Netzwerksicherheit im Zeitalter von Internet of Things und Industrie 4.0

Zunehmende Vernetzung und Digitalisierung verändern die Geschäftsmodelle

Von unserem Gastautor Frank Ruge, Director Sales für Zentraleuropa bei Infoblox

[datensicherheit.de, 13.01.2017]  Im Internet of Things (IoT) werden Alltagsgegenstände mit Kommunikationsfähigkeiten ausgestattet. Anwendungsfälle erstrecken sich vom Heimbereich, über das industrielle Umfeld – Stichwort Industrie 4.0 – und öffentliche Einrichtungen bis hin zum Transport- und Gesundheitswesen. Kein Wunder also, dass IoT fest auf der Agenda von IT-Entscheidern weltweit steht. Denn die zunehmende Vernetzung und Digitalisierung verändern die Geschäftsmodelle. IDC schätzt, dass es bis 2020 etwa 30 Milliarden vernetzte IoT-Geräte geben wird. Ein Albtraum für Security-Verantwortliche: Denn die Vielzahl neuer, kommunizierender Geräte schafft ganz neue Gefahren und erfordert gleichzeitig neue Sicherheitskonzepte.

Herausforderung: Sicherheit im IoT

Trotz dem unglaublichen Wachstum an IoT-Geräten gibt es bisher nur wenige Antworten auf die Frage, was das Internet of Things für Netzwerke und IT-Abteilungen bedeutet und wie diese eine ausreichende Sicherheit für ihre Unternehmen gewährleisten können. Das Problem: Für die neuen Geräte müssen eine Vielzahl neuer IP-Adressen und zusätzliche Bandbreite geschaffen und verwaltet werden. Außerdem gilt es, die IoT-Geräte im Unternehmen so abzusichern, dass Hacker nicht durch diese ins Netzwerk eindringen können.

Unsichere Geräte und wie sie sicher werden

Die Notwendigkeit der ausreichenden Absicherung von IoT-Geräten wurde bereits deutlich gemacht. Das ist jedoch gar nicht so einfach: Die minimale Rechenleistung der meisten IoT-Geräte gefährdet nämlich die Sicherheit im gesamten Netzwerk, denn die Mehrheit der Devices unterstützt beispielsweise keine robusten Mechanismen zur Authentifizierung, oder sie sind mit Default-Kennungen versehen. Hinzu kommt, dass viele IoT-Geräte gar nicht so smart sind wie sie aussehen: Manchen fehlt ein Interface, was die Konfiguration für das Unternehmensnetzwerk zur Herausforderung macht. Weiter bauen alle mobilen IoT-Komponenten ihre Verbindungen je nach Ort und Umgebung per Mobilfunk, Bluetooth oder WLAN auf und können auch über mehr als eine Schnittstelle gleichzeitig mit dem Internet verbunden sein. Dies ist zwar notwendig, um ein „Handover“ beim Übergang zwischen den Netzwerken zu ermöglichen, aber auch fatal, denn so gelingt es Cyberkriminellen, bestehende Verbindungen, wie etwa das WLAN, in dem das IoT-Gerät registriert ist, zu knacken.

Es existieren bereits Methoden, die Netzwerkadministratoren helfen, IoT-Geräte sicher zu implementieren. Zuerst geht es darum, dass diese möglichst früh in den IoT-Planungsprozess integriert werden und dass die Minimalanforderungen für die Geräte im Netzwerk von Beginn an angegeben werden, da sie später installiert und unterstützt werden müssen. Diese Anforderungen sollten den Support von 802.1X, DHCP, SNMP Management, Remote Upgrades und IPv6 beinhalten.

Nichtsdestotrotz sollte man jedoch nicht davon ausgehen, dass die Geräte selbst sicher sind. Somit wird es umso wichtiger, im Netzwerk Funktionen zu haben mit denen Kommunikations-Anomalien und Malware aufgedeckt werden können. Hierzu bietet sich insbesondere der DNS-Dienst an, da dieser in der Regel der erste Kontrollpunkt ist, um die Entscheidung zu treffen, ob es sich um eine gute oder bösartige Kommunikationsanfrage handelt.

Absicherung des DNS – wichtiger denn je

Immer häufiger hört man von radikalen Cyberangriffen auf DNS (Domain Name Systems)-Systeme mit verheerenden Folgen. Man sehe sich nur den sich kürzlich erfolgten DDoS-Angriff (Distributed Denial of Service) auf Dyn an, der Netflix, Amazon, Twitter & Co kurzerhand für einige Stunden lahm legte. Die Attacke hatte ein Volumen von über einem Terabit pro Sekunde und ging von IP-Kameras, Druckern, Routern, Babyphones, TV-Festplatten-Receivern und Beleuchtungssystemen aus.

Eine neue Generation von Botnetzen und anderen Advanced Persistent Threats (APTs) nutzt vermehrt das DNS, um Maschinen zu infizieren und für ihre Zwecke einzusetzen, sowie um ausgeklügelte Netzwerkattacken auszuführen. Es ist daher essentiell, dass sich Unternehmen, zusätzlich zur richtigen Absicherung ihrer IoT-Geräte, ebenso mit der Absicherung ihres DNS beschäftigen. Ein einfaches Beispiel: Ein IoT-Gerät, das nicht im Unternehmensnetzwerk gemeldet ist, stellt eine Anfrage an das unternehmenseigene DNS. Ist dieses nicht ausreichend abgesichert, schaffen es Cyberkriminelle über das DNS ins Unternehmensnetzwerk zu gelangen. Wie aber sichern Unternehmen ihr DNS richtig ab?

So geht’s richtig

Über 90% aller Malware-Kommunikation findet über DNS statt. Über 65% aller DNS-Server in Unternehmen werden nicht gemanagt. In über 80% von DNS-Sicherheits-Checks findet sich von Kunden bislang nicht bemerkte Malware und bis dato unerkannte DNS-Tunnel.

Angriffsmöglichkeiten auf das DNS sind zu vielschichtig, als dass eine einzige Technologie vor der Vielzahl an Attacken schützen könnte. Um sich wirksam gegen Angriffe auf sein DNS schützen zu können, bedarf es einer ausgeklügelten Sicherheitsstrategie auf mehreren Ebenen.

Drei Tipps für die Absicherung des DNS:

• Absicherung des DNS-Dienstes gegen Angriffe von innen und außen zur Sicherung der Hochverfügbarkeit von Basisdiensten.
• Nutzen einer DNS-Firewall-Funktion, um frühzeitig Malware zu identifizieren und isolieren.
• Monitoren des DNS-Verkehrs zur Erkennung von Anomalien, die in der Regel auf Datenexfiltration oder DNS-Tunnel hinweisen.

Fazit

Das Internet der Dinge repräsentiert neue Möglichkeiten, von denen viele bis jetzt noch nicht einmal in Betracht gezogen wurden. Es arbeitet mit Netzwerken und verlässt sich auf die darunter liegenden Netzwerktechnologien, die von Netzwerkmanagern und Administratoren eingesetzt und gewartet werden müssen. Unternehmen müssen sich, ebenso wie ihr Netzwerk, daher bereits jetzt auf die Herausforderungen des IoT einstellen, früh in die Planung einsteigen und Sicherheitsprobleme mit großer Sorgfalt angehen. Für Netzwerkadministratoren ist es unabdinglich, mehr denn je jederzeit genau identifizieren zu können, wer in ihrem Netzwerk unterwegs ist und was die jeweiligen Geräte dort machen.

Weiter ist zu berücksichtigen, dass nicht ausschließlich die Absicherung der unternehmenseigenen IoT-Geräte den vollständigen Schutz vor Cyberangriffen bietet, sondern vielmehr auch die Tatsache, dass vor allem das DNS in letzter Zeit zu einer immer attraktiveren Option für Angreifer geworden ist, um die existierenden Verteidigungsvorkehrungen umgehen zu können und Netzwerke lahmzulegen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.12.2016
Industrie 4.0: Neben technischen auch zahlreiche rechtliche Fragen zu klären

datensicherheit.de, 24.10.2016
Themenkomplex Industrie 4.0 – Internet der Dinge: Risiken jetzt methodisch begegnen

datensicherheit.de, 10.10.2016
Cluster Industrie 4.0 zu Gast bei datensicherheit.de auf der „it-sa 2016“