Vernetzte IoT-Geräte bieten ein riesiges Potenzial für Innovationen. Dementsprechend wächst der IoT-Markt in vielen Bereichen dynamisch: von smarten Haushaltsgeräten über intelligente Gebäudesysteme bis hin zu sich selbst überwachenden Industrieanlagen. Die vernetzten Geräte bieten zahllose Vorteile, können aber auch ein großes Problem für die IT darstellen.
CyberArk benennt die drei großen Sicherheitsrisiken und gibt Empfehlungen für konkrete Maßnahmen zur nachhaltigen Erhöhung der IoT-Sicherheit.
- Hard-coded Credentials
Viele IoT- und OT (Operational Technology)-Geräte verwenden Standard-Credentials, die vom Hersteller fest codiert beziehungsweise eingebettet sind. Angreifer können diese Anmeldedaten nutzen, um auf Schwachstellen in der IoT-Systemsoftware und Firmware zuzugreifen und darüber auch in weitere Unternehmenssysteme einzudringen.
Um diese Risiken zu minimieren, sollten Hard-coded-Passwörter durch starke individuelle Passwörter ersetzt werden und alle IoT-Credentials sowie Secrets immer in einem geschützten Tresor (Vault) gesichert und verwaltet werden. Zudem sollte der Zugriff auf jedes IoT-Gerät im Netzwerk konsistent gesteuert und auditiert werden.
- Seltene IoT-Firmware-Updates
Bei vielen IoT-Implementierungen fehlen integrierte Funktionen für Software- und Firmware-Updates. Für Sicherheitsteams ist es so sehr schwierig, Schwachstellen rechtzeitig zu beheben; manchmal vergehen Jahre oder sogar Jahrzehnte ohne ein Update. Dies kann dazu führen, dass jedes IoT-Gerät – von Türschlössern in Hotels über lebensrettendes medizinisches Equipment bis hin zu kritischer Versorgungsinfrastruktur – anfällig für Angriffe ist.
Eine der wirkungsvollsten Methoden, um solche Angriffe einzudämmen, ist die Beschränkung der Zugriffsmöglichkeiten von Geräten in einem Netzwerk. Bevor ein Zugang gewährt wird, sollte immer im Rahmen einer Identity-Security-Strategie die Identität überprüft, das Gerät validiert und der Zugriff auf das wirklich Benötigte begrenzt werden. Damit wird die mögliche Angriffsfläche reduziert, sodass ein großflächiger Schaden auf Unternehmensseite verhindert wird.
- Begrenzte IoT-Sichtbarkeit
Ein großer Teil des IoT-Sicherheitsproblems liegt in der mangelnden Transparenz. Unternehmen haben Schwierigkeiten, alle in ihrem Netzwerk vorhandenen IoT- und OT-Geräte zu identifizieren, geschweige denn, sie über den gesamten Lebenszyklus hinweg effizient zu verwalten.
Eine Automatisierungslösung kann hier die Arbeit erleichtern und für die dringend benötigte Sichtbarkeit sorgen, indem sie beispielsweise kontinuierlich nach neuen Geräten im Netzwerk sucht. Durch das automatische Ändern von Default Credentials, das Rotieren von Passwörtern und das Aktualisieren der Gerätefirmware können Sicherheitsteams wertvolle Zeit sparen und zugleich den Geräteschutz verbessern.
„IoT-Geräte bieten ein großes Potenzial für die Beschleunigung der digitalen Transformation. Aber ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken“, betont Michael Kleist, Area Vice President DACH bei CyberArk.
„Wichtig ist zunächst, dass Unternehmen alle IoT- und OT-Geräte kennen, die sich mit dem Netzwerk verbinden. Zudem müssen alle Anmeldedaten gesichert und verwaltet werden. Nicht zuletzt sollten Unternehmen auch die Fernzugriffe durch externe Anbieter für Firmware-Updates oder Wartungsmaßnahmen sichern – mit einem kontrollierten Zugriff auf Systeme und Geräte, sowohl für menschliche als auch für nicht-menschliche Nutzer.“