„Schatten-Geräte” sorgen für enorme Sicherheits-Risiken

Infoblox veröffentlicht die Ergebnisse einer neuen Studie, die besorgniserregende Sicherheitslücken durch ungesicherte „Schatten-Geräte” in Unternehmensnetzwerken aufzeigt. Die drastische Zunahme von privaten Endgeräten und IoT-Devices sorgt für enorme Sicherheits-Risiken.

Der Report mit dem Titel „What’s lurking on your network: Exposing the threat of shadow devices” offenbart, dass Unternehmensnetzwerke quer durch die USA, durch Großbritannien und Deutschland tausende von privaten, unzureichend gesicherten Schatten-Devices enthalten, die Netzwerke potenziell gefährden können.

Gemeint sind unter anderem Geräte wie Laptops, Ebook-Reader und Smartphones, aber auch IoT-Devices wie etwa vernetzte digitale Assistenten, vernetzte Küchengeräte und andere Geräte, die – unbeachtet und kaum bis gar nicht gesichert – mit dem Unternehmensnetzwerk verbunden werden.

Über ein Drittel der befragten Unternehmen (35%) gaben an, dass sich täglich über 5.000 private Geräte mit ihrem Unternehmensnetz verbinden.

In den USA und in Großbritannien räumten zudem zahlreiche Mitarbeiter ein, die eigenen Geräte unter anderem für den Zugang zu Social-Media-Diensten (39 Prozent) oder für das Herunterladen von Apps, Filmen und Spielen (24, 13 und 7 Prozent) ins Netzwerk einzuloggen.

Diese Gewohnheit macht Unternehmen höchst anfällig für Hacker-Angriffe, Phishing-Attacken und die Infektion mit Schadprogrammen.

In jedem dritten Unternehmen in den USA, in Großbritannien und Deutschland werden darüberhinaus an einem durchschnittlichen Tag mehr als 1.000 weitgehend unbeachtete IoT-Geräte mit dem Netzwerk verbunden.

Am häufigsten finden sich folgende Schatten-IoT-Geräte, die mit den Netzwerken verbunden sind:

  • Fitness-Trackers wie FitBit or Gear Fit (49 Prozent)
  • Digitale Assistenten wie etwa Amazon Alexa oder Google Home (47 Prozent)
  • Smart-TV-Geräte (46 Prozent)
  • Smarte Küchenutensilien, etwa Mikrowellen und Wasserkocher (33 Prozent)
  • Spielkonsolen, zum Beispiel Xbox oder PlayStation (30 Prozent)

Derartige Endgeräte sind für Cyberkriminelle leicht zu finden – zum Beispiel mit entsprechenden Suchmaschinen wie Shodan, die Geräte mit Internetverbindung aufspüren. Sogar wenig versierte Hacker sind damit in der Lage, enorme Mengen an Devices in Unternehmensnetzwerken zu identifizieren und als Ziel von Attacken in Visier zu nehmen.

Zu optimistisches Bild von der Wirkung der eigenen Sicherheits-Policies
Signifikant ist außerdem: Auch wenn in Unternehmen Richtlinien eingeführt wurden, um die Risiken durch private Endgeräte und IoT-Devices im Netzwerk in den Griff zu bekommen, haben IT-Verantwortliche offenbar ein zu optimistisches Bild von deren Wirksamkeit.

Während 88 Prozent aller befragten IT-Zuständigen der Ansicht sind, die Sicherheits-Policy ihres Unternehmens sei entweder effektiv oder sogar sehr effektiv, wusste rund ein Viertel (24 Prozent) der befragten Angestellten in den USA und in Großbritannien nicht einmal, ob es in ihren Unternehmen überhaupt Richtlinien für netzwerkfähige private Devices und IoT-Geräte gibt.

In Deutschland sind sogar 89,1 Prozent der befragten IT-Verantwortlichen überzeugt, eine effektive oder sehr effektive Sicherheits-Policy für private Geräte zu haben. Trotzdem fanden sich in deren Organisationen im Schnitt rund 1.856 nicht-dienstliche Geräte, die weder von der Unternehmens-IT zur Verfügung gestellt wurden, noch von dieser gemanagt werden.

Frank Ruge, Senior Director & General Manager Central Europe bei Infoblox, betont: „Wegen des geringen Sicherheits-Levels bei privaten Devices und IoT-Geräten exisitiert eine massive Bedrohung aufgrund dessen, was alles unter dem Radar der traditionellen Sicherheits-Policy abläuft. Entsprechende Geräte stellen einen attraktiven Angriffspunkt für Cyberkriminelle dar und sind ein ernsthaftes Sicherheitsrisiko für Unternehmen.”

„Diese Sicherheitsrisiken sollten möglichst nah an den Endpunkten erkannt und gebannt werden. Sicherheit muss hier über das Netzwerk erbracht werden. DNS ist ein hervorragender Kontrollpunkt, da schon vor dem ersten Anwendungspaket die Kommunikation unterbunden werden kann.”

Nötig sei daher neben dem Etablieren von Sicherheitsrichlinien und der Sensibilisierung der Mitarbeiter auch umfassende Transparenz im Netzwerk: Erst der vollständige Überblick über alle angeschlossenen Geräte, sei es vor Ort oder im Remote-Einsatz, erlaube valide Aussagen über Gefahrenquellen.