Das Internet der Dinge (IoT) hat die Welt scheinbar bereits bis in den letzten Winkel vernetzt. Neben Laptops und Smartphones umfassen vernetzte Geräte heute eine Vielzahl von Alltagsgegenständen und Industrieanlagen, die bis vor kurzem noch gar nicht internetfähig waren.
Weingüter kontrollieren mit dem IoT beispielsweise das Klima in ihren Weinreben, und Imker bekommen Warnungen direkt auf ihr Smartphone, wenn sich das Gewicht einer Honigbienenkolonie unerwartet verändert. Im Parkhaus helfen Sensoren, schneller einen Parkplatz zu finden. Im Amazonas überwachen vom IoT kontrollierte Dronen von illegaler Abholzung bedrohte Gegenden. Und im Bereich der Erneuerbaren Energien verhilft das IoT, dieser wichtigen Technologie zum Durchbruch, indem sie es möglich macht, die weit verteilten Energieerzeuger sinnvoll zu verwalten.
Doch analog zum Wachstum des IoT, steigt auch die Anzahl der Cyberangriffe auf die neu vernetzten Geräte. es scheint nur eine Frage der Zeit, bis ein Angriff auf kritische Infrastrukturen über IoT-Geräte erfolgreich ist, denn auch Stromnetze, Gasleitungen und Krankenhäuser sind heute weitegehend vernetzt.
Das IoT vergrößert die Angriffsfläche
Die hohe Anzahl an IoT-Geräten vergrößert die Angriffsfläche vieler Unternehmen und stellt sie vor neue Herausforderungen, die meist einfach aufgebauten Geräte adäquat abzusichern. Der DDoS-Angriff des Mirai-Botnets im Jahr 2016 nutzte beispielsweise aus, dass Benutzer die Standardpasswörter von Hunderttausenden älterer Webcams, Digitalen Videorecordern und Routern nicht geändert hatten. Ausgestattet mit bösartigem Code, zielten die Hacker auf die veraltete Linux-Kernel-Versionen in diesen Geräten ab und überfluteten anschließend die Server von Dyn, Inc. – einer der größten DNS-Anbieter – mit Traffic. Die Systeme überlasteten und zahlreiche Webseiten waren nicht mehr erreichbar, darunter populäre Adressen wie Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify und Twitter.
Das IoT abzusichern stellt eine große Herausforderung dar
Es steckt in der Natur des IoT, dass die Technologie die Angriffsfläche einer Organisation vergrößert. Die Absicherung in solchem Umfang ist komplex, da es zahlreiche Bedrohungsvektoren wie Authentifizierung und Autorisierung, Software, Gerätebedrohungen, Netzwerkbedrohungen und Schwachstellen auf Betriebssystemebene enthält. Darüber hinaus besteht trotz einiger Initiativen nach wie vor ein allgemeiner Mangel an Standards. Unternehmen implementieren oft nicht die erforderliche Sicherheits-Governance, Richtlinien und Compliance. Hinzu kommt, dass viele IoT-Geräte nicht Teil einer rigorosen Patch- oder Upgrade-Routine sind, sodass Schwachstellen oft weit offen bleiben. Doch es ist Besserung in Sicht. Organisationen verstehen, dass sie aufgrund neuer IoT-Technologien größeren Risiken ausgesetzt sind. Im nächsten Schritt stehen sie nun jedoch vor der Herausforderung, Strategien zu entwickeln, um erfolgreich Angriffe auf ihre IoT-Geräte zu vermeiden.
Das IoT-Endgerät ist die Schwachstelle in der IoT-Kette
Das schwächste Glied in der IoT-Kette ist das vernetzte IoT-Endgerät selbst. Und die meist größte Sicherheitslücke vieler Geräte ist die in ihnen gespeicherte Firmware. Hat diese Firmware Schwachstellen, ist nicht nur das Gerät, sondern das gesamte Netzwerk gefährdet. Denn Hacker können über diese Schwachstelle in die Firmware eindringen und die Identität des Geräts ändern, um so Zugang zum ganzen Netzwerk zu erhalten. Durch die Infektion eines Geräts und den damit einhergehenden Zugriff auf das gesamte Netzwerk kann ein Hacker einen weiter angelegten Angriff auf die Organisation einleiten. Die größte Herausforderung für Organisationen ist dabei, dass es bei vielen, insbesondere sehr simplen IoT-Geräten, nicht einfach ist, sie per Patch oder Upgrade zu aktualisieren.
Selbst wenn die Firmware sicher ist, können Kriminelle IoT-Geräte über sogenannte „Man-in-the-middle“-Angriffe für ihre Zwecke nutzen. Dies ist möglich, wenn die Geräte in schlecht konfigurierten oder sogar komplett unverschlüsselten Wi-Fi-Netzwerken eingesetzt werden. Über diesen Weg kann heimlich die Kommunikation zwischen dem IoT-Endgerät und dem Opfer vom Angreifer übernommen werden. Während das Opfer auf eine private Verbindung mit dem Gerät vertraut, kann tatsächlich die gesamte Kommunikation von einem Angreifer gesteuert und verändert werden.
Bild: Die Phasen im Zyklus der Identifikation anomalen Verhaltens für ein effektives IoT-Gerätemanagement.
Strategien zum Schutz des IoT
Der erste Schritt zur Sicherung von IoT-Geräten besteht darin, sie als Assets oder Entitäten zu betrachten, die auf vielfältige Weise für Angriffe offen sind. Es ist wichtig, das Basisverhalten der IoT-Geräte zu verstehen, um Abweichungen von etablierten Verhaltensmustern zu erfassen. Auf diese Weise können IT-Teams gefährliche Aktivitäten im Netzwerk erkennen, die für gängige Sicherheitslösungen ohne diese Verhaltensanalyse schwer zu finden sind. Zu diesen Aktivitäten zählen Insider-Bedrohungen, der verdächtige Zugriff auf sensible Daten von Nutzern und laterale Bewegungen innerhalb des Netzwerks.
Da es sich bei IoT um eine hyper-verbundene und hyper-verteilte Sammlung von Ressourcen handelt, gibt es viele Verhaltensweisen, die überwacht werden müssen, um angeschlossene IoT-Geräte in Schach zu halten. Es ist notwendig, das Muster der Netzwerkkommunikation zu verstehen, indem man Netzwerkaktivitäten wie die pro Gerät übertragenen Bytes, die Verkehrsrichtung, die Art des Datenflusses, die Art der angeschlossenen Geräte, die Quelle der Daten von Geräten sowie die für die Datenübertragung verwendeten Protokolle und Dienste analysiert.
Die Profile der autorisierten Personen, die auf jedes IoT-Gerät zugreifen, liefert zudem wichtige Daten über seinen gültigen Gebrauch und seinen Gesamtzustand. Beispielsweise kann die Analyse des Benutzerverhaltens grundlegende Management- und Wartungsaufgaben für das Security-Team übernehmen, sodass anomale Aktivitäten sofort auffallen. Wenn sich eine eigentlich berechtigte Identität zum ersten Mal über ein IoT-Gerät mit einem Datenbankserver verbindet, kann die Fähigkeit, eine solche Aktivität in Echtzeit zu identifizieren, einen böswilligen Eindringling stoppen.
Das IoT mit Entity Analytics effektiv schützen
Das Internet der Dinge kann für Organisationen jeder Art viele Vorteile bieten. Aber mehr Geräte bedeuten auch mehr Angriffspotenzial für Cyberkriminelle, deren Expertise Netzwerke zu infiltrieren in den letzten Jahren genauso exponentiell gewachsen ist, wie das IoT selbst. Damit Sicherheitsteams ihre Netzwerke effektiv schützen können, müssen sie die Sicherheitsrisiken des IoT im Detail verstehen – und sie benötigen die richtigen Werkzeuge um gegen die mächtigen Angreifer gewappnet zu sein. Eine Sicherheitsstrategie für das IoT, das Entity Analytics beinhaltet, bietet hier großes Potenzial. Dieser Ansatz legt für jedes angeschlossene Gerät ein Basisverhalten fest und kann Abweichungen von etablierten Mustern identifizieren. Dies ermöglicht es den Sicherheitsteams, alle unerwünschten Aktivitäten innerhalb des Netzwerks zu lokalisieren – auch solche, die über IoT-Geräte einzudringen versuchen.
Egon Kando ist Regional Sales Director Central & Eastern Europe bei Exabeam. Der diplomierte Ingenieur ist seit über 18 Jahren im IT-Security Markt tätig und begann seine Karriere einst bei der BinTec AG in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt.
www.exabeam.com