Trotz all ihrer Vorteile wurden IoT-Geräte nicht im Hinblick auf Sicherheit entwickelt. Dies kann zu großen Problemen führen.
Das Internet der Dinge (IoT) hat viele Vorteile gebracht. Es hat auch die Art und Weise verändert, wie Unternehmen und IT-Risiken gemanagt werden. In den letzten Jahren sind Berichte über entführte Kameras, gehackte medizinische Geräte und kompromittierte industrielle Steuerungssysteme aufgetaucht. Das Problem wird nur noch schlimmer, wenn 5G zum Mainstream wird und eingebettete IoT-Geräte immer häufiger werden.
Das IoT fügt dem bestehenden Schutz eine weitere Sicherheitsebene hinzu. Das macht es so schwierig. Da das IoT potenziell alles innerhalb eines Unternehmens betrifft – und nach außen hin zu Partnern und Lieferketten – umfasst es Firmware, Betriebssysteme, TCP/IP-Stacks, Netzwerkdesign, Datensicherheitstools und vieles mehr.
Merritt Maxim ist Vizepräsident und Forschungsdirektor bei Forrester. „Schwachstellen in diesem breiten Ökosystem sind leichter zu übersehen“, sagt er.
Dies ist ein ernstes Problem. Es kann äußerst schwierig sein, alle IoT-Geräte in einem Netzwerk zu identifizieren. Das ist nicht das Ende.
Viele IoT-Geräte wurden nicht im Hinblick auf Sicherheit entwickelt. „Menschen, die IoT-Systeme bereitstellen und einrichten, haben nicht immer ein ausgezeichnetes Sicherheitsverständnis. Das Hinzufügen mehrerer Geräte verschiedener Hersteller erhöht die Komplexität“, sagt Joe Nocera, Leiter des Cyber and Privacy Innovation Institute bei PwC.
Außer Kontrolle
Jede Diskussion über IoT-Sicherheit beginnt mit einer einfachen Tatsache: Das Internet der Dinge unterscheidet sich in puncto Sicherheit grundlegend von konventioneller IT. Viele IoT-Geräte haben keine Benutzeroberfläche, daher werden Angriffe oft direkt auf dem Gerät oder über das Gerät ausgeführt, um Zugang zu einem Unternehmensnetzwerk zu erhalten. Maxim weist auch darauf hin, dass Angriffe eine andere Dynamik haben können als Ransomware oder andere Angriffe.
Er sagt: "Die Motivation liegt oft in einer größeren Störung."
Tatsächlich kann ein Angriff nicht reparierbare Geräte oder geschäftliche Störungen verursachen, die finanziell oder politisch motiviert sein könnten. Im Februar beispielsweise brach ein Hacker durch ein industrielles Kontrollsystem in eine Wasseraufbereitungsanlage in Florida ein und versuchte, die Wasserqualität zu manipulieren. Im Jahr 2018 hackten Cyber-Diebe ein Glücksspielkasino in Großbritannien über ein mit dem Internet verbundenes Thermometer in einem Aquarium in der Lobby. Die Kundendaten des Casinos wurden von Dieben gestohlen.
Hersteller erstellen oft ihre eigene Firmware, Protokolle und Designstandards. Sie leisten nicht immer gute Arbeit bei der Wartung und beim Patchen von Systemen. Viele IoT-Geräte sind auf ältere Versionen von Windows und Linux angewiesen. Das IoT sorgt für noch mehr Kopfzerbrechen: Industrielle Steuerungssysteme und Maschinen, die nicht mit der Welt verbunden werden sollten, gehören nun dazu.
Schütze dich selbst
Bemerkenswerterweise gaben 74 % der vom Ponemon Institute im vergangenen Juni befragten Unternehmen an, dass ihre IoT-Risikomanagementprogramme nicht mit den Risiken Schritt halten, die durch die allgegenwärtige Nutzung von IoT-Geräten entstehen.
Nocera von PwC erklärt, dass die Kenntnis der im Netzwerk ausgeführten IoT-Geräte und deren Daten der erste Schritt zum Aufbau eines starken Schutzes ist.
Er sagt: "Viele Unternehmen wissen es nicht."
