[datensicherheit.de, 07.08.2020] Da die Welt immer offenkundig immer mehr vernetzt wird, treten in der Folge immer mehr Geräte miteinander in Verbindung: Der Fitness-Tracker am Handgelenk z.B. überträgt drahtlos Daten auf das Smartphone, welches wiederum die Entertainment-Hubs in den vernetzten Autos auf der Fahrt steuert. „Das Smartphone ist auch der Dreh- und Angelpunkt der meisten Geschäftsverbindungen – Kontakte, E-Mail, Videokonferenzen, um nur einige zu nennen. Türklingeln, Thermostate und sogar Kühlschränke bereichern die vernetzte Welt und tauschen Daten und Befehle mit Smartphones und anderen Geräten aus“, so Greg Day, „VP“ und „Chief Security Officer, EMEA“ bei Palo Alto Networks, zur Einführung in seine aktuelle Stellungnahme zur gegenwärtigen und zukünftigen Relevanz von Cyber-Sicherheit im IoT-Kontext.

Foto: Palo Alto Networks

Greg Day zum 5G-IoT: „So viele Geräte und Objekte drahtlos zu vernetzen, schafft jedoch enorme Sicherheitsrisiken…“

Auch für IoT gilt die Erkenntnis: Das Netzwerk ist nur so sicher wie sein schwächstes Glied!

Dieses Netzwerk mit der englischen Abkürzung IoT – das sogenannte Internet der Dinge – werde „massiv wachsen“, da nun Mikrochips in Milliarden von bisher „stummen“ Objekten eingebettet seien: Von Mülleimern bis zu Robotern, von Waschmaschinen bis zu Produktionslinien werde eine Vielzahl von Objekten und Geräten Daten über eine Internetverbindung austauschen.
Die Einführung des Standards 5G sorge dabei für eine bessere Konnektivität als die herkömmlichen Festnetze und ermögliche gleichzeitig den Betrieb großer Mengen vernetzter Geräte. Drahtlose Konnektivität werde nun in großem Maßstab realisierbar. „So viele Geräte und Objekte drahtlos zu vernetzen, schafft jedoch enorme Sicherheitsrisiken, da jedes Netzwerk nur so sicher ist wie sein schwächstes Glied“, warnt Day.

Billige Mikrochips als IoT-Sensoren mit Schwachstellen

„In der vernetzten Welt könne ein 1-Dollar-Sensor an ein Milliarden-Dollar-Netzwerk angeschlossen werden. Billige Mikrochips werden auf Objekte aufgebracht und dienen als Sensoren, die Daten wie Hitze und Abnutzung messen. Die Sensoren sind klein, leicht und preiswert, aber ihnen fehlt in der Regel jede Art von Sicherheitssystem.“
Bei einem spektakulären Hack in Las Vegas seien Cyber-Angreifer in das digitale Netzwerk eines Casinos eingedrungen. Über einen Wärmesensor im Aquarium in der Lobby hätten sie sich Zugang zu den persönlichen Daten hochkarätiger Kunden verschafft. Day: „Cyber-Sicherheitsexperten deckten den Angriff auf, aber erst, nachdem bereits Daten herausgeschleust worden waren.“ Dieses Beispiel zeige, dass nicht überwachte Sensoren im Internet der Dinge eine Welt voller Gefahren schafften. Sie eröffneten immer mehr Einstiegspunkte, durch die Angreifer in Netzwerke eindringen könnten.

Alle im IoT vernetzten Geräte müssten auf Sicherheitsbedrohungen zu scannen sein

Zwar konzentrierten sich Geschäftsführer, Finanzdirektoren und Betriebsabteilungen zu Recht auf die verlockenden kommerziellen Möglichkeiten, welche die vernetzte Welt biete. Sie müssten aber auch wachsam bleiben, wenn die Gefahr von Sicherheitsverletzungen zunimmt. „Sicherheitsverantwortliche sollten daher mit der Faust auf den Tisch des Vorstands schlagen und auf Risikobewertungen, Sichtbarkeit und Segmentierung bestehen“, fordert Day sehr entschieden.
In dem Maße, wie die allgegenwärtige Konnektivität zunehme, werde die Zahl der mit Netzwerken verbundenen Geräte für große Unternehmen von Tausenden auf Millionen anwachsen. „Die Risiken werden spiralförmig ansteigen.“ Die Unternehmen würden auf Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) basierende Tools auf hohem Niveau benötigen, um all diese Geräte im Auge zu behalten. Ebenso werde hoch entwickelte Technologie erforderlich sein, um die vernetzten Geräte auf Sicherheitsbedrohungen zu scannen.

Konkretisierung der Terminologie vs. IoT als Werbebegriff

Sicherheitsverantwortliche hätten die Aufgabe, ihre Vorstände über die Risiken der Konnektivität aufzuklären und die für die Sicherheit notwendigen Lösungen und Budgets abzustecken. Der erste Ort, um damit zu beginnen, sei die Terminologie. „So vermittelt der Begriff ,Internet der Dinge‘ ein falsches Gefühl von Sicherheit. Es ist ein Werbebegriff“, so Day.
Geschäftsleute neigten dazu, das Internet der Dinge mit Konsumgütern wie Fitness-Tracker und Kühlschränke in Verbindung zu bringen. Sie stellen sich demnach vor, das IoT unterscheidet sich vom Industriellen Internet der Dinge (Industrial Internet of Things, IIoT), welches Roboter und Produktionslinien und andere industrielle Netzwerke wie OT (Operational Technology) und ICS (Industrial Control Systems) steuert. Zu diesen Industriellen Netzwerken gehörten beispielsweise jene, welche „in Kernkraftwerken eingesetzt werden, die das Ziel des berühmten ,Stuxnet‘-Angriffs waren“. Heute seien diese Systeme vollständig segmentiert. „Ein Teil der Macht, Dinge intelligent zu machen, besteht jedoch genau darin, sie mit anderen Dingen zu verbinden, um noch intelligentere Systeme zu schaffen.“

Warnung: IoT für Verbraucher könnte leicht zum Gateway in Industrielle Netzwerke werden

Day präzisiert: „In dem Maße, wie alles immer mehr miteinander verbunden wird, könnte das IoT für Verbraucher leicht zu einem Gateway in Industrielle Netzwerke werden. Ein Unternehmen könnte in seinem Bürogebäude einen intelligenten Verkaufsautomaten aufstellen und diesen drahtlos über das Internet mit einem Lieferanten verbinden, um den Inhalt aufzufüllen. Der Verkaufsautomat würde sich wahrscheinlich im selben Computernetzwerk befinden wie das Gebäudemanagementsystem, welches die Klimaanlage und andere Funktionen steuert.“
Dies mache diese Systeme anfällig für menschliche Fehler, wie etwa temporäre Verbindungen, welche aus Zeitgründen vorgenommen und die dann nie wieder entfernt würden. Das Unternehmen könnte auch einen Wert darin sehen, „dass das industrielle und das geschäftliche Netzwerk miteinander verbunden werden, was wiederum ein Risiko darstellt“.

Illegales Software-Update könnte leicht IoT-Komponenten bedrohen

In solchen Fällen könnte etwas so Einfaches wie ein illegales Software-Update, das auf den autonomen Automaten geladen wird, möglicherweise Code an die Produktionsanlage senden und diese stilllegen. „Ein Schaden in Millionenhöhe wäre die Folge. Das mag wie ein Weltuntergangsszenario klingen, aber es ist absolut realisierbar.“ Solche Angriffe seien bereits auf Geldautomatennetzwerke verübt worden, bei denen Angreifer Code in das Netzwerk eingeschleust hätten, um Gelder umzuleiten.
Eine weitere Herausforderung liege in der Fülle von Protokollen und Sprachen, welche vernetzte Geräte zum Senden und Empfangen von Daten verwenden. Software für Künstliche Intelligenz und Maschinelles Lernen könne diese Sprachen lesen und übersetzen. Da jedoch jeden Tag neue Geräte und Dienste auf den Markt kämen, sei dies ein bewegliches Ziel, und die Software müsse regelmäßig überprüft werden, um eine möglichst effektive Überwachung zu gewährleisten.

Segmentierung der IoT-Anlagen entscheidend für Schutz strategischer Operationen

Ein wichtiger Schritt zur Sicherung eines Netzwerks bestehe darin, die kritischen Aktivitäten des Unternehmens zu identifizieren und sie mit Schutzmaßnahmen zu umgeben. Für produzierende Unternehmen sei die Produktionslinie der Schlüsselprozess. Die wesentlichen Maschinen müssten von anderen Teilen des Internetnetzwerks des Unternehmens wie Marketing, Vertrieb und Buchhaltung getrennt werden, stellt Day klar. „Für die meisten Unternehmen sind nur fünf bis zehn Prozent des Betriebs kritisch. Die Segmentierung dieser Anlagen ist entscheidend für den Schutz strategischer Operationen vor Angriffen.“
Eines der größten Risiken der vernetzten Welt bestehe darin, dass etwas recht Triviales, wie ein billiger IoT-Sensor, der in eine Türklingel oder ein Aquarium eingebaut ist, am Ende einen enormen Einfluss auf ein Unternehmen haben könnte. „Dies wäre der Fall, wenn eine solche Komponente in den falschen Kommunikationsfluss gerät und zu einem Einstiegspunkt für einen Cyber-Angriff wird.“

Jedes IoT-Gerät sollte sich nur zweckgebunden mit anderen verbinden dürfen

Um diesen Risiken zu begegnen, sollte die Segmentierung im Mittelpunkt der damit verbundenen Strategie jedes Unternehmens stehen. „Das bedeutet, den Zweck jedes Geräts und Objekts, das mit einem Netzwerk verbunden ist, zu definieren und Grenzen zu setzen. Das jeweilige Gerät sollte sich nur mit den Teilen des Netzwerks verbinden dürfen, die erforderlich sind, um einen bestimmten Zweck zu erfüllen.“
Bei 5G helfe ein als „Network Slicing“ bekanntes System bei der Segmentierung: Diesea trenne mobile Daten in verschiedene Ströme. Jeder Datenstrom sei vom nächsten isoliert, so dass das Ansehen von Videos auf einem separaten Datenstrom gegenüber einer Sprachverbindung erfolgen könne. Dadurch werde das System in handhabbare Abschnitte unterteilt, was auch die Sicherheit erhöhe, da die verschiedenen Operationen getrennt und segmentiert blieben. Um eine allgemeine Segmentierung zu erreichen, müssten Unternehmen ständig alle ihre Verbindungen, Geräte und vernetzten Elemente analysieren und eine klare Vorstellung vom Zweck jedes einzelnen haben.

IoT im Klartext: Es geht um allgegenwärtige Konnektivität

Day kritisiert: „Der Begriff IoT trivialisiert die Konnektivität, ohne eindringlich auf die Gefahren einzugehen. Führungskräfte in der Wirtschaft neigen dazu, unterschiedliche Vorstellungen davon zu haben, was IoT ausmacht.“ Für die einen umfasse es einen an einen Home-Computer angeschlossenen Drucker, für die anderen erstrecke es sich auf Gebäudemanagementsysteme und intelligente Stromzähler, andere verstünden darunter Verbindungen zu Industriellen Netzwerken. Eine solche Verwirrung untergrabe die Aufgabe, jedes an das Netzwerk angeschlossene Gerät zu schützen und zu segmentieren.
Aus diesem Grund wäre es besser, von der „allgegenwärtigen Konnektivität“ zu sprechen, da dies den zusammenhängenden Charakter der Geräte hervorhebe. Das IoT werde derzeit jedoch vor allem als gewinnsteigernde Geschäftsmöglichkeit beworben, ohne die Risiken zu erwähnen. Die „allgegenwärtigen Konnektivität“ dagegen helfe Führungskräften zu verstehen, „dass mit der Konnektivität auch Sicherheitsrisiken verbunden sind“. Days Aufforderung gegenüber Führungskräften: „Sie sollten begreifen, wie wichtig es ist, Sichtbarkeit, Überwachung und Segmentierung in ihre Strategien einzubauen.“

