte, inklusive der IoT-Devices.
Dabei darf aber nicht der Mensch vergessen werden: Die Sensibilisierung für digitale Sicherheit und regelmäßige, praxisnahe Trainings helfen dabei, die Sicherheit im Unternehmen trotz der stetig wachsenden Zahl von IoT-Devices nachhaltig zu verbessern.
Über die Autorin:
Éléna Poincet ist CEO bei Tehtris.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.