IP-Kameras, Gebäudezugriffslösungen, Sensoren oder auch an das Web angebundene Drucker gestalten die Frontlinie von Unternehmen zum Internet immer unübersichtlicher und erhöhen die Angriffsfläche. Wer sich gegen die Hacker aus dem Internet der Dinge schützen will, benötigt vor allem mehr Information und Zugriff auf die IoT-Hardware – durch eine erweiterte Endpunkt-Sicherheit.
Das Internet der Dinge ist eine Kerntechnologie, um Mitarbeiter zu mobilisieren und Abläufe zu digitalisieren. Die Pandemie hat ihr Übriges getan, um die Menge an eingesetzter IoT-Hardware zu steigern. Unternehmen in der Produktion und im Gesundheitswesen haben den Trend angeschoben und nutzen verstärkt IoT als Schlüsseltechnologie, um neue Funktionen zu nutzen und Abläufe zu optimieren.
Der Anschluss beliebiger Hardware über WiFi und Bluetooth erfolgt unmittelbar und einfach. Oft zu einfach und mit schwerwiegenden Folgen für die Cybersicherheit.
2021 wuchs laut dem Verizon Mobile Security Index 2021 die Zahl der IoT-Geräte um neun Prozent auf 12,3 Milliarden weltweit. 31 % der von Verizon befragten Verantwortlichen für den Einkauf, das Management und das Sichern von IoT-Geräten gaben zu, dass Hacker ihre IoT kompromittiert hatten.
Bei zwei Dritteln davon kam es zu größeren Folgen („major impact“): 59 % beklagten einen Ausfall der Systeme, 56 % einen Datenverlust und 29 % mussten Compliance-Bußgelder bezahlen. 41 % der Befragten gaben zu, IoT-Sicherheitsbelange zu opfern, nur um ihre Aufgabe zu bewältigen.
Gefahrenzone am Rand der Infrastruktur
Der digitale Fortschritt hat also seine Risiken. Was sich schnell installieren lässt, entwickelt ebenso schnell sein Eigenleben Die Cybersicherheit kam und kommt oft zu kurz. Gerade Produktion und Gesundheitswesen geben ihr zudem nur selten eine hohe Priorität – mit großen Folgen für die IoT-Sicherheit. Angriffe über das Internet der Dinge dürfen Sicherheitsverantwortliche auf keinen Fall unterschätzen.
Denn dahinter verbergen sich nicht selten komplexe Advanced-Persistent-Threat (APT)-Attacken, bei denen das Gerät nur als erster Zugang dient, um verschiedene weitreichende Angriffe auf unterschiedliche Ziele durchzuführen.
Wer gegen die Risiken aus dem Internet der Dinge vorgehen will, benötigt einen umfassenden Blick auf die zwangsläufig erweiterte neue Angriffsfläche. Denn IoT-Geräte wie Sicherheitskameras, Bildschirme mit Anschluss an das Internet, Medizingeräte und Sensoren im Bereich Produktion oder Router im Homeoffice sind oft nicht zentral verwaltet.
So lassen sich auch Updates nur sehr schwer – wenn überhaupt – einspielen. Meist ist es auch zu kostspielig oder gar nicht möglich, einen Endpoint-Detection-and-Response-Agenten auf den zahllosen IoT-Endpunkten zu installieren.
Ein besonderes Risiko ergibt sich zudem aus der Tatsache, dass sich IoT-Systeme im Cyberhack-Ernstfall nicht einfach abschalten lassen – wie etwa ein Sensor an einem Fließband oder ein medizinisches Gerät in der Krankenpflege.
Bekannte Lücken – unbekannte Systeme
Hinzu kommen noch die inhärenten Risiken vieler an das Internet angeschlossener Geräte. Fragen der IT-Sicherheit bedenken die Entwickler oft nicht - anders als bei PC-Systemen oder Smartphones. Zu viele IoT-Geräte haben hart kodierte oder bekannte Default-Passwörter, die so lange für den Hacker funktionieren, bis ein Anwender sie verändert. Viele Geräte verfügen über Zero-Day-Schwachstellen, die von den Herstellern nicht gepatcht werden.
Daraus resultierende Lücken sehen die Hacker, die mit automatisierten Tools wie Wireshark, Nmap, Fiddler, Metasploit oder Maltego, welche ursprünglich dem Social Hacking dienen sollten, über das Internet nach der entsprechenden Hardware suchen. Auch Dienste wie Shodan nutzen oft leider nicht nur die Administratoren, sondern ebenso die Cyberangreifer.
Die Lücken sind bekannt, die Geräte dagegen für den IT-Administrator oft nicht sichtbar. Anwender – zum Beispiel aus einzelnen Geschäftsbereichen – implementieren IoT-Systeme ohne an die IT-Sicherheit zu denken oder die Unternehmens-IT zu informieren.
So entstehen Schatten-IT-Strukturen ohne jedes Patch-Management und ohne eine Möglichkeit, diese kontinuierlich zu verwalten. Viele IoT-Dienste sind zudem Cloud-basiert. Sicherheitslösungen, die Cloud-Dienste nicht überwachen, weisen also einen gefährlichen blinden Fleck auf.
Endpunkt-unabhängige und Cloud-basierte Sicherheitsperspektive
IoT-Endpunkte verlangen einen neuen Überblick auf die IT-Sicherheitslage, der die intelligenten Geräte mit Internetanschluss und nicht nur klassische Endpunkte wie PC, Server oder Smartphone berücksichtigt.
Eine Extended Detection and Response (XDR) als Korrelation sicherheitsrelevanter Informationen aus einem erweiterten Kreis an Quellen bietet den notwendigen Sicherheitsweitblick. Dabei unterscheidet sich die native von der offenen XDR. Beide Ansätze helfen, eine größere Sichtbarkeit über ihre IT zu erlangen und die Analyse der Telemetrie zu verbessern.
Native XDR-Lösungen verwenden verschiedene Tools und Technologien eines einzigen Anbieters, um Informationen aus einem erweiterten Kreis an Quellen zu erschließen. Solche Technologien aus einer Hand eignen sich vor allem für kleinere Unternehmen, die XDR sofort einsetzen wollen.
Offene XDR sitzt herstellerunabhängig auf einem Bündel an Sicherheitstechnologien auf und zentralisiert die vorhandenen Telemetrie-Quellen. Sicherheitsteams haben so eine einheitliche Perspektive und bündeln die gesamte Analyse sowie die Fähigkeiten, Gefahren zu erkennen und abzuwehren.
Größere Unternehmen können mit diesem offenen Ansatz die vorhandenen, oft für nicht wenig Geld angeschafften Lösungen anderer Hersteller weiternutzen.
Vierfacher Mehrwert für eine erweiterte Erkennung und Abwehr
Wer IoT-relevante Informationsquellen auswertet, kann die Sicherheit konnektiver Geräte verbessern:
- Hardware-Inventur
Je mehr Telemetrie-Quellen genutzt werden, umso besser kennen IT-Teams die Hardware in ihrem Netzwerk. Sie können damit IoT-Geräte im Netzwerk identifizieren und absichern.
- Schnelleres Erkennen und Reagieren
IT-Administratoren oder Sicherheitsexperten können besser auf Hinweise über ein kompromittiertes System oder über anomales Verhalten eines IoT-Gerätes reagieren. Sie wehren somit Login-Versuche eines nicht autorisierten Anwenders, häufige und damit verdächtige Login-Versuche bzw. Aktivitäten außerhalb der Geschäftszeiten ab.
- Bessere Wartung und gezieltes Patch Management
IT-Administratoren sehen nun besser, welche Sicherheitslücken zu schließen und welche Updates nötig sind. Dies ist gerade für IoT-Geräte und ihre oft den Hackern bekannten Sicherheitslücken nötig.
- Korrelierte Informationen im Kontext
XDR hat das Ziel, voneinander getrennte und Cloud-basierte Datenquellen zu nutzen und in einem Zusammenhang zu betrachten. Cloud-Informationen können detailliertere Informationen über Attacken, Ereignisse und kompromittierte IT liefern. Damit können IT-Sicherheitsverantwortliche den Attacken besser zuvorkommen. Gerade für die oft Cloud-basierten IoT-Dienste ist das sehr wichtig.
In dem Maße, wie IoT die klassische IT und deren Angriffsfläche vergrößert, muss im Gegenzug die IT-Abwehr ihren Blickwinkel erweitern. Denn IT-Sicherheit wächst vor allem mit der Vollständigkeit und Qualität der Informationen. Diese Aufgabe wiederum wächst mit dem immer größer werdenden Gerätefuhrpark mit Internetanschluss.