Cybersecurity: So schützen Sie IoT-Geräte und Cloud richtig

Das Internet of Things bietet eine ganze Menge Potenzial für innovative Anwendungen und für die Optimierung verschiedenster Abläufe. Ein gut konzipiertes Netzwerk aus IoT-Geräten kann selbst komplexe Aufgaben zuverlässig automatisieren und so z. B. ganze Produktionsketten in der Industrie weitestgehend autonom laufen lassen. Auch in der medizinischen Versorgung, in der zukunftsorientierten Planung von Städten, in der Mobilität und angesichts der aktuellen Pandemie-Lage vor allem im Bereich Home Office gibt es zunehmend mehr Anwendungen, die auf die vernetzte Technologie setzen. Smarte Sensoren und fernsteuerbare Aktoren sind bereits heute vielerorts im Einsatz. Das Problem dabei: Das Bewusstsein für gute Cybersecurity ist im Zusammenhang mit IoT bislang kaum vorhanden. Hinzu kommt: Die momentane Corona-Krise wirkt nicht nur als positiver Beschleuniger der digitalen Transformation. Auch Cyberkriminelle entdecken durch die Folgen der Krise neue, für sie attraktive Angriffspunkte bei Devices und in der Cloud. 

 

Gefahrenpotenzial durch mangelhafte IoT Sicherheit

Das Internet of Things baut darauf auf, dass die einzelnen Geräte, Sensoren und IoT-Anwendungen jederzeit untereinander oder über das Internet miteinander kommunizieren können. Sie sammeln Massen an Daten, die für die geplanten Aufgaben erforderlich sind, und tauschen diese oft empfindlichen Informationen aus. Diese starke Vernetzung befähigt IoT-Systeme erst zum Lösen komplexer Problemstellungen. Dabei sind jedoch immer noch viele Geräte mangelhaft bis gar nicht gegen Angriffe von außen geschützt. Wer es schafft, Zugriff auf ein einziges Gerät eines schlecht geschützten Netzwerks zu erhalten, bekommt daher häufig auch freien Zugang zu den anderen angemeldeten Geräten. Die Konsequenzen können von ärgerlich (Angreifer liest Sensordaten mit oder startet DoS-Attacke auf das Netzwerk) bis lebensbedrohlich (Angreifer manipuliert medizinische Geräte oder autonome Maschinen) reichen.

 

Spezialfall cloudbasiertes Gefahrenpotential

Stichworte Digitalisierung und Home Office: Viele Unternehmen haben im Zuge der Corona-Pandemie neue, digitale Technologien eingesetzt. Um ihre Mitarbeiter im Home Office einzubinden, wurden beinahe zwangsläufig viele Remote Access-Projekte umgesetzt - deutlich umfangreicher und schneller, als teilweise geplant. Ob Cloud-Anwendungen, Kollaborations- und Konferenztools und Fernzugriffstechnologien wie beispielsweise traditionelle VPNs oder fortschrittliche Zero-Trust-Zugänge: All diese Technologien beschleunigen effektive Arbeit im Home Office, bedeuten gleichzeitig aber auch neue Risiken für Unternehmen und speziell für Mitarbeiter, die von zuhause arbeiten. In vielen Fällen wurden die Mitarbeiter schlicht und einfach nicht hinreichend über die Risiken aufgeklärt. Cyberkriminelle haben sehr schnell Wege gesucht, um von dieser Situation zu profitieren, besonders über Phishing-Kampagnen. 

Die Nutzung von Cloud-Diensten ist für Angreifer aus mehreren Gründen interessant: Sie bieten einfaches Hosting, sind einfach zu verwalten und ermöglichen den häufigen und schnellen Wechsel zwischen unterschiedlichen Payloads. Vor allem bieten sie herausragende Möglichkeiten, Sicherheitstechnologien zu umgehen, da viele der (eben auch von Cyberkriminellen genutzten) Dienste als vertrauenswürdig eingestuft sind und entsprechend auf der Whitelist stehen. Traditionelle Web-Sicherheitslösungen wurden nicht für die Überwachung von Cloud-Diensten konzipiert, so dass ihnen der Kontext fehlt, ob es sich beispielsweise um einen Cloud-Dienst für Unternehmen oder Privatpersonen handelt, und sie nicht in der Lage sind, die Sprache der APIs zu verstehen, das heißt, ihnen fehlt jeglicher Einblick in die Nutzung.

