Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Dienstag, Januar 15, 2019 15:27 - noch keine Kommentare
IoT-Sicherheit ist das Thema für die Chefetage
Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus
Von unserem Gastautor Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout
[datensicherheit.de, 15.01.2019] Der Siegeszug des IoT (Internet der Dinge) setzt sich unaufhaltsam fort. Längst hat es auch Einzug ins Geschäftsleben gehalten, wo es den Alltag vieler Mitarbeiter sicherer und angenehmer gestaltet. Allerdings stellt die Etablierung der smarten Welt IT-Abteilungen vieler Unternehmen vor große Herausforderungen. Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus. Besserung versprechen hierbei Lösungen zur Visibilität in Netzwerken.
Im Zuge der Automatisierung setzen immer mehr Organisationen auf IoT. Darunter fallen beispielsweise Temperatursteuerungen oder Sicherheitskameras, aber auch Netzwerkdrucker. Die Vorteile liegen in vielen Fällen auf der Hand. So kann eine smarte Klimasteuerung im Gebäude Kosten sparen, indem sie zentral gesteuert und bei Bedarf abgeschaltet wird. Intelligente Überwachungskameras schicken ihre Aufnahmen in Echtzeit über das Internet an das verantwortliche Sicherheitspersonal. Viele Großunternehmen haben eigene Strategien für IoT – seien es smarte Kleingeräte bis hin zu großen, über das Internet ansteuerbaren Maschinenparks. Trotzdem wird der Sicherung dieser Geräte nicht die Bedeutung beigemessen, die nötig wäre, um das Unternehmen ausreichend zu schützen.
Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout
„Das S in IoT steht für Sicherheit“
Der Informatikerwitz mag ein wenig überspitzt sein, einen wahren Kern hat er allerdings. Viele IoT-Devices sind nicht ausreichend gegen Bedrohungen von außen gewappnet, da sie von vornherein über mangelhafte Sicherheitsmechanismen verfügen. Im Gegensatz zu Rechnern, Smartphones und Servern haben die Hersteller von smarten Geräten oft noch keine Erfahrung darin, ihre Produkte vor Bedrohungen durch Cyberkriminelle abzusichern. Als Folge davon entsprechen die Sicherheitsmechanismen nicht der aktuellen Bedrohungslage, womit sie ein beliebtes Ziel für Cyber-Kriminelle darstellen.
Hinzu kommt, dass die Installation und Verwaltung von IoT-Geräten oft nicht der IT-Abteilung eines Unternehmens, sondern der Hausverwaltung obliegen. Bei der Inbetriebnahme neuer Geräte werden zudem zuständige IT-Abteilungen nicht informiert, womit ihre Überwachung und Einbettung in sicherheitsrelevante Prozesse komplett umgangen wird. Infolgedessen können viele IT-Verantwortliche nicht genau sagen, wie viele Geräte sich insgesamt in ihrem Netzwerk befinden.
Aus Zeitgründen entfällt zudem erschreckend oft eine sorgfältige Einrichtung: Standardzugangsdaten und -Passwörter werden nicht geändert, wodurch sie durch Dritte von außen angreifbar sind.
Die Folgen können für Unternehmen verheerend sein
Die IoT-Sicherheit stellt einen Painpoint für Unternehmensleitungen dar. Gelingt es einem Cyberkriminellen, auf die Geräte zuzugreifen, sind seine Möglichkeiten, Schaden anzurichten, vielfältig:
- Installation eines Bot-Netzwerks: Bekannt geworden ist diese Methode durch das sogenannte Mirai-Botnetz vor zwei Jahren. IP-fähige Sicherheitskameras wurden von der Mirai-Malware infiziert und ihre Rechenleistung für DDoS-Angriffe genutzt. Diese Methode kann auch auf anderen IP-fähigen Geräte angewendet werden.
- Ausspähen von Daten. Hierfür eignen sich Drucker am besten, da sie über weitreichende Berechtigungen im Netzwerk verfügen, wie den Zugriff auf Netzwerkordner. Sollte ein unberechtigter Dritter Zugriff auf einen solchen Drucker erhalten, zum Beispiel durch ein nicht geändertes Standardpasswort, kann er auf diverse Ressourcen zugreifen. Im schlimmsten Fall kann er Firmeninterna bzw. Geschäftsgeheimnisse abgreifen und dem Unternehmen somit großen Schaden zufügen.
- Produktionsstörungen: Sollten Maschinen an das Firmennetzwerk angeschlossen sein, können sie bei einem erfolgreichen Angriff manipuliert werden. Dies hat Produktionsausfälle oder fehlerhafte Prozesse und ggf. einen Reputationsverlust zur Folge.
- Diebstahl von Kundendaten: Nicht nur können hier kritische Daten entwendet werden und den Ruf des eigenen Unternehmens beschädigen können, neue Verordnungen zum Datenschutz belegen Datenlecks mit hohen Strafen.
Was Unternehmen tun können
Eine Möglichkeit, das eigene Netzwerk zu schützen, ist eine Sicherheitslösung, die eine Visibilität der gesamten Netzwerkumgebung gewährleistet. Somit kann jedes Gerät, unabhängig davon, ob es Software-Agenten erlaubt oder nicht, erfasst werden.
Firmen, die nach einer solchen Lösung schauen, sollten allerdings darauf achten, dass sie nicht nur den Netzwerkverkehr überwacht, sondern ihn auch regulieren kann. Beispielsweise sollte sie in der Lage sein, den Typ eines Geräts festzustellen sowie den Updatestatus des Betriebssystems und der Sicherheitssoftware zu erkennen. Stellt sich heraus, dass beispielsweise System oder Sicherheitsmechanismen einen veralteten Sicherheitsstatus aufweisen, kann die Lösung danach den Netzwerkzugriff dieser Geräte einschränken oder ihn gänzlich verweigern.
Darüber hinaus muss gewährleistet sein, dass sie mit bereits bestehenden Systemen zur Sicherung von Netzwerken kompatibel ist und diese nicht behindert. Und zuletzt gilt es, die Lösung so zu gestalten, dass sie für IT-Teams die wichtigsten Informationen zentral darstellt und aufzeigt, welche Aktionen gerade notwendig sind, um die Netzwerksicherheit zu gewährleisten.
Dies erfolgt vollständig automatisiert und erleichtert dem zuständigen Personal somit den Arbeitsalltag.
Fazit
Das IoT hat sich etabliert und stellt die IT-Security von Unternehmen vor große Herausforderungen. Deshalb sollten sie sich aber nicht davor verschließen, sondern die Möglichkeiten in Betracht ziehen, die das IoT bietet. Mit der richtigen Lösung zur Visibilität in Netzwerken können Unternehmen von den Vorteilen profitieren, ohne ihr Tagesgeschäft oder ihre Reputation aufs Spiel setzen zu müssen.
Weitere Infomatonen zum Thema:
datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen
datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit
datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte
datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren