Schatten-IoT: Wie man Licht ins Dunkel bringt

Bedrohungslandschaft im ständigen Wandel

Ein Gastbeitrag von Deepen Desai, VP Security Research bei Zscaler

Schatten-IoT-Datenverkehr ist in Unternehmen auf dem Vormarsch und geht mit einem ansteigenden Gefahrenpotenzial einher. Unternehmen sind sich vielfach nicht bewusst, welche Internet-fähigen Geräte von Mitarbeitern ins Netzwerk eingebracht werden.

Der jüngste Forschungsbericht des Zscaler ThreatLabZ Teams (IoT in the Enterprise 2020: Shadow IoT Emerges as a Security Threat) spricht von Shadow-IoT wenn unautorisierte Hardware im Firmennetz eingesetzt wird. Laut des Berichtes wird deutlich, dass Organisationen die Hoheit über den Traffic aller Internet-fähigen Geräte in ihrem Netzwerk zurückgewinnen müssen. Die IT-Abteilung kann nur dann die Sicherheit des Unternehmens gewährleisten, wenn auch der Datenverkehr unautorisierter IoT-Geräte am Arbeitsplatz auf Malware gefiltert wird.

Bild: Zscaler

Deepen Desai, VP Security Research bei Zscaler

Starker Anstieg bei IoT-Transaktionen

Im vergangenen Jahr wurden mehr als eine Milliarde IoT-Transaktionen pro Monat in der Zscaler-Cloud erfasst, was einem durchschnittlichen täglichen Volumen von 33 Millionen Transaktionen entspricht. Verglichen mit dem Jahr zuvor ist das ein Anstieg von 1.500 Prozent. Der aktuelle IoT-Report zeigt außerdem, dass im Zeitalter einer Always-on Kultur der Mitarbeiter eine Verschmelzung des Datenverkehrs von firmeneigener Infrastruktur und privaten Geräten im Unternehmensnetz erfolgt.

Bei der Untersuchung der häufigsten IoT-Gerätetypen identifizierte Zscaler neben autorisierten Geräten, wie Terminals zur Datenerfassung, Media Playern für digitale Signaturen, Steuerung von Industrieanlagen, medizinischen Geräten, Netzwerkgeräten, Bezahlterminals und Druckern eine Vielzahl von unautorisierten Gerätetypen, die mehr als die Hälfte der in den Unternehmen gefundenen Internet-fähigen Devices ausmachen.

Höchstes IoT-Transaktionsvolumen im produzierenden Gewerbe und Einzelhandel

Zu den am häufigsten gefundenen IoT-Geräten zählten digitale Heimassistenten, TV-Set-Top-Boxen, IP-Kameras, Smart-Home-Geräte, Smart-TVs, Smart-Watches und sogar Multimedia-Systeme in Fahrzeugen. Das höchste IoT-Transaktionsvolumen entfiel allerdings auf das produzierende Gewerbe und den Einzelhandel (56,8 Prozent), gefolgt von Unternehmen (23,7 Prozent) und Unterhaltung und Heimautomatisierung rangiert erst auf Platz drei mit 15,7 Prozent. Abgeschlagen mit 3,8 Prozent Anteil am Transaktionsvolumen folgt das Gesundheitswesen.

Zusätzlich zum Anstieg von unbekannten und unautorisierten (Shadow)-IoT-Geräten zeigt der Bericht außerdem, dass 83 Prozent der IoT-basierten Transaktionen über Plain-Text erfolgt. Lediglich 17 Prozent setzen auf die sicherere SSL-Verschlüsselung. Die Verwendung von Klartext ist deshalb riskant, weil der Datenverkehr für Sniffing beispielsweise nach Passwörtern, für Lausch- und Man-in-the-Middle-Angriffe und andere Exploits anfällig wird. Kontinuierlich werden neue Exploits entwickelt, die es auf die Ausbeutung von IoT-Daten abgesehen haben. So sucht das RIFT-Botnet zum Beispiel nach Schwachstellen in Netzwerkkameras, IP-Kameras, DVRs und Heim-Routern.

IoT-Bedrohungslandschaft im ständigen Wandel

Die IoT-Bedrohungslandschaft verändert sich ständig, da Hersteller fortlaufend neue, Internet-fähige Geräte für Endanwender und Unternehmen gleichermaßen auf den Markt bringen. Da dieser Bereich nach wie vor nicht reguliert ist, tun Unternehmen gut daran den Überblick zurückzugewinnen, welche Geräte tatsächlich in ihrem Netzwerk eingesetzt werden. Sie benötigen Einblick, welche Gerätetypen über das Firmennetzwerk ans Internet Daten transportieren um darauf aufbauend Strategien zur Absicherung des gesamten IoT-Ökosystems zu entwickeln.

Die Anfälligkeit rührt daher, dass IoT-Geräte ursprünglich als kurzlebige Investitionen mit niedrigen Anschaffungskosten und schnell veraltender Software auf den Markt gebracht wurden. Es existiert kein Protokoll für kontinuierliches Testen, die Aktualisierung von Software oder regelmäßige Patches, um die Sicherheit auf dem aktuellsten Stand zu halten. Allerdings ist es keine Lösung, all die smarten Geräte aus dem Firmennetzwerk zu verbannen. Es muss einerseits der Sicherheits- und Risikogedanke stärker im Bewusstsein verankert werden und andererseits der Druck auf die Hersteller wachsen, Sicherheit auf Geräteebene in der Entwicklung zu berücksichtigen.

