Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Dienstag, Januar 15, 2019 15:27 - noch keine Kommentare
IoT-Sicherheit ist das Thema für die Chefetage
Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus
Von unserem Gastautor Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout
[datensicherheit.de, 15.01.2019] Der Siegeszug des IoT (Internet der Dinge) setzt sich unaufhaltsam fort. Längst hat es auch Einzug ins Geschäftsleben gehalten, wo es den Alltag vieler Mitarbeiter sicherer und angenehmer gestaltet. Allerdings stellt die Etablierung der smarten Welt IT-Abteilungen vieler Unternehmen vor große Herausforderungen. Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus. Besserung versprechen hierbei Lösungen zur Visibilität in Netzwerken.
Im Zuge der Automatisierung setzen immer mehr Organisationen auf IoT. Darunter fallen beispielsweise Temperatursteuerungen oder Sicherheitskameras, aber auch Netzwerkdrucker. Die Vorteile liegen in vielen Fällen auf der Hand. So kann eine smarte Klimasteuerung im Gebäude Kosten sparen, indem sie zentral gesteuert und bei Bedarf abgeschaltet wird. Intelligente Überwachungskameras schicken ihre Aufnahmen in Echtzeit über das Internet an das verantwortliche Sicherheitspersonal. Viele Großunternehmen haben eigene Strategien für IoT – seien es smarte Kleingeräte bis hin zu großen, über das Internet ansteuerbaren Maschinenparks. Trotzdem wird der Sicherung dieser Geräte nicht die Bedeutung beigemessen, die nötig wäre, um das Unternehmen ausreichend zu schützen.
Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout
„Das S in IoT steht für Sicherheit“
Der Informatikerwitz mag ein wenig überspitzt sein, einen wahren Kern hat er allerdings. Viele IoT-Devices sind nicht ausreichend gegen Bedrohungen von außen gewappnet, da sie von vornherein über mangelhafte Sicherheitsmechanismen verfügen. Im Gegensatz zu Rechnern, Smartphones und Servern haben die Hersteller von smarten Geräten oft noch keine Erfahrung darin, ihre Produkte vor Bedrohungen durch Cyberkriminelle abzusichern. Als Folge davon entsprechen die Sicherheitsmechanismen nicht der aktuellen Bedrohungslage, womit sie ein beliebtes Ziel für Cyber-Kriminelle darstellen.
Hinzu kommt, dass die Installation und Verwaltung von IoT-Geräten oft nicht der IT-Abteilung eines Unternehmens, sondern der Hausverwaltung obliegen. Bei der Inbetriebnahme neuer Geräte werden zudem zuständige IT-Abteilungen nicht informiert, womit ihre Überwachung und Einbettung in sicherheitsrelevante Prozesse komplett umgangen wird. Infolgedessen können viele IT-Verantwortliche nicht genau sagen, wie viele Geräte sich insgesamt in ihrem Netzwerk befinden.
Aus Zeitgründen entfällt zudem erschreckend oft eine sorgfältige Einrichtung: Standardzugangsdaten und -Passwörter werden nicht geändert, wodurch sie durch Dritte von außen angreifbar sind.
Die Folgen können für Unternehmen verheerend sein
Die IoT-Sicherheit stellt einen Painpoint für Unternehmensleitungen dar. Gelingt es einem Cyberkriminellen, auf die Geräte zuzugreifen, sind seine Möglichkeiten, Schaden anzurichten, vielfältig:
- Installation eines Bot-Netzwerks: Bekannt geworden ist diese Methode durch das sogenannte Mirai-Botnetz vor zwei Jahren. IP-fähige Sicherheitskameras wurden von der Mirai-Malware infiziert und ihre Rechenleistung für DDoS-Angriffe genutzt. Diese Methode kann auch auf anderen IP-fähigen Geräte angewendet werden.
- Ausspähen von Daten. Hierfür eignen sich Drucker am besten, da sie über weitreichende Berechtigungen im Netzwerk verfügen, wie den Zugriff auf Netzwerkordner. Sollte ein unberechtigter Dritter Zugriff auf einen solchen Drucker erhalten, zum Beispiel durch ein nicht geändertes Standardpasswort, kann er auf diverse Ressourcen zugreifen. Im schlimmsten Fall kann er Firmeninterna bzw. Geschäftsgeheimnisse abgreifen und dem Unternehmen somit großen Schaden zufügen.
- Produktionsstörungen: Sollten Maschinen an das Firmennetzwerk angeschlossen sein, können sie bei einem erfolgreichen Angriff manipuliert werden. Dies hat Produktionsausfälle oder fehlerhafte Prozesse und ggf. einen Reputationsverlust zur Folge.
- Diebstahl von Kundendaten: Nicht nur können hier kritische Daten entwendet werden und den Ruf des eigenen Unternehmens beschädigen können, neue Verordnungen zum Datenschutz belegen Datenlecks mit hohen Strafen.
Was Unternehmen tun können
Eine Möglichkeit, das eigene Netzwerk zu schützen, ist eine Sicherheitslösung, die eine Visibilität der gesamten Netzwerkumgebung gewährleistet. Somit kann jedes Gerät, unabhängig davon, ob es Software-Agenten erlaubt oder nicht, erfasst werden.
Firmen, die nach einer solchen Lösung schauen, sollten allerdings darauf achten, dass sie nicht nur den Netzwerkverkehr überwacht, sondern ihn auch regulieren kann. Beispielsweise sollte sie in der Lage sein, den Typ eines Geräts festzustellen sowie den Updatestatus des Betriebssystems und der Sicherheitssoftware zu erkennen. Stellt sich heraus, dass beispielsweise System oder Sicherheitsmechanismen einen veralteten Sicherheitsstatus aufweisen, kann die Lösung danach den Netzwerkzugriff dieser Geräte einschränken oder ihn gänzlich verweigern.
Darüber hinaus muss gewährleistet sein, dass sie mit bereits bestehenden Systemen zur Sicherung von Netzwerken kompatibel ist und diese nicht behindert. Und zuletzt gilt es, die Lösung so zu gestalten, dass sie für IT-Teams die wichtigsten Informationen zentral darstellt und aufzeigt, welche Aktionen gerade notwendig sind, um die Netzwerksicherheit zu gewährleisten.
Dies erfolgt vollständig automatisiert und erleichtert dem zuständigen Personal somit den Arbeitsalltag.
Fazit
Das IoT hat sich etabliert und stellt die IT-Security von Unternehmen vor große Herausforderungen. Deshalb sollten sie sich aber nicht davor verschließen, sondern die Möglichkeiten in Betracht ziehen, die das IoT bietet. Mit der richtigen Lösung zur Visibilität in Netzwerken können Unternehmen von den Vorteilen profitieren, ohne ihr Tagesgeschäft oder ihre Reputation aufs Spiel setzen zu müssen.
Weitere Infomatonen zum Thema:
datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen
datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit
datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte
datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren