Das Internet der Dinge (IoT) steht zurzeit vor derselben Herausforderung wie einst das Internet der Menschen: Immer enger werdende Vernetzung birgt auch eine wachsende Menge an Gefahren für Netzwerke und ihre Nutzer. Und dennoch sucht man Security by Design in IoT-Geräten häufig vergebens. DDoS-Angriffe, DNS-Poisoning, Diebstahl – wie können sich Organisationen davor schützen?
Eine kontinuierlich steigende Zahl von IoT-Geräten kommuniziert über Mobilfunknetze. Von Sensoren, die rund um die Uhr ihre Messergebnisse senden, bis zu Überwachungskameras, die dauerhaft mit dem Internet verbunden sind – Produktionsabläufe und Arbeitsprozesse werden fortschreitend digitalisiert und automatisiert. Und der Trend kommt nicht zum stehen: Schätzungen zufolge wird die Zahl der mobilfunkbasierten IoT-Geräte bis 2023 auf 3,5 Milliarden anwachsen.
Wie so oft kann die technische Entwicklung aber mit sich selbst kaum Schritt halten. Die Vernetzung der Geräte ist der Entwicklung von IoT-Sicherheitsprotokollen weit voraus. Aktuelle Sicherheitslösungen sind mit der Überzahl der IoT-Devices schier überfordert. Die Integrität von Netzwerken wird stark gefährdet, da Unternehmen schlicht die Möglichkeit fehlt, ihre IT-Infrastruktur zu überwachen. Fast das gesamte Internet der Dinge, 98 Prozent, kommuniziert unverschlüsselt, wie ein Bericht von Palo Alto Networks feststellt. Und 57 Prozent der Geräte stehen im Zusammenhang mit Sicherheitsverletzungen mittleren oder hohen Ausmaßes.
Die Masse als Schwachpunkt
Ungesicherte IoT-Devices stellen eine Gefahr dar, egal ob sie von Personen genutzt werden oder autonom agieren. Eine stabile Verbindung und niedriger Stromverbrauch zu wettbewerbsfähigen Preisen stehen im Vordergrund, die Sicherheit der Geräte liegt nicht im Fokus. Wegen ihrer oftmals veralteten Sicherheitsstandards sind sie besonders anfällig für die Klassiker der Cyber-Angriffe:
- DNS-Poisoning / -Spoofing: Hacker fälschen die Antwort des Domain Name Servers, sodass Anfragen auf andere, potentiell schadhafte Server umgeleitet werden können.
- Calling home: IoT-Geräte verbinden sich regelmäßig mit ihrem „Heimatnetzwerk”. Gewollt oder ungewollt können Mal- und Firmware die Daten im Hintergrund an unerwünschte Dritte übermitteln.
- DDoS (Distributed Denial of Service): Hacker kompromittieren eine große Menge (I)Iot-Geräte und überlasten Unternehmensserver mit Anfragen. Die einzige Lösung ist häufig nur die Einstellung der gesamten Kommunikation.
- (Physischer) SIM-Karten-Diebstahl: Sind die Geräte leicht zugänglich, besteht die Gefahr, dass ihre SIM-Karten gestohlen werden. Der Dieb hat dann unbegrenztes Datenvolumen – und im schlimmsten Fall unbegrenzten Zugriff auf das komplette Netzwerk.
Weil sich immer mehr Unternehmen IoT-Lösungen verwenden, bieten sich auch immer mehr Möglichkeiten für solche Angriffe auf unternehmensinterne Infrastrukturen. Bisherige Sicherheitsmodelle stoßen inzwischen an ihre Grenzen. Nicht zuletzt, weil die Endpunkte unter Umständen global verteilt sind und mit unterschiedlichen Clouds und Anwendungen verbunden sind. Das VPN eines einzigen Anbieters und SSL/TLS-Verschlüsselung reichen nicht mehr aus oder können gar nicht erst umgesetzt werden: Ab einer bestimmten Menge IoT- Devices entsteht ein Flaschenhals.
Unternehmen stehen also vor der Herausforderung, per se anfällige Geräte in kaum überschaubaren Netzwerken vor Angriffen zu schützen und die Kommunikation ihrer IT-Infrastruktur so zu gestalten, dass sie sowohl sicher als auch effizient ist.
Sicher um die Ecke schauen
Secure Access Service Edge (SASE) heißt eine Lösung, die erstmals in den “2019 Networking Hype Cycle and Market Trends” von Gartner vorgeschlagen wurde. Die Technologie arbeitet als cloudbasierter Service am Netzwerkrand eines Netzwerks, zwischen IoT-Devices und deren Zielserver. Gleichzeitig übernimmt SASE Sicherheitsfunktionen. Die Kommunikation zwischen den einzelnen Geräten und die Übertragung ihrer Daten laufen über die geschützten Server des SASE-Dienstes.
ASE bietet die Möglichkeit, Netzwerkintegration, Sicherheit sowie Richtlinienverwaltung beliebig verteilter Geräte auf einer zentralen Plattform zu verwalten und zu optimieren. Als Cloud überprüft SASE die Kommunikation global und direkt an den Datenquellen. Anders als vorher werden Sicherheitsrichtlinien bereits auf unterster Ebene umgesetzt.
Sicherheit ist eine Seite von SASE – Unternehmen können aber noch weitere Vorteile aus der Anwendung ziehen, die den Umgang mit einer Vielzahl von IoT-Geräten deutlich vereinfachen:
- Eine einzige Cloud verwaltet und zentralisiert die digitale Kommunikation. Know-How und Ressourcen werden so bei einem einzigen Anbieter gebündelt und Unternehmen erhalten einen ganzheitlichen Überblick über ihr Internet of Things.
- Die Netzwerklatenz sinkt, weil der Datenverkehr bereits auf unterster Ebene überprüft wird. Die lokale Durchsetzung von Richtlinien ermöglicht IoT-Unternehmen außerdem, spezifisch auf die Anforderungen ihrer Kunden an die Datenverarbeitung einzugehen.
- Die Geräte kommunizieren nicht mit einem VPN, sondern direkt mit der Infrastruktur der Cloud. Das spart Speicherplatz und Rechenleistung. Die Effizienz der Kommunikation wird deutlich gesteigert.
Worauf gilt es zu achten?
SASE beschreibt nur ein Modell, an dem das Sicherheitskonzept eines Netzwerks ausgerichtet werden kann. Ebenso verschieden wie die Anbieter sind die Ansätze zur Anwendung. Unternehmen sollten bei der Anbieterwahl insbesondere auf Folgendes Acht geben:
1. Dynamik und Skalierbarkeit
Der SASE-Dienst steht über verteilte Points of Presence (PoP) mit den IoT-Devices in Kontakt. Der Datenverkehr muss nicht durch das interne Netzwerk des Anbieters oder des Kunden geleitet werden, sondern findet am Netzwerkrand statt. Die Rechenzentren können die benötigten Kapazitäten außerdem flexibel und global skalieren. So werden Kommunikationswege verkürzt und die Zugangskontrolle so früh wie möglich durchgeführt. Die Leistung einer IoT-Anwendung steigt, während die Latenz sinkt.
2. Firewall as a Service (FaaS)
Als Sicherheitskomponete bietet der Service ebenfalls die Funktion einer Firewall. Global verteilte IoT-Geräte und -Anwendungen sind rund um die Uhr geschützt und der SASE-Anbieter sorgt im Rahmen des Service für regelmäßige Updates. Unerwünschter oder illegaler Traffic kann direkt blockiert und legitime Datenübertragung auf eine Whitelist gesetzt werden. DDoS-Angriffen und schadhaftem Home Calling werden damit die Grundlage entzogen.
3. DNS-Sicherheit
Mit einem SASE-Dienst kann eine Cloud-Infrastruktur in Unternehmensnetzwerke integriert werden, ohne dass sie über das öffentliche Internet zugänglich wird. Anwendungen und Infrastruktur bleiben intern und können außerdem selbst konfiguriert werden. Praktiken wie Tunneling, DNS-Spoofing, Hijacking, Sub-Domain- oder Lock-up-Angriffe sowie Botnet-basierte CPE-Angriffe werden deutlich erschwert oder unmöglich. DNS-Integrität und -Verfügbarkeit werden so erhöht.
4. Erkennung von Bedrohungen
Für die Sicherheit im Internet der Dinge ist eine umfassende Überwachung vieler Geräte gleichzeitig von enormer Bedeutung. Von Natur aus haben IoT-Geräte allerdings zu wenig Rechenleistung, um ihre eigene Sicherheit umfassend zu gewährleisten. SASE-Dienste übernehmen die Ausführung wichtiger Software zum Erkennen von Malware und blockieren schädlichen und unerwünschten Traffic. Weil die Daten in der Cloud gebündelt und verarbeitet werden, erhalten IoT-Unternehmen außerdem einen umfassenden Einblick in die Daten ihrer Geräte: Unstimmigkeiten können an der Quelle aufgedeckt und alle Ereignisse analysiert werden.
Fazit
Mensch und Maschine arbeiten immer näher zusammen. Immer öfter speichern wir teilweise sensible Daten auf Festplatten und übergeben die Kontrolle darüber an Programme und Algorithmen. Sicherheit im Internet der Dinge bedeutet Sicherheit für uns selbst. Secure Access Service Edge ist eine Lösung, die Netzwerk-Infrastruktur und Datenverkehr bündelt, vor Bedrohungen schützt und dem Anwender umfassende Kontrolle über sein System gibt. Und bei bald 3,5 Milliarden IoT-Geräten geht SASE ein konkretes Problem an. Für Unternehmen im IoT-Bereich wird SASE auf jeden Fall eine interessante Technologie bleiben und vielleicht sogar notwendig werden, wenn Kosten und Komplexität von Unternehmensnetzwerken sicher und überschaubar bleiben sollen.