Herausforderung: Internet der Dinge mit Sicherheit nutzen

Markus Auer empfiehlt Unternehmen agentenfreie Lösungen für Sichtbarkeit, Transparenz und Zugangskontrolle

[datensicherheit.de, 28.03.2017] Intelligente Stromzähler, sogenannte „Smart Meter“, sind kürzlich in die Schlagzeilen geraten, nachdem Tests demonstriert hatten, dass sie ungenaue Messwerte liefern. Vor allem Unternehmen hätten bereits intelligente Messsysteme implementiert oder seien gerade im Begriff, dies zu tun, so Markus Auer, „Regional Sales Manager DACH“, ForeScout Technologies. Der Gesetzgeber schreibe allen größeren Unternehmen in Deutschland vor, bis Jahresende 2017 auf solche Systeme umzurüsten – mit dem Ziel, den Energieverbrauch und den CO2-Ausstoß zu senken.

Fehlende Sicherheitsvorkehrungen in „Smart Meter“ installierenden Unternehmen

„Smart Meter“ seien ein gutes Beispiel für die enormen Chancen, die das Internet der Dinge (IoT) berge, sagt Auer: „Es bringt rapiden technischen Fortschritt, der neben zahlreichen Aspekten unseres Alltags auch die Geschäftstätigkeit von Unternehmen verändert. Intelligente Messsysteme tragen dazu bei, ,Green IT‘ und nachhaltige Betriebskonzepte zu realisieren, doch ihre Einführung hat Folgen, die bedacht werden müssen.“
An der Lösung der Messprobleme arbeiteten Wissenschaftler bereits, doch wesentlich beunruhigender seien die fehlenden Sicherheitsvorkehrungen in „Smart Meter“ installierenden Unternehmen. Den IT-Verantwortlichen müsse klar sein, dass die Nutzung von IP-Netzen durch das IoT Auswirkungen auf den Sicherheitsstatus des Unternehmens habe. Jeder intelligente Zähler sei ein Endpunkt im Netzwerk und müsse für die IT-Abteilung sichtbar gemacht werden.

IT-Sicherheitsstrategie an IoT anpassen!

„Der entscheidende Punkt ist, dass intelligente Geräte leicht angreifbar sind: Tests zeigen, wie einfach es ist, IoT-Endpunkte als Angriffsvektor zu missbrauchen, um in Netzwerke einzudringen“, unterstreicht Auer. Durch simples Spoofing der MAC-Adresse könnten sich Cyber-Kriminelle Zugriff auf ein Gerät verschaffen und dann das Unternehmen attackieren.
Die deutschen Unternehmen müssten auf intelligente Messsysteme umstellen, gleichzeitig aber auch Wege finden, um die IoT-Geräte in ihren Netzen zu sehen und abzusichern. Andernfalls gingen sie „hohe Risiken“ ein. „Wenn die IT-Sicherheitsstrategie nicht an das IoT angepasst wird, wird es zum Türöffner für groß angelegte Netzwerkangriffe und kann den Diebstahl personenbezogener Daten ermöglichen“, so Auers Warnung.

„Shodan“ findet ungeschützte IoT-Geräte

Ungeschützte IoT-Geräte seien einfach aufzuspüren: Über Online-Suchmaschinen wie „Shodan“ könne jeder Benutzer mithilfe verschiedener Filter bestimmte Arten von Geräten finden, die mit dem Internet verbunden sind.
Intelligente Zähler seien nun „nur eine Art von Geräten, die online gefunden werden können“. Viele Unternehmen hätten auch schon andere Geräte wie Drucker, VoIP-Telefone oder „Smart TVs“ mit ihren Netzwerken verbunden, ohne sich ausreichend um deren Sicherheit zu kümmern. Viele dieser Geräte hätten proprietäre Betriebssysteme und ließen keine Installation von Patches und keine clientbasierten Sicherheitsmaßnahmen zu.

Bild: ForeScout Technologies

Markus Auer: Im gesamten Netzwerk Richtlinien durchsetzen und Compliance gewährleisten!

Agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugangskontrolle einsetzen!

Die „Best Practice“ in diesem Zusammenhang bestehe darin, eine agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugangskontrolle einzusetzen. Solche Lösungen erforderten keine Installation von Clients oder Agenten und eigneten sich für virtuelle Infrastrukturen, ausgedehntere Netzwerkumgebungen (mit mehreren Teilnetzen) sowie standortferne und nur gelegentlich verbundene Geräte, wie etwa solche aus dem IoT.
Solche Lösungen befähigten Unternehmen, alle Geräte im Netzwerk zu sehen und zu überwachen. „Da sie in der Lage sind, Sicherheitsaufgaben zu orchestrieren und Informationen mit bestehenden Sicherheitstools auszutauschen, können im gesamten Netzwerk Richtlinien durchgesetzt und Compliance gewährleistet werden“, betont Auer. So blieben Informationen in den richtigen Händen und die Gefahr von Datendiebstahl werde reduziert – auch dann, wenn Daten von IoT-Endpunkten aufgezeichnet würden.

Weitere Informationen zum Thema:

SWR Aktuell, 09.03.2017
„Smart-Meter“ getestet / Intelligente Stromzähler verzählen sich

ForeScout
KNOW YOUR IoT SECURITY RISK / How Hackable is Your Smart Enterprise?

datensicherheit.de, 04.01.2017
Wachsende Bedrohung: Industrielle Steuerungssysteme und IoT im Fadenkreuz

datensicherheit.de, 26.10.2016
Cyber-Angriffe durch IoT-Botnetze: BSI nimmt Hersteller in die Pflicht