Shadow-IoT: Schatten ins Ra⎄mpenlicht rücken

Zuallererst müssen sich Unternehmen damit auseinandersetzen, wie sie Einblick in die vorhandene IoT-Gerätelandschaft am Arbeitsplatz erhalten und den Umfang der Datenströme überblicken, der von diesen Devices im Unternehmensnetzwerk ausgeht. Dafür verwenden Unternehmen heute unterschiedliche Ansätze. Die herkömmliche Vorgehensweise besteht darin, die Massen an Daten zu sammeln und mit aufwendigen Firewall-Richtlinien abzusichern. Darauf aufbauend kommen kostspielige Analyseplattformen zum Einsatz, die die Administratoren so lange mit Warnmeldungen überhäufen, bis diese ignoriert werden.

Nicht berücksichtig wird bei einer solchen Vorgehensweise die Realität, in der die Anwender auf Cloud-basierte Applikationen setzen und darauf von überall aus zu greifen. Der traditionelle Ansatz ist nicht in der Lage, den Datenverkehr aller Anwender, Geräte und Applikationen zu überwachen. Sicherheitskontrollen und die Durchsetzung von Richtlinien bleiben auf der Strecke, und damit auch Compliance-Vorgaben. Für den Anwender ist es darüber hinaus frustrierend, wenn jeglicher Internet-Datenverkehr über ein einziges, sicheres Gateway gelenkt wird.

Ein moderner Cloud-basierter Ansatz setzt auf das Internet als Verbündeten im Kampf um die IoT-Sicherheit. Bei diesem Modell nimmt das Internet die Stelle des Unternehmensnetzwerks ein, das den gesamten Geschäftsverkehr transportiert und dabei durch Security-Policies aus der Cloud abgesichert wird. Jede Internet-Transaktion über ein IoT-Gerät wird unabhängig davon, von wo aus sich die Anwender verbinden oder wo ihre Anwendungen gehostet werden, erfasst und für die IT-Abteilung sichtbar gemacht. So verhindern die Sicherheitsverantwortlichen das Eindringen von Angreifern und das Abfließen sensibler Daten. Und da die Sicherheit an den Endpunkt verlagert wird, beeinträchtigt sie die Geschwindigkeit des Datenverkehrs nicht.

Zero Trust gilt auch für IoT-Geräte

Für die Sicherheit in einer mobilen und Cloud-first Arbeitsumgebung sorgt eine Zero Trust-Mentalität. Vereinfacht ausgedrückt wird dabei keiner Person oder keinem Gerät erlaubt sich mit dem Netzwerk zu verbinden, bevor nicht eine Authentifizierung erfolgt ist. Erst wenn die Identität erhoben ist, darf eine auf Richtlinien basierende Verbindung aufgebaut werden. Zero Trust Network Access (ZTNA) setzt dabei auf Identity Access Management und Richtlinien, um die Grenzen rund um Anwendungen neu zu errichten.

Darüber hinaus gilt es auch, Mitarbeiter am Arbeitsplatz zum Umgang mit ihren eigenen IoT-Geräten zu schulen und auf Sicherheitslücken zu sensibilisieren. Ein Teil der Schulungen sollte Best Practises zur Internetsicherheit generell umfassen und zusätzlich sollten Richtlinien-basierte Geschäftsprozesse in ein Zero-Trust-Konzept einfließen. Wenn nämlich Policies implementiert werden, die den Einsatz unautorisierter IoT-Geräte im Unternehmensnetzwerk regulieren oder gar ganz unterbinden, kann das Sicherheitsrisiko für Unternehmen minimiert werden.

Fazit: Ist es Zeit für eine Art Genfer IoT-Konvention?

Weltweit gibt es heute Bestrebungen und Regulierungsvorschläge für höhere Sicherheit von IoT-Geräten, wie beispielsweise das Gesetz zur Cybersicherheit in Kalifornien (SB-327), das am 1. Januar 2020 in Kraft trat. Angesichts der komplexen Lieferkettenprozesse bei der Herstellung greifen diese einzelnen Gesetzesinitiativen und Vorschriften auf Länderebene bisher zu kurz. Technologiekonzerne, die über unterschiedliche Länder hinweg operieren, sind gefordert Sicherheitsdebatten und Prozesse voranzutreiben, die staatenübergreifend zum Tragen kommt. Nur so können internationale Standards definiert und damit klare Anforderungen an die IoT-Hersteller formuliert werden.

Indem Unternehmen für mehr Transparenz für IoT-Geräte sorgen, eine Zero-Trust Network Access Policy implementieren und dazu beitragen, dass IoT-Geräte reguliert werden kann es gemeinsam gelingen, Licht in die heute vorherrschende Schatten-IoT zu bringen.

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2019
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand

datensicherheit.de, 01.08.2019
Warnung von Zscaler: Missbrauch von Domains für Angriffe