Dies wird dadurch erschwert, dass einige Hersteller obskure Namen oder Codes verwenden, die ihre Geräte nicht eindeutig identifizieren. Nocera schlägt vor, einer Gruppe Verantwortung zuzuweisen und eine Bestandsaufnahme durchzuführen, um potenzielle Fehlerpunkte und Risiken zu identifizieren. Manchmal benötigt ein Unternehmen möglicherweise eine spezielle Asset-Management- oder Discovery-Lösung.
Es ist entscheidend, Transparenz und Kontrolle über die gesamte IoT-Landschaft zu schaffen.
Nocera sagt: "Eine Organisation sollte in der Lage sein, verschiedene Geräte ein- und auszuschalten und sie entsprechend zu konfigurieren."
Mit den richtigen Tools ist es möglich, sicherzustellen, dass auf einem Gerät nur die notwendigen Dienste ausgeführt werden und alle anderen Geräte ausgeschaltet sind. Ein weiteres Problem bei den Konfigurationsverwaltungsadressen besteht darin, sicherzustellen, dass Geräte keine Standardkennwörter oder Werkseinstellungen verwenden.
Ulf Mattsson (Chief Security Strategist bei Protegrity) sagt, dass Passwörter regelmäßig geändert werden sollten. Er empfiehlt den Einsatz von Token, Datenanonymisierung und Multifaktor-Authentifizierung (MFA) sowie biometrischer Authentifizierung. Datenverschlüsselung in Bewegung und im Ruhezustand, Firewalls der nächsten Generation und Intrusion-Prevention-Systeme (IPS) sind erforderlich. Er sagt, dass es entscheidend ist, diese Systeme auf dem neuesten Stand und gepatcht zu halten.
Nocera weist auch darauf hin, dass die Netzwerksegmentierung ein weiteres nützliches Werkzeug ist. Es ist wichtig, Schlüsselsysteme wie industrielle Steuerungen, Unternehmensanwendungen und andere kritische Informationen zu isolieren, damit Hacker sich nicht über IoT-Geräte in Netzwerke hacken können.
Er sagt zum Beispiel, dass "wenn Sie eine Spedition und ein Logistikunternehmen sind, müssen IoT-Geräte, die zur Verwaltung Ihrer Flotte verwendet werden, möglicherweise nicht mit IoT-Geräten und anderen in einem Lager verwendeten Systemen kommunizieren." Auf diese Weise, wenn überhaupt Geräte kompromittiert werden, verlieren Sie nur ein Lager und nicht alle Lager.
Es ist sicher, IT zu spielen
Es gibt viele andere Strategien, die verwendet werden können, um eine widerstandsfähigere IoT-Infrastruktur aufzubauen. Zu diesen Strategien gehört das Sperren von Cloud-Anmeldeinformationen, die dann verwendet werden können, um Geräte neu zu konfigurieren. Deaktivieren von Funktionen, die nicht verwendet werden. Regelmäßige Überprüfung der IoT-Infrastruktur und Außerbetriebnahme nicht benötigter Geräte. Halten Sie den Malware-Schutz auf dem neuesten Stand und ersetzen Sie weniger sichere Geräte. Sie sollten sich auch bewusst sein, wie sich 5G auf ein IoT-Framework auswirkt.
Maxim sagt, dass es auch ratsam ist, nach neueren IoT-Geräten zu suchen, die sichere Silizium- und Root-of-Trust (RoT)-Technologien verwenden. Dies verringert die Wahrscheinlichkeit, dass die BIOS- oder Betriebssystemebene geändert werden kann. Ein weiterer beachtenswerter Bereich ist die zunehmende Verwendung von Konnektoren, Application Programming Interfaces (APIs), die Datenquellen und Geräte erweitern und manchmal maskieren.
Möchten Sie unsere engagierten Entwickler einstellen? Holen Sie sich eine kostenlose Schätzung
Ein ganzheitlicher Ansatz, der eine Reihe von Tools und Strategien zum Schutz von Geräten und Daten verwendet, ist die beste Verteidigung. Maxim erklärt, dass jedes IoT-Gerät oder -System der gleichen strengen Überprüfung unterzogen werden sollte wie Unternehmensanwendungen und nach der Bereitstellung strengen Sicherheitsstandards unterliegen sollte.
Er fügt hinzu, dass das IoT neue und manchmal schwerwiegendere Risiken birgt, die Unternehmen stören oder zum Tod führen könnten.