IoT-Anwendungssicherheit: Bedrohungen und Schwachstellen
Nur wenn IT-Admins Maßnahmen zum Schutz von IoT-Anwendungen ergreifen und sie in eine Sicherheitsstrategie einbeziehen, lässt sich ein Einfallstor für Kriminelle schließen.
IoT-Geräte erscheinen vielleicht zu klein oder zu spezialisiert, um ein Risiko für Unternehmen darzustellen. Aber das ist ein gewaltiger Irrtum.
IoT-Geräte sind mit dem Netzwerk verbundene Computer, die von Kriminellen gehackt und gekapert werden können, was zu Problemen über die IoT-Sicherheit hinaus führt.
Selbst wenn ein Unternehmen die physischen Geräte gesperrt und grundlegende IoT-Sicherheitsmaßnahmen ergriffen hat, bleiben die Systeme anfällig. Viele Cybersicherheitsexperten vergessen die IoT-Anwendungssicherheit, wenn sie eine IT-Sicherheitsstrategie entwickeln.
Gartner schätzt, dass es bis 2025 etwa 25 Milliarden IoT-Verbindungen geben wird. Somit stellt jeder Sensor, jeder Endpunkt, jede Verbindung, jede Netzwerkschicht und jede Benutzeroberfläche eine Schwachstelle für Unternehmen dar, die IoT nutzen. Die IoT-Anwendungssicherheit birgt ein gewaltiges Potenzial für Schwachstellen, ein Bereich, den Unternehmen im Auge behalten und in den sie in gleichem Maße wie in IoT selbst investieren sollten.
Schwachstellen von IoT-Anwendungen
IoT-Anwendungen weisen verschiedene Schwachstellen auf, die sie dem Risiko aussetzen, kompromittiert zu werden. Dazu gehören folgende Punkte:
Schwache oder hartkodierte Passwörter: Viele Passwörter sind leicht zu erraten, öffentlich zugänglich oder lassen sich nicht ändern. Manche IT-Mitarbeiter machen sich nicht die Mühe, das Standardpasswort zu ändern, mit dem das Gerät oder die Software ausgeliefert wurde.
Fehlender Update-Prozess oder -Mechanismus: IT-Admins schließen viele IoT-Apps und -Geräte unbeabsichtigt von Updates aus, weil sie im Netzwerk unsichtbar sind. Außerdem verfügen IoT-Geräte aufgrund ihres Alters oder ihres Zwecks möglicherweise nicht einmal über einen Update-Mechanismus, was bedeutet, dass Administratoren die Firmware nicht regelmäßig aktualisieren können.
Ungeschützte Netzwerkdienste und Schnittstellen der Ökosysteme: Jede Verbindung einer IoT-App kann kompromittiert werden, entweder durch eine inhärente Schwachstelle in den Komponenten selbst oder weil sie nicht vor Angriffen geschützt sind. Dies umfasst alle Gateways, Router, Modems, externen Webanwendungen, APIs oder Cloud-Dienste, die mit einer IoT-App verbunden sind.
Veraltete oder ungesicherte IoT-Anwendungskomponenten: Viele IoT-Anwendungen nutzen bei ihrer Erstellung Frameworks und Bibliotheken von Drittanbietern. Wenn diese veraltet sind oder bekannte Schwachstellen aufweisen und bei der Installation in einem Netzwerk nicht überprüft werden, können sie Sicherheitsrisiken darstellen.
Ungesicherte Datenspeicherung und -übertragung: Zwischen IoT-Anwendungen und anderen vernetzten Geräten und Systemen können unterschiedliche Datentypen gespeichert und übertragen werden. Alle müssen über Transport Layer Security (TLS) oder andere Protokolle ordnungsgemäß gesichert und bei Bedarf verschlüsselt werden.
Bedrohungen für IoT-Anwendungen
Bedrohungen für IoT-Anwendungen lassen sich in mehrere allgemeine Kategorien unterteilen: Spoofing, Preisgabe