Internet of Things – die tickende Zeitbombe für Unternehmen

von | Jul 13, 2018 | IT Sicherheit |

The Internet of Things (IoT) ist heute eines der trendigsten Schlagwörter. IoT bedeutet, dass physische Geräte, die Elektronik, Software und Sensoren besitzen, vernetzt sind, miteinander kommunizieren und Daten austauschen. Dadurch werden ganz neue Anwendungen ermöglicht. Für Privatpersonen naheliegende Beispiele sind Smart-Home-Produkte, wie etwa fernsteuerbare Leuchten, Fernseher, Staubsauger, Wearables, u.v.m. Im Enterprise-Sektor dominieren industrielle und zunehmend kritische infrastrukturelle Anwendungen zahlenmäßig die neuen IoT-Projekte. Darunter fallen etwa Produktionsanlagen, IP-Kameras, Steuergeräte in der städtischen & ländlichen Verkehrs- & Versorgungsinfrastruktur, und mehr. Umso dringender ist die Gefahr durch Cyberangriffe.

„Zu beachten ist, dass es unterschiedliche Risiken und Angriffsmuster gibt“, weiß Marco Gschaider, CIO bei Iphos IT Solutions. „So vielfältig die Bedrohungen sind, so zahlreich sind die Maßnahmen um diesen entgegen zu wirken. Denn verschiedene Beispiele haben gezeigt, dass es viele verschiedene Anwendungsfälle und Szenarien gibt. Dennoch kann man die Risiken erfassen und „Best-Practice-Beispiele“ für Sicherungsmaßnahmen umsetzen.“ Berichten zufolge steigen IoT-Attacken jährlich je nach Informationsquelle um über 200 Prozent. Nachfolgend geben wir daher einen Überblick über Risiken und zeigen mögliche Lösungswege.

 

Wie bedeutend sind IoT-Devices?

 

Gartner geht 2018 von 11,2 Milliarden IoT-Devices aus, die sich im Umlauf befinden. Bis zum Jahr 2020 sollen es ca. doppelt so viele (20,4 Milliarden) Geräte sein. Mit 12,8 Milliarden Devices wird der Großteil davon aus dem Bereich Consumer Electronics stammen und der Rest im Business-Sektor und der öffentlichen Verwaltung eingesetzt. „Trotz der zunehmenden Integration von IoT-Devices in kritische Bereiche haben viele Hersteller, Unternehmen und Privatpersonen kaum ein Bewusstsein dafür entwickelt“, so Gschaider. „Denn vormals isolierte Geräte werden nun zunehmend schnell in Netzwerke eingebunden.“ Selten gelangen jedoch Aufsehen-erregende Fälle an die Öffentlichkeit. Ein bekanntgewordenes Beispiel ist der Angriff durch den Computerwurm Stuxnet auf Geräte, die zum Beispiel der Steuerung und Überwachung von Motoren in Industrieanlagen, wie Wasserwerken & Pipelines dienen. Da hautpsächlich iranische Atomanlagen betroffen waren geht man von einem gezielten (staatlichen) Angriff aus. Eine andere Schwachstelle im CAN-Busprotokoll wurde durch die ICS-CERT entdeckt. Über diese inhärente Schwachstelle des Protokolls selbst wurde vielfach berichtet, da sie in vielen Fahrzeugen und industriellen Produktionsanlagen zum Einsatz kommt und nicht einfach mit einem Patch behebbar ist. 2017 wurden mehrere hunderttausend Patienten mit einem Herzschrittmacher zu einem Firmware-Update zu ihren Ärzten gerufen. Ein Hack konnte das Tempo des Signalgebers oder die Aktivierung des vorzeitigen Ruhezustands auslösen. Ein Einzelhändler wurde über sein intelligentes Klimatisierungs- & Lüftungssystem in den Geschäften gehackt. Dadurch wurden die Daten von mehr als 70 Millionen seiner Kunden kompromittiert. So wenig offensichtlich diese Schwachstellen erscheinen, so sicher ist der Fokus zukünftiger Angreifer auf diese. Die Gründe dafür finden sich in der zunehmenden Verbreitung von IoT-Devices, einem geringen Gefahrenbewusstsein und traditionell schlechten Sicherungssystemen an den Geräten selbst und oftmals auch im betreffenden Netzwerk.

