Das Internet of Things (IoT) boomt. Schätzungen zufolge wird es bis 2030 mehr als 25 Milliarden aktive IoT-Geräte geben, gegenüber rund 7,7 Milliarden im Jahr 2019. Je mehr IoT-Geräte eingesetzt werden, desto größer sind auch die Sicherheitsgefahren. CyberArk listet fünf Maßnahmen auf, die die IoT-Sicherheit kurzfristig und nachhaltig erhöhen können.
Das grundsätzliche Problem des IoT besteht darin, dass sich Anbieter von IoT-Lösungen in der Vergangenheit vor allem mit den Anwendungsmöglichkeiten beschäftigt haben. Das Thema Sicherheit hingegen wurde eher stiefmütterlich behandelt. Hier findet allerdings ein Umdenken statt.
Es besteht inzwischen weitgehend Einigkeit, dass IoT-Geräte – insbesondere die von Unternehmen genutzten – mit der gleichen Aufmerksamkeit und Ernsthaftigkeit behandelt werden müssen wie herkömmliche IT-Systeme. Es gibt branchenweite Bestrebungen, Standards und Richtlinien festzulegen, die die Sicherheit gewährleisten sollen.
Um aber bereits kurzfristig die Sicherheit von IoT-Geräten zu erhöhen, empfiehlt CyberArk diese fünf konkreten Maßnahmen:
- Erfassung aller IoT-Geräte: Jedes Gerät im Netzwerk sollte identifiziert werden. Dazu gehören Kameras, Drucker, Türklingeln, audiovisuelle Geräte, Klimaanlagen, aber auch Dialysegeräte oder Insulinpumpen – letztlich alle mit dem Internet verbundenen Systeme.
- Zentrale Verwaltung der Geräte: IoT-Geräte sind oft mit integrierten oder hart-kodierten Passwörtern ausgestattet – was sie zu leichten Zielen macht. Sie müssen zum einen durch starke Passwörter ersetzt werden. Zum anderen sollte auch die Speicherung, Rotation und Verwaltung der Zugangsdaten automatisiert werden, um das Risiko menschlicher Fehler zu minimieren.
- Deaktivierung des automatischen Root-Zugriffs: Eine solche Zugriffsmöglichkeit ist typischerweise in IoT-Geräten wie Sicherheitskameras integriert. Diese Zugriffsebene wird gelegentlich benötigt, aber selbst für vertrauenswürdige Benutzer sollten Sicherheitsmaßnahmen ergriffen werden, die die Validierung von Identität und Zugriffspfad gewährleisten.
- Umsetzung des „Least Privilege“-Konzepts: Die Beschränkung der Zugriffsmöglichkeiten von Personen und Geräten in einem Netzwerk ist eine der wirkungsvollsten Möglichkeiten, die Angriffsfläche zu reduzieren und Angreifer davon abzuhalten, Schaden anzurichten. Bevor ein Zugang gewährt wird, sollte immer die Identität überprüft, das Gerät validiert und der Zugriff auf das wirklich Benötigte begrenzt werden. Nicht mehr erforderliche Zugangsrechte sollten entfernt werden.
- Sicherung des Remote-Zugriffs: Um den inhärenten Schwächen des IoT zu begegnen, muss der Fernzugriff etwa für Firmware-Updates oder Wartungsmaßnahmen auf verifizierte Partner, übliche Standorte und bekannte Ports beschränkt werden.
„Unternehmen investieren zunehmend in transformative digitale Technologien wie IoT. Mit jedem neuen Gerät steigen auch die Sicherheitsgefahren, solange noch keine allgemein verbindlichen Sicherheitsstandards existieren“, betont Christian Götz, Director of Presales – DACH bei CyberArk. „Infolgedessen sollte jedes Unternehmen unmittelbar beginnen, zwingend erforderliche Sicherheitsmaßnahmen zu ergreifen. Unsere fünf konkreten Empfehlungen geben dabei eine erste Hilfestellung.“