Das IoT stellt die Security in den Fokus
Bremsen Security-Probleme die IoT-Entwicklung?
Das Internet of Things (IoT) ist die Zukunft – aber je stärker es sich durchsetzt, desto dringlicher werden umfassende Maßnahmen für die Cybersecurity. Doch welche Möglichkeiten gibt es?
In den vergangenen zehn Jahren ist das Internet of Things (IoT) ein wichtiger Faktor für unsere zunehmend integrierte und vernetzte Welt geworden. Der Begriff IoT-Gerät bezeichnet normalerweise ein System oder Systeme verbundener Geräte, die meist mit Sensoren und Software ausgestattet sind, um Daten über ein Netzwerk übertragen zu können. Dabei kann es sich um Herzschrittmacher oder vernetzte Bildschirme handeln, aber auch um PKW-Sensoren, die Informationen über die Motortemperatur oder Füllstände sammeln. Für Unternehmen bietet das IoT eine Vielzahl von Vorteilen, denn es ermöglicht ihnen, ihre Systeme aktiv zu beobachten und Daten, Erkenntnisse und Leistungskennzahlen zu sammeln, ohne dass ein menschliches Eingreifen erforderlich ist. So lässt sich beispielsweise feststellen, ob ein Licht in einem Hochhaus brennt, ohne dass man sich im selben Gebäude aufhalten muss.
Es gibt jedoch auch einige Herausforderungen, etwa die Absicherung, Überwachung und Beseitigung von Sicherheitsrisiken im Zusammenhang mit dem IoT als Netz verbundener Geräte und Technologien. Denn es werden nicht nur ständig Daten gesammelt, gespeichert und über das Internet ausgetauscht, sondern auch die Art und Weise, wie die Geräte aufgebaut sind, variiert je nach Funktionalität, Hersteller und Preis erheblich. So sehr, dass sogar das FBI vor kurzem eine branchenweite Warnung herausgegeben hat, weil Cyberkriminelle zunehmend auf Geräte mit Internetanschluss abzielen, um deren Schwachstellen auszunutzen. Doch was ist die Lösung?
Das IoT ist die Zukunft, aber ist es auch sicher?
Ohne Zweifel bleibt das IoT ungebremst auf dem Vormarsch. Forschungsergebnisse zum Thema IoT belegen, dass im Jahr 2020 erstmals mehr IoT-Verbindungen (z.B. intelligente Heimgeräte, vernetzte Autos und Industrieanlagen) als herkömmliche vernetzte Geräte (z.B. Computer und Laptops) existierten und damit 54 Prozent der 21,7 Milliarden aktiven vernetzten Geräte ausmachten. Bis 2025 wird es schätzungsweise mehr als 30 Milliarden IoT-Verbindungen geben, dies entspricht etwa vier IoT-Geräten pro Einwohner auf der Erde.
Doch wie bei jeder neuen Technologie treten auch hier immer wieder Probleme auf. So haben die IoT-Hacks im Laufe der Zeit zugenommen. Der wohl bedeutendste Angriff war der Mirai-Botnet-Hack im Jahr 2016, bei dem der DNS-Dienstleister Dyn mithilfe eines Botnets von IoT-Geräten angegriffen wurde. Der Mirai-Malware gelang es, in Netzwerke einzudringen, in denen sie automatisch nach weiteren anfälligen Geräten suchte, sich mithilfe gestohlener Anmeldeinformationen Zugang verschaffte und diesen Prozess wiederholte, um die Kontrolle zu übernehmen. Dies führte zum Zusammenbruch von Servern und hatte erhebliche Auswirkungen auf große Medienplattformen wie Netflix, Reddit und Twitter. Doch IoT-Hacks betreffen nicht nur Tech-Giganten. Cyberkriminelle haben es auch auf die medizinischen Geräte von Krankenhäusern abgesehen und gefährden damit das Leben von Patienten. So musste das weltweit agierende amerikanische Medizintechnikunternehmen St. Jude Medical im Jahr 2017 miterleben, wie sich Hacker Zugang zu den Herzschrittmachern von Patienten verschafften. Dies ermöglichte es den Angreifern, die Funktionen des Herzschrittmachers zu verändern und gar Einstellungen vorzunehmen, die für die Patienten potenziell tödlich sein könnten.
Die Sicherheit des IoT ist für Unternehmen zu einem noch dringlicheren Problem geworden, besonders vor dem Hintergrund der durch Covid-19 ausgelösten Zunahme der Remote-Arbeit. Immer mehr Menschen nutzen sowohl ihr Heimnetzwerk als auch ihre persönlichen Geräte, um beruflichen Aktivitäten nachzugehen, und viele digitale Angreifer machen sich die laxen Sicherheitsmaßnahmen zunutze, um ihre Angriffe auszuführen.
IoT-Geräte sind keineswegs alle gleich. Je nach Anforderungen des Geräts, des Herstellers und auch aufgrund fehlender internationaler Vorschriften im Bereich IoT gibt es viele Geräte mit geringen oder überhaupt keinen eingebauten Sicherheitsanforderungen. Zudem hängen auch die Möglichkeiten, IoT-Geräte zu aktualisieren oder sie mit Patches gegen Schwachstellen zu schützen, vom Hersteller des Geräts ab und sind sehr unterschiedlich. Dies erschwert es Unternehmen, ihre IoT-Geräte sicher und auf dem neuesten Stand zu halten.
Verstehen, womit man es zu tun hat
Trotz dieses erhöhten Risikos und der immer größer werdenden Bedrohung spielt die IoT-Cybersecurity oft noch keine oder nur eine untergeordnete Rolle. Unzureichende IoT-Sicherheitsrichtlinien bergen ein erhebliches Risiko für Unternehmen, weil jedes Gerät zugleich auch als Eingangstor zu einem größeren Netzwerk dienen kann. Sobald sich Angreifer über ein Gerät Zugang verschafft haben, sind sie in der Lage, sich lateral durch das gesamte Unternehmen zu bewegen und auf wertvolle Vermögenswerte zuzugreifen sowie böswillige Aktivitäten durchzuführen, wie etwa den Diebstahl von Daten, geistigem Eigentum oder sensiblen Informationen.
Die meisten Unternehmen konzentrieren sich ausschließlich auf die Cybersecurity von Endgeräten. Allerdings sollte die gleiche Sorgfalt auch auf IoT-Geräte angewendet werden. Denn wenn IoT-Geräte nicht mit dem gleichen Schutzniveau ausgestattet sind, ist das Unternehmen als Ganzes dem Risiko eines Cyberangriffs ausgesetzt.
Untersuchungen haben ergeben, dass 33 Prozent der Unternehmen, die auf IoT setzen, mangelnde Fachkenntnisse zum Thema Cybersecurity als größtes Problem für ihr IoT-Ecosystem ansehen. Dieses Fehlen von Fähigkeiten und Kenntnissen führt zu vielfältigem Cybersecurity-Fehlverhalten, etwa der Nutzung von Standard-Anmeldeinformationen aus Gründen der Bequemlichkeit und der Vernachlässigung aktueller Software- oder Firmware-Updates, die zur Vermeidung von Software-Schwachstellen und zur Behebung von Fehlern erforderlich sind.
Cyberkriminelle entwickeln ihre Angriffsmethoden ständig weiter. Besonders beliebt bei Kriminellen sind sogenannte »On-Path-Angriffe«. Diese beruhen auf der Natur von IoT-Geräten, die ihre Daten häufig nicht standardmäßig verschlüsseln. Der Angreifer hat dann die Möglichkeit, sich zwischen zwei Geräten, die sich gegenseitig vertrauen, zu bewegen und alle Daten, die zwischen ihnen übertragen werden, zu exfiltrieren. Eine weitere häufige Schwachstelle ist der Diebstahl oder die Dechiffrierung einfacher Anmeldedaten. Cyberkriminelle sind Experten darin, schwache oder allgemeine Kennwörter ausfindig zu machen und sie zu nutzen, um sich langsam Zugang und sogar die Kontrolle über den Administrator zu verschaffen. Denial-of-Service-Angriffe (DoS) gehören ebenfalls zu den gängigen Techniken. Dabei übernehmen Cyberkriminelle die Kontrolle über ein IoT-Gerät und beginnen, die Website mit gefälschtem Datenverkehr zu überschwemmen, wodurch die Server mit Webverkehr überlastet werden und legitime Nutzer an der Ausübung ihrer täglichen Aktivitäten gehindert werden.
IoT-Security kann die Zukunft eines Unternehmens beeinflussen
Die IoT-Sicherheit sollte Bestandteil der allgemeinen Cybersecurity-Strategie eines jeden Unternehmens sein. Dazu gehören bewährte IoT-Sicherheitspraktiken wie die Aktualisierung und das Patchen von Geräten, die Verwendung sicherer Passwörter und von Multifaktor-Authentifizierung, die Bestandsaufnahme aller angeschlossenen Geräte und die Sicherstellung, dass für jedes Gerät der richtige Zugriff aktiviert ist. Kein einzelnes Sicherheitstool kann einen einheitlichen und vollständigen Schutz für alle IoT-Geräte herstellen. Jedoch bieten die besten Cybersecurity-Partner eine Kombination von Sicherheitsmaßnahmen für sämtliche Endgeräte und die Cloud an, die es Unternehmen ermöglichen, so sicher wie möglich zu sein.
Für Unternehmen ist es unerlässlich, eine umfassende Cybersecurity-Strategie zu entwickeln, die sie sowohl auf der Endpunkt- als auch auf der Netzwerkebene gegen ein breites Spektrum von Cyberangriffen schützt, und zwar geräteübergreifend. Der Markt für IoT-Security ist bereits erheblich gewachsen, von 14,96 Milliarden Euro im Jahr 2021 auf 17,61 Milliarden Euro im Jahr 2022, Tendenz steigend. Jene Unternehmen, die in Sachen IoT-Sicherheit wachsam bleiben, werden sich in den kommenden Jahren eher durchsetzen können.
Der Autor:
Zeki Turedi ist EMEA CTO bei CrowdStrike.
Lesen Sie mehr zum Thema
