Anmelden


Cyber-Hygiene und das Internet der Dinge

Das Internet der Dinge (IoT) hat unser Leben und Arbeiten drastisch verändert, und das weltweit. Vom Babyphone, zur Überwachungskamera für zu Hause, über den tragbaren Fitness-Tracker bis hin zu intelligenten Fahrzeugen, Stromnetzen und dem Entstehen intelligenter Städte. Was früher das Internet der Dinge war, ist heute eher das Internet von Allem, wenn man bedenkt wie umfassend es inzwischen bereits geworden ist.

Der kommende Monat Oktober ist traditionell European Cyber Security Month (ECSM) und somit die perfekte Gelegenheit, um IoT-Geräte und die von ihnen ausgehenden Sicherheitsbedrohungen unter die Lupe zu nehmen. Bei den Bedrohungen wollen wir natürlich nicht stehen bleiben. Vielmehr geht es darum, wie Unternehmen den Komfort und die Effizienz von IoT-Systemen für sich im Rahmen einer starken IoT-Governance-Strategie sicher nutzen können.

Dazu betrachten wir zunächst die Voraussetzungen und warum man zwingend eine solche Strategie braucht.

Experten schätzen, dass heute bereits über 30 Milliarden IoT-Geräte im Einsatz sind. Kein Zweifel, mit der massiven Verbreitung und Expansion vernetzter Geräte gehen Risiken einher. Die Technologie hinter den IoT-Geräten ist verhältnismäßig jung, wenig ausgereift und vergleichsweise ungeregelt. Obwohl IoT-Geräte über Prozessoren verfügen können - und einige sogar über Elemente einer Benutzeroberfläche (z. B. Touchscreen, Tastatur) - sind sie nicht unbedingt Computer. Computer lassen sich über eine Vielzahl von Tools (z.B. Firewalls, Anti-Malware-Systeme) kontrollieren, und für die Geräte existieren umfangreiche Sicherheitsmaßnahmen. Das gilt nicht für die aktuell im Umlauf befindlichen IoT-Devices. 

IoT-Geräte dienen meist einem sehr konkreten Anwendungsfall, wohingegen Computer in der Regel für eine breite Palette von Anwendungsfällen eingesetzt werden. Obwohl Computer sicherlich nie zu 100 % sicher sind, gibt es weitaus mehr Werkzeuge und Methoden, um die Stabilität in Sachen Sicherheit zu erhöhen. Der andere heikle Aspekt: IoT-Geräte geben meistens keinerlei verräterische Anzeichen eines Missbrauchs zu erkennen. Aber welcher Schaden kann allein durch den Zugriff auf einen intelligenten Lichtschalter oder Sensor entstehen? Von Krypto-Mining oder dem Verschieben von Daten und Informationen von einem Gerät auf ein anderes im selben Netzwerk, über DDoS-Angriffe bis hin zur Verbreitung von Malware - vernetzte Geräte bringen ein hohes Risiko mit sich, wenn sie nicht verantwortungsbewusst verwaltet werden. 

Zurzeit üben Regierungen noch keinen ausreichenden Druck auf die Gerätehersteller aus, Sicherheit in Form von gesetzlichen Normen in den Designprozess einzubeziehen. Parallel dazu suchen Verbraucher oft nach der kostengünstigsten Version eines Geräts. Es erfüllt dann zwar vielleicht gerade noch die Mindestanforderungen was die eigentliche Kaufmotivation anbelangt, aber eben nicht unbedingt die nötigen Sicherheitsanforderungen. 

Noch reicht der Druck von Regierungen und Verbrauchern nicht für einen Sinneswandel bei den Herstellern. Und solange sich das nicht ändert, betrachten sie Sicherheit als nachranging bei der Produktion. Nur, so sollte es nicht sein. 

Aber, selbst wenn ein Gerät in Bezug auf Sicherheit noch unausgereift ist, gibt es eine Reihe von praktikablen Möglichkeiten die Situation zu verbessern. Zumindest lässt sich sicherzustellen, dass die eingesetzten Geräte so verwaltet werden, dass sie das geringstmögliche Risiko darstellen: 

Stellen Sie IoT-Geräte in ein eigenes Netzwerk ein. Dadurch ist sichergestellt, dass im Falle einer Datenschutzverletzung, die ein oder mehrere Geräte betrifft, das betriebliches Netzwerk nicht direkt beeinträchtigt wird. 
Katalogisieren Sie alle verwendeten IoT-Geräte und vollziehen Sie deren Aktivitäten nach. Katalogisieren Sie, wie bei jedem verwendeten Gerät oder jeder verwendeten Software im Unternehmen auch, alle vernetzten Geräte und vollziehen Sie deren Aktivitäten kontinuierlich nach. Wenn Sie einen scheinbar harmlosen Smart-Switch überwachen, stellen Sie vielleicht eine ungewöhnliche Netzwerkkommunikation fest, die sich als schädlich erweisen kann. Intensivere Kommunikation oder Kommunikation mit unbekannten Servern kann ein guter Hinweis sein, dass etwas nicht ganz in Ordnung ist.
Seien Sie vorsichtig bei Software für IoT-Geräte. Jegliche Software und mobile Apps, auf einem IoT-Gerät oder innerhalb eines IoT-Ökosystems, bergen potenzielle Sicherheits- / Datenschutzrisiken. Halten Sie die Inventarisierung immer auf dem aktuellen Stand. Handeln Sie sofort, wenn ein Patch/Update oder eine bekannte Schwachstelle veröffentlicht wird. 
Statten Sie Ihre Mitarbeiter mit vertrauenswürdigem Equipment aus. Statten Sie Ihre Mitarbeiter mit vertrauenswürdigem Equipment aus und schränken sie die Verwendung anderweitiger Systeme und Geräte ein, bei denen die Vertrauenswürdigkeit nicht gewährsleistet ist. Mit anderen Worten: Wählen Sie vertrauenswürdige Marken, die Sicherheit ernst nehmen. Auf diese Weise ist es deutlich leichter, ein Governance-Modell für die Verwendung dieses Gerät zu entwickeln. Private Geräte, die Mitarbeiter von zu Hause mitbringen (z. B. Smartwatches), sollten per se als nicht vertrauenswürdige Geräte eingestuft werden und sich nur mit einem separaten Netzwerk verbinden können. Das erlaubt den Mitarbeitern die Nutzung und schützt das primäre Netzwerk. 
Schulen Sie Ihre Mitarbeiter. Schulungen sind für die unterschiedlichen Positionen innerhalb eines Unternehmens relevant, je nachdem wie diese IoT-Geräte handhaben. Alle Mitarbeiter sollten Grundlagenwissen zu IoT-Geräten haben, wissen, dass sie sich um Updates / Patches kümmern müssen, und dass diese Geräte nicht uneingeschränkt im Unternehmensökosystem verwenden werden können. Schulen Sie das technische Personal zur richtigen Wartung und darin, wie man verdächtige Aktivitäten am besten erkennt. Schulen Sie das Netzwerkpersonal und stellen Sie Tools zur Verfügung, mit denen man die Geräte überwachen und den Zugang zum Netzwerk einschränken kann.
Schränken Sie die Internet-Nutzung nach Möglichkeit ein. Wenn Geräte einen Internetzugang für das Update des Dienstes benötigen, führen Sie Updates manuell durch oder definieren Sie ein Wartungsfenster, in dem das Gerät auf das Internet zugreifen und das Update einspielen kann. Ein IoT-Gerät, das ständig mit dem Internet verbunden ist, erhöht den potenziellen Bedrohungsgrad.
Achten Sie auf die Governance Ihrer Lieferkette und die Einhaltung von Datenschutzvorgaben. Jedes IoT-Ökosystem ist anders. Viele IoT-Hersteller verfügen über eigene Managementportale und Speichersysteme sowie Apps, die auf Computern oder Mobilgeräten zur Steuerung oder Einrichtung der Geräte eingesetzt werden können. Diese Elemente sollten Teil Ihrer Richtlinien zur Governance der Lieferkette sein. Sie sollten zusätzlich überprüfen, ob Lieferanten und Hersteller diesen Richtlinien entsprechen, ob die Software vertrauenswürdig ist und die Daten Ihren eigenen Richtlinien und Vorschriften, wie beispielsweise denen der DSGVO, entsprechen.
Das ist natürlich längst nicht alles, was zu einer umfassenden IoT-Governance gehört, aber es ist eine Grundlage, auf der man aufbauen kann. Unterstützende Technologien wie Bluetooth, WLAN und das neue 5G-Netz sind zusätzliche Einstiegspunkte für Exploits. Inzwischen diskutieren Regierungen, was das IoT im Rahmen einer staatlichen Nutzung bedeutet. Das führt vielleicht in einer nicht allzu fernen Zukunft zu Richtlinien oder sogar zu branchenweiten Regulierungsstandards. 

Das Internet der Dinge ist eine relativ neue Technologie. Solange der Druck von Verbraucher- und Regierungsseite auf die Gerätehersteller nicht ausreicht, und die Hersteller zwingt, sich mehr um Sicherheitsbelange zu kümmern, solange liegt die Verantwortung für ausreichende Sicherheit beim Nutzer, ob Endverbraucher oder Unternehmen. Überdenken Sie die Risikolandschaft, erstellen Sie ein Bedrohungsmodell, um potentielle Schwachstellen zu untersuchen, und tragen Sie diesem Rechnung.  

*Autor: Boris Cipot, Senior Security Engineer, Synopsys Software Integrity Group