AA+W - Fotolia
Fünf Schritte für eine höhere Sicherheit von IoT-Geräten
Richtlinien, Zugriff beschränken, starke Authentifizierung, regelmäßige Updates und Schulung der Mitarbeiter – mit diesen Maßnahmen können Firmen IoT-Geräte absichern.
Eine wachsende Zahl von Netzwerkadministratoren wird sich mit dem Internet der Dinge oder mit IoT-Geräten am Arbeitsplatz auseinandersetzen müssen – ob es ihnen gefällt oder nicht. Auch wenn es sich dabei nicht um Smartwatches oder Geräte zur Überwachung der Aktivitäten von Hunden handelt, stehen die Chancen gut, dass der neue Fernseher im Konferenzraum oder der Kühlschrank im Aufenthaltsraum über intelligente Technik verfügt.
Netzwerkadministratoren sollten also langsam die Sicherheit von IoT-Geräten ins Auge fassen. So prognostizierten die Marktforscher von Gartner, dass bis zum Jahr 2020 mehr als 25 Prozent der identifizierten Angriffe in Unternehmen mit IoT-Geräten durchgeführt werden.
IoT-Thermostate wurden bereits eingesetzt, um in ein Gebäude einzubrechen; dieselben Geräte haben sich zudem als anfällig für Ransomware erwiesen. Das ist schlimm genug. Doch es geht noch schlimmer: Der Security-Anbieter ForeScout Technologies hat ermittelt, dass fast 75 Prozent der Unternehmen entweder keine Schutzmethoden für ihre IoT-Geräte haben oder nicht wissen, welche IoT-Geräte in ihrer Firma im Einsatz sind.
Hier sind fünf Schritte, mit denen Firmen das Risiko von IoT-Geräten in Ihrem Netzwerk reduzieren können.
Richtlinien entwickeln und stetig überarbeiten
Den ersten Schritt auf dem Weg zu einem Sicherheits-Framework für IoT-Geräte bilden Richtlinien. Es ist unerlässlich, angemessene Sicherheitsrichtlinien für IoT-Geräte zu entwickeln, bevor ihnen der Zugriff auf Ihr Unternehmensnetzwerk gestattet wird. Dazu können Firmen zum Start durchaus auf ihre bestehenden Sicherheitsrichtlinien zurückgreifen. Möglicherweise reichen diese aus oder müssen nur geringfügig modifiziert werden. Diese Richtlinien sollten von einem Standpunkt aus geschrieben sein, der grundsätzlich alles verweigert. Einfach ausgedrückt, identifiziert die Richtlinie das potenzielle Risiko und das Schutzniveau, das erforderlich ist, bevor Firmen das IoT-Produkt oder -Gerät in ihrem Netzwerk zulassen.
Die Herausforderung beim Thema IoT liegt in der Verwaltung der Geräte: Endbenutzer und Eigentümer könnten diese Geräte als gutartig oder harmlos ansehen. Firmen müssen in der Lage sein, das Risiko der IoT-Geräte zu quantifizieren.
Dies setzt voraus, dass sie verstehen, welche Art von Zugriff das Gerät benötigt und welche Art von Daten es überträgt. Beispielsweise validieren einige IoT-Kühlschränke SSL-Zertifikate (Secure Sockets Layer) für die Verschlüsselung nicht ordnungsgemäß. Als Folge kann ein Angreifer einen Man-in-the-Middle-Angriff gegen diese Geräte starten. Der Diebstahl von Unternehmensdaten und der Fernzugriff stellen echte Probleme dar.
Zugriff einschränken
Als nächstes sollten Sie den IoT-Zugang in Betracht ziehen. Es gibt ganze Websites, wie Shodan, deren einziger Zweck es ist, nach IoT-Geräten zu suchen und diese zu finden. Es sollte keinen direkten Zugang zum Internet geben. Ein Verstoß gegen diese Regel schafft die Möglichkeit für Angriffe – es handelt sich dabei nur um eine Frage wann und nicht ob.
Firmen sollten IoT-Geräte segmentieren, in getrennten Netzwerken oder virtuellen LANs platzieren und dabei das Prinzip des geringsten Privilegs verfolgen. Das heißt IoT-Geräten sollte explizit der Zugriff auf kritische Ressourcen, Datenbanken und Server verweigert werden, die nicht mit diesen Geräten kommunizieren müssen. Die Idee dahinter: Selbst wenn Angreifer ein IoT-Gerät knacken und übernehmen, können sie es nicht als Einfallstor für den Zugriff auf andere Ressourcen verwenden.
Starke Authentifizierung nutzen
Ein weiteres echtes Problem ist die Authentifizierung der IoT-Geräte. Es mag für den Administrator bequem sein, einen Standard-Benutzernamen und ein Standard-Passwort zu haben – er sollte die Passwörter aber auf jeden Fall ändern.
Das Mirai-Botnet nutzte Standard-Anmeldeinformationen gegen IoT-Geräte, um Anfang Oktober 2016 den ersten DDoS-Angriff auf die Website von Brian Krebs zu starten; und die Malware erschien erneut, um den DDoS-Angriff am 21. Oktober zu untermauern, der populäre Websites und Organisationen wie Netflix oder Amazon lahmlegte. Passwörter für IoT-Geräte fallen unter dieselbe Richtlinie wie andere Anmeldeinformationen und sollten regelmäßig geändert werden. Passwörter sollten komplex sein, und es sollte keine Default-Authentifizierung erlaubt sein.
Updates und Patches überprüfen
Es ist auch wichtig, diese Geräte durch das Einspielen von Patches und Updates auf dem neuesten Stand zu halten. Wie gehen die Hersteller von IoT-Geräten beim Patch-Management vor? Der Hersteller sollte nicht nur Updates und Patches zur Verfügung stellen, sondern diese auch digital signieren, um den Software-Autor zu bestätigen und sicherzustellen, dass der Code nicht verändert oder beschädigt wurde. Firmen sollten Patches nur von authentifizierten Quellen akzeptieren. Kein Angreifer darf in der Lage sein, den Update-Prozess mit bösartigem Code zu fälschen.
Mitarbeiter schulen
Schließlich ist noch die Schulung der Mitarbeiter rund um die Richtlinien wichtig, um die Sicherheit der IoT-Geräte zu erhöhen. Dieser Punkt wird oft unterschätzt. Die Mitarbeiter müssen die Richtlinien kennen und ihren Zweck verstehen.
Zudem sollten Prozesse existieren, mit deren Hilfe Firmen die Richtlinien durchsetzen. Wie hoch ist die Strafe für die Platzierung von betrügerischen IoT- oder Schatten-IT-Geräten im Netzwerk? Dies geschieht, wenn Mitarbeiter Richtlinien umgehen und nicht genehmigte IoT-Geräte verwenden. Um das zu vermeiden, müssen Mitarbeiter die Richtlinien kennen und wissen, dass diese sie dabei unterstützen, IoT-Geräte richtig und sicher im Unternehmensnetzwerk zu integrieren.
Fazit
Die Absicherung von IoT-Geräten ist eine große Aufgabe, aber sie ähnelt in vielerlei Hinsicht BYOD und Cloud Computing, für die höchstwahrscheinlich bereits Richtlinien existieren. Firmen benötigen eine Methodik, die das Risiko reduziert, das IoT-Gerät isoliert und über Patches stets auf dem neuesten Stand hält. Die Technologie wird sich weiter verändern, und die Netzwerkprofis müssen bereit sein, sich anzupassen. Firmen sollten eine offene und ausführliche Richtlinie für IoT-Geräte unterstützen und Anleitungen für die ordnungsgemäße Bereitstellung und Verwaltung genehmigter Geräte vorgeben.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!