Weitere Informationen zum Thema:

SecurityRoundtable.org, Sam Greengard, 26.02.2018
With Iot, Security Must Be Built in from the Beginning

[datensicherheit.de, 25.10.2016] Kostenloses WLAN auf Flughäfen, neuerdings auch in Flugzeugen und in Hotels in Europa bietet auf den ersten Blick zwar erhebliche finanzielle Vorteile für den Nutzer, ist allerdings häufig die Konnektivität eingeschränkt. Für Unternehmen ist darüberhinaus auch das Thema Datensicherheit von erheblicher Bdeutung.

Nach dem „Mobile Connectivity Cost Index 2016“ entstehen Unternehmen pro Arbeitnehmer durch den nur langsamen Zugriff auf wichtige Firmen-Anwendungen und Informationen Kosten durch verlorene Arbeitszeit von durchschnittlich 690 Euro pro Tag innerhalb von Europa und außerhalb von Europa sogar von durchschnittlich 1.029 Euro am Tag. Demgegenüber stehen Kosten z.B. für On-Demand WLAN in Europa von lediglich 43 Euro am Flughafen, 49 Euro im Flugzeug, 32 Euro in Hotels und 20 Euro in Bäckereien oder Kaffee Bars. Zusammen belaufen sich die Kosten auf 144 Euro denen letztlich 690 Euro gegenüberstehen. Die Nutzung von freien Wi-Fi- und WLAN-Hot Sposts seitens der Arbeitsnehmer ist aus Sicht der Arbeitgeber nicht zwangsläufig die beste Lösung ist. [1]

Indirekte Kosten bleiben häufig unbeachtet

Die Studie macht darüber hinaus in Summe deutlich, dass sich die direkten und indirekten Kosten im Zusammenhang mit mobiler Konnektivität durch Mobilfunk-Roaming, Pay-on-Demand WLAN und kostenloses WLAN bei nordamerikanischen und europäischen Unternehmen jährlich auf mindestens 2,59 Milliarden Euro belaufen. Diese Kosten sind auf den Bedarf an Konnektivität mobiler Mitarbeiter sowie auf den steigenden Datenverbrauch zurückzuführen; mobile Mitarbeiter, die reisen und unterwegs arbeiten, werden im Jahr 2016 schätzungsweise durchschnittlich 6 GB an Daten pro Monat verbrauchen.

„Konnektivität war nie wichtiger als heute. Ganz gleich, ob mobile Mitarbeiter versuchen, tagsüber produktiv zu sein oder sich nachts mit Freunden oder der Familie verbinden – die Notwendigkeit, verbunden zu sein, ist stets spürbar“, sagt Patricia Hume, Chief Commercial Officer bei iPass. „Die direkten und indirekten Kosten für die ständige Konnektivität mobiler Mitarbeiter sind höher, als viele Unternehmen wissen, was deutlich macht, dass Unternehmen mehr Einblick in die Datennutzung ihrer Mitarbeiter benötigen. Kostengünstige und sichere Konnektivität ist von zentraler Bedeutung, kostenloses Wi-Fi sorgt jedoch nicht für die Einfachheit und den Komfort, den mobile Mitarbeiter heutzutage verlangen.“

Bild: iPass

Patricia Hume, Chief Commercial Officer bei iPass

Die eigentlichen Kosten des „kostenlosen” Internetzugangs

In den letzten zwölf Monaten erfuhr das „kostenlose” WLAN ein kontinuierliches Wachstum, der Begriff ist für viele Unternehmen aber irreführend. Kostenlose WLAN-Verbindungen gehen nicht selten mit geringen Übertragungsraten einher, was dazu führt, dass Geschäftsanwendungen nicht richtig funktionieren. Gleichzeitig ist aber die Anzahl der Geräte, die sich verbinden können, beschränkt. Rechnet man dann noch die Zeit hinzu, die mobile Mitarbeiter damit verbringen, kostenlose Dienste aufzuspüren und sich anzumelden, summieren sich die negativen Auswirkungen auf die Produktivität. Der Bericht legt nahe, dass der Produktivitätsverlust die Unternehmen pro mobilem Mitarbeiter, je nach deren Standort und Zielort, jeden Monat zwischen 683 und 1.032 Euro kosten kann.

Europa im Vergleich zu Nordamerika

Die Konnektivitätskosten für Geschäftsreisende in Europa und Nordamerika variieren je nach den von ihnen angewandten Methoden. Verbinden sich mobile Mitarbeiter aus Nordamerika, die international auf Reisen sind, hauptsächlich über ihr Mobiltelefon, entstehen ihnen monatliche Kosten von 183 bis 1.299 Euro. Mobile Mitarbeiter aus Frankreich trifft es am härtesten, wenn sie außerhalb Europas unterwegs sind. Sie kommen auf Kosten von 1.221 bis 1.834 Euro pro Monat. Im Vergleich dazu liegen die monatlichen Kosten mobiler Mitarbeiter aus Großbritannien bei 138 bis 1.001 und die ihrer deutschen Kollegen bei 312 bis 1.105 Euro. Werden vorwiegend Mobiltelefondienste innerhalb Europas genutzt, zahlen die mobilen Mitarbeiter aus Großbritannien zwischen 90 und 164 Euro pro Monat. In Frankreich und Deutschland betrugen die Kosten 76 bis 310 Euro bzw. 109 bis 153 Euro. Wenn es um den Kauf von WLAN-on-Demand ging, mussten die mobilen Briten am meisten bezahlen, wenn sie diese Dienste jeden Monat sowohl innerhalb (169 Euro) als auch außerhalb Europas (175 Euro) nutzten. Ihren französischen Kollegen entstanden monatliche Kosten von 135 und 159 Euro, bei den deutschen waren es 142 und 151 Euro pro Monat. Alles in allem ergeht es den mobilen Mitarbeitern aus Nordamerika am besten: sie zahlen im Inland monatlich 132 Euro für die Nutzung von WLAN-on-Demand und außerhalb der USA 133 Euro pro Monat.

Sicherheit von offenen Hot Spots nicht überschätzen

Offene Hot Spots sind in aller Regel nicht einmal passwortgeschützt. Keith Waldorf, Vize Präsident Engineering bei iPass sagt: „Mobile Endgeräte, die über einen solchen Zugang eingeloggt werden, können leicht mit Malware infiziert und dann von Hackern zum Daten- und Identitätsdiebstahl missbraucht werden. Auf der anderen Seite können aber auch die übertragenen Daten – quasi aus der Luft – abgefangen werden, sollten diese unverschlüsselt versendet werden. Diese sogenannten Man-in-the-Middle-Attacken lassen sich nur mit entsprechenden Sicherheitsmaßnahmen verhindern.“ [1] Immer häufiger gibt es darüber hinaus auch gefälschte WLAN-Hot Spots, die von Cyberkriminellen aufgesetzt werden, um sich Zugriff auf Mobilfunkgeräte und Laptops zu verschaffen und auf diesen Devices Malware installieren.

Bild: iPass

Keith Waldorf, Vize Präsident Engineering bei iPass

Fazit

Kostenlose Internetzugänge per WLAN sind aus der Perspektive der Sicherheit, aus der Perspektive der Kosten, aber auch durch mangelnde Konnektivität und Verfügbarkeit von Daten und Anwendungen für Geschäftsanwendungen nicht ausreichend. Für die Nutzung von freien WLANs sind für Unternehmen deshalb entsprechende Compliance-Regeln erforderlich, deren Einhaltung sollte als Beitrag zur Sicherheit fortlaufend überprüft werden.

Weitere Informationen zum Thema:

[1] http://www.travelpulse.com/news/travel-technology/wi-fi-expert-offers-advice-to-business-travelers-on-ipass-and-security.html aufgerufen am 24.10.2016