 

 

Risiken für Unternehmen

 

Dabei sind die Risiken für Unternehmen vielfältig und ernst. „Denn diese gehen über das bloße Angegriffen-werden hinaus“, weiß Gschaider. „Werden IoT-Geräte in der Firma für Botnetze, Viren-, oder Malwareverbreitung von Dritten genutzt, handelt sich die Firma im schlimmsten Fall rechtlichen Ärger ein – wird also ungewollt zum Täter.“ Bei einem Sicherheitsbruch bei personenbezogenen Daten über ungesicherte IoT-Devices ist das Unternehmen laut neuer EU-DSGVO (EU-Datenschutzgrundverordnung) grundsätzlich vollumfänglich verantwortlich und haftbar.

Folgende Risiken stechen aus dem Katalog an Möglichkeiten besonders hervor:

  • IoT-Geräte sind ein bekanntes Sicherheitsrisiko: Vielen Devices fehlen grundlegende Sicherheitsrichtlinien, wie etwa Verschlüsselungen, sichere Web-Schnittstellen, Autorisierungs- & Softwareschutz. Das macht sie besonders anfällig für Exploits und Malware.
  • Physische oder monetäre Schäden: Durch eine absichtliche Fehlsteuerung oder eine Funktionsunterbrechung können physische (sachliche oder personenbezogene) Schäden entstehen. Der Ausfall einzelner Systeme im Betrieb kann auch ernsthafte monetäre Einbussen und Imageschäden zur Folge haben.
  • Nutzung der Geräte durch Dritte: IoT-Geräte können durch dritte Personen oder Institutionen etwa für Datendiebstahl oder als Hilfsmittel für Angriffe (Botnetze, Viren- und Malwareverbreitung) genutzt werden. Die Firma macht sich dadurch eventuell strafbar.
  • Sicherheitsbruch und Datenschutz (EU-DSGVO): Durch die strikten Regelungen in der EU-DSGVO liegt die Verantwortung eines Datensicherheitsbruchs über unzureichend oder schlecht gesicherte Geräte beim Unternehmen. Die Folgen können je nach konkreter Rechtsauslegung im jeweiligen Staat hohe Geldstrafen und weitere Pflichten, wie die Information der betroffenen Kunden, beinhalten.
  • Ungeklärte rechtliche Fragen: Teilweise kritische Informationen werden durch die Geräte automatisch ausgetauscht. Diese müssen nicht direkt personenbezogen sein, können aber durch eine Analyse auf Personen bezogen werden. Zudem ist die rechtliche Gültigkeit automatischer Nachbestellungen (z.B. von Verbrauchsmaterial in Produktionsanlagen) durch intelligente Geräte fraglich.

 

 

Sicherheitsmaßnahmen

 

Den genannten Risiken stehen standardisierte Sicherheitsregeln gegenüber, die unbedingt auf Ebene der Organisation, und auf der Software-, Hardware- & Netzwerkebene umgesetzt werden sollten. Dazu gehören insbesondere die folgenden Techniken und Prozeduren:

 

  • Bekannte Security Richtlinien implementieren
  • Standardisierte Security-Analysen verwenden
  • Die standardisierte EU-DSGVO Risikoabschätzung und die Richtlinien anwenden
  • Den Geräten und Nutzern nur die absolut notwendigen (minimalen) Berechtigungen im System einräumen
  • Regelmäßig Sicherheits-Audits durchführen, d.h. Prüfen der Daten, Schnittstellen und Versandwege von Informationen im Netzwerk
  • Verwenden einer Firewall mit Analyse von Nutzer- und Datenströmen
  • Regelmäßiges oder automatisiertes Monitoring des Geräte- & Netzwerkverhaltens
  • Regelmäßiges Software-Updating & Patching der IoT-Devices; und das nur über authentifizierte Quellen, am besten in einem vom Netzwerk getrennten Update-Modus;
  • Verwenden sicherer Praktiken, wie etwa einer Authentifizierung, sicherer Web-Schnittstellen, Verschlüsselung, etc.
  • Automatische gegenseitige Authentifizierung von IoT-Geräten im Netzwerk
  • Isolierung von Devices: zum Beispiel dauerhaft in einem eigenen Netzwerksegment (VLAN), oder den Betrieb über Hypervisoren führen, um im Ernstfall isolieren zu können
  • Die UPnP-Funktion in Routern deaktivieren, um das Verwenden der Devices für DoS Attacken zu verhindern
  • Nutzen von so viel Endpunkt-Security wie möglich
  • Sichere Passwörter verwenden