 

Sinnvolle Maßnahmen für IoT-Sicherheit

Ein funktionsfähiges IoT-System muss genauso gegen Angriffe geschützt werden, wie man es bereits seit Jahrzehnten für Rechnernetze realisiert. 

Schwachstellenanalyse

Bevor jedoch konkrete Maßnahmen ergriffen werden, sollten wichtige Fragen rund um das Netzwerk beantwortet werden:

• Wer hat bzw. benötigt welche Zugriffsrechte für welche IoT-Geräte?

• Welche Berechtigungen haben bzw. benötigen die einzelnen Geräte jeweils?

• Wie viele IoT-Geräte sind im Firmennetzwerk vorhanden und wie wird dieses Inventar verwaltet?

• Wird die IoT-Infrastruktur in einem eigenen, vom Firmennetz isolierten Netzwerk betrieben?

• Was passiert, wenn sich private (IoT-)Geräte der Mitarbeiter (oder eines Angreifers) ins Firmennetz einwählen?

Wenn das nötige Fachwissen im Unternehmen fehlt, lohnt sich die Hilfe eines Sicherheitsexperten mit Fokus auf IoT-Sicherheit und Cybersecurity. Das ist übrigens eine der Kernkompetenzen bei ROBIOTIC – sprechen Sie uns an, wenn Sie in diesem Bereich Unterstützung benötigen!

Regelmäßige Updates gegen Sicherheitslücken

Updates regelmäßig einzuspielen ist eine der wichtigsten Methoden, um das Netzwerk zu schützen, denn sie bringen nicht nur neue Funktionen: In den meisten Fällen enthalten sie wichtige Patches, die neu entdeckte Sicherheitslücken schließen. Je länger eine Sicherheitslücke bekannt ist, desto leichter haben es Angreifer in der Regel, diese für ihre Zwecke auszunutzen. Veraltete IoT-Geräte und solche, die generell keine Updates bekommen, sind daher kritisch zu sehen und wenn möglich durch eine updatefähige Alternative zu ersetzen.

Wichtig dabei ist, dass nicht jeder beliebige Nutzer die Geräte updaten können sollte. Denn so bietet man einem Hacker möglicherweise die Gelegenheit, ein eigenes Update mit Schadsoftware ins System einzuschleusen. Eine strikte Kontrolle und Einschränkung der Benutzerrechte ist daher zu empfehlen. Ebenso sollten nur Updates aus der offiziellen Quelle des Herstellers installiert werden. Gefälschte Updates können großen Schaden anrichten und einem Angreifer nicht nur eine Hintertür ins Firmennetzwerk liefern, sondern auch eigenständig die Funktion der vernetzten Geräte mit böswilliger Absicht manipulieren.

Sensibilisierung der Mitarbeiter

Ein entscheidender Faktor für den Aufbau einer effektiven Cybersecurity in Unternehmen ist die Sensibilisierung der Mitarbeiter für dieses Thema: Wenn diese sich bewusst sind, welche Gefahrenpotenziale gerade im Home Office bei Fernzugriffen über die Cloud bestehen, ist einer der wichtigsten Schritte hin zu mehr Sicherheit bereits getan. Jeder einzelne sollte verinnerlicht haben, wie wichtig der Einsatz von Cloud-bezogenen Sicherheitslösungen ist, und wie wichtig es ist, sich an die damit verbundenen Regeln zu halten, um Cloud-bezogene Bedrohungen zu erkennen und zu vermeiden. Sicherheit für die Cloud kann nur aus der Cloud selbst kommen – unter Einbeziehung aller Geräte und Personen, die innerhalb eines IoT-Netzwerkes zusammenarbeiten.