Gadgets und IoT-Geräte: Ansätze für mehr Sicherheit
Admins müssen sich zunehmend den Herausforderungen durch das Internet of Things (IoT) stellen. Zeit also, um über geeignete Richtlinien und Authentifizierung nachzudenken.
Ob einem das nun gefällt oder nicht, aber immer mehr Netzwerk-Administratoren müssen sich in zunehmendem Maße mit IoT-Geräten (Internet of Things) in ihrer Arbeitsumgebung befassen. Obwohl es sich dabei kaum um Smartwatches oder Aktivitäts-Tracker für Hunde handeln dürfte, stehen die Chancen gut, dass der neue Fernseher im Konferenzraum oder der Kühlschrank im Pausenraum über eingebettete intelligente Technologie verfügen.
Sie machen sich noch keine Sorgen über Gadget-Sicherheit? Das sollten Sie aber. Unabhängig von eine IoT-gestützten DDoS-Attacken (Distributed Denial of Service) sagte Gartner voraus, dass bis 2020 in mehr als 25 Prozent der identifizierten Angriffe auf Unternehmen IoT-Geräte verwickelt sein werden. IoT-Thermostate wurden bereits verwendet, um die Sicherheit einer Einrichtung zu kompromittieren, und die gleichen Geräte haben sich als anfällig gegenüber Ransomware entpuppt. Als ob das noch nicht schlimm genug wäre, kam eine Untersuchung von ForeScout Technologies Inc. zum Ergebnis, dass fast 75 Prozent der Unternehmen entweder über keine Schutzmaßnahmen für ihre IoT-Geräte verfügen oder nicht wissen, welche IoT-Geräte genutzt werden. Folgend stellen wir fünf Schritte vor, mit denen Sie das von IoT-Geräten im Netzwerk ausgehende Risiko reduzieren können.
Policies entwickeln und anpassen
Richtlinien sind die erste Maßnahme, um ein Framework für die Gadget-Sicherheit aufzubauen. Es müssen geeignete Sicherheits-Policies für IoT-Geräte vorhanden sein, bevor diese auf Ihr Unternehmensnetzwerk zugreifen dürfen. Ihre bestehenden Sicherheitsrichtlinien sind ein guter Ausgangspunkt. Hoffentlich reichen sie aus oder benötigen nur geringfügige Anpassungen. Diese Richtlinien sollten äußerst restriktiv sein und den Ansatz kein Zugriff verfolgen. Einfach gesagt ermittelt die Richtlinie das potenzielle Risiko und das erforderliche Schutzniveau, ehe das IoT-Produkt oder IoT-Gerät Zugriff erhält.
Bei IoT liegt die Schwierigkeit im Management. Endanwender und Asset-Besitzer sehen diese Geräte möglicherweise als unbedenklich oder harmlos an. Sie müssen in der Lage sein, das Risiko zu quantifizieren. Dazu ist erforderlich, dass Sie verstehen, welche Art von Zugriff das Gerät benötigt und welche Art von Daten es überträgt. Zum Beispiel prüfen einige IoT-Kühlschränkte SSL-Zertifikate (Secure Sockets Layer) nicht ordnungsgemäß. Infolgedessen könnte ein Angreifer eine Man-in-the-Middle-Attacke gegen diese Geräte durchführen. Daten-Exfiltration und Remote Access geben berechtigten Anlass zur Sorge.
Zugriff einschränken
Im nächsten Schritt empfiehlt es sich, über den IoT-Zugriff nachzudenken. Es gibt Websites, etwa Shodan, die sich einzig und allein damit beschäftigen, IoT-Geräte aufzuspüren. Daher sollte ein direkter Zugriff auf das Internet unterbunden werden. Ein Verstoß gegen diese Regel macht Sie früher oder später zum Ziel eines Angriffs.
Es mag zwar bequem sein, als Benutzernamen und Passwort den Default admin admin zu verwenden. Doch Sie wissen, dass Sie diese Vorgabe ändern müssen.
IoT-Geräte sollten segmentiert und in separaten Netzwerken oder virtuellen LANs platziert werden. Verfahren Sie nach dem Least-Privilege-Prinzip. IoT-Geräten sollte der Zugriff auf kritische Ressourcen, Datenbanken und Server, die nicht mit diesen Geräten kommunizieren müssen, explizit verwehrt werden. Dahinter steckt die Idee, dass ein IoT-Gerät sich selbst dann nicht missbrauchen lässt, um Zugriff auf andere Ressourcen zu erhalten, wenn es kompromittiert wird.
Starke Authentifizierung nutzen
Besorgniserregend ist zudem, wie IoT-Geräte die Authentifizierung abwickeln. Es mag zwar bequem sein, als Benutzernamen und Passwort die Voreinstellung admin admin zu verwenden. Doch Sie wissen, dass Sie diese Vorgabe ändern müssen. Das Mirai-Botnet nutzte Default-Anmeldeinformationen für IoT-Geräte, um Anfang Oktober 2016 die erste DDoS-Attacke gegen die Website von Brian Krebs zu starten. Die Malware tauchte erneut auf, um am 21. Oktober den DDoS-Angriff gegen Dyn zu unterstützen, der populäre Websites und Unternehmen lahmlegte. Passwörter für IoT-Geräte sollten der gleichen Policy unterliegen wie andere Anmeldeinformationen und regelmäßig geändert werden. Passwörter sollten komplex sein, und eine Default-Authentifizierung sollte nicht zulässig sein.
Updates und Patches überprüfen
Darüber hinaus ist es wichtig, diese Geräte aktuell zu halten, indem man Patches und Updates einspielt. Berücksichtigen Sie, wie der Hersteller der IoT-Geräte diesen Vorgang handhabt. Der Hersteller muss nicht nur Updates und Patches zur Verfügung stellen, sondern diese auch digital unterschreiben, um die Echtheit des Softwareautors zu bestätigen und zu garantieren, dass der Code nicht manipuliert oder beschädigt wurde. Für Patches sollten nur authentifizierte Quellen infrage kommen. Das Letzte, was Sie brauchen können, ist, dass jemand Schadcode in den Update-Prozess einschleust.
Mitarbeiter schulen
Training ist der letzte Punkt auf unserer Maßnahmenliste. Zur Erhöhung der Gadget-Sicherheit müssen die Mitarbeiter im Umgang mit Policies geschult werden. Diese Komponente wird allerdings gerne übersehen. Die Mitarbeiter müssen diese Richtlinien kennen und über ihren Sinn und Zweck unterrichtet werden. In den Richtlinien sollte auch ein Erzwingungsmechanismus enthalten sein. Wie sehen die Sanktionen aus, wenn jemand Rogue-IoT-Geräte oder IT-Schattengeräte im Netzwerk betreibt? Das ist dann der Fall, wenn Mitarbeiter die Richtlinien umgehen und nicht zugelassene IoT-Geräte nutzen. Diese Bedrohung lässt sich reduzieren, indem die Mitarbeiter im Umgang mit den Richtlinien geschult werden und ihnen klar ist, dass jemand sie unterstützt, wenn sie IoT-Geräte im Unternehmensnetzwerk verwenden wollen.
Fazit
Das Absichern von IoT-Geräten ist eine umfangreiche Aufgabe. Doch sie ähnelt in vielerlei Hinsicht BYOD und Cloud Computing dahingehend, dass das Policy Framework höchstwahrscheinlich schon existiert. Wichtig ist es, eine Methodik zu verfolgen, die das Risiko verringert, die IoT-Geräte isoliert und sie mit Patches und Updates auf dem aktuellen Stand hält. Die Technik wird sich auch in Zukunft ändern, und Netzwerkexperten müssen bereit sein, sich dem anzupassen. Fördern Sie eine flexible, anpassungsfähige Policy für IoT-Geräte und tragen Sie zum Gelingen bei, indem Sie Leitlinien für das richtige Deployment und Management von zugelassenen Geräten erstellen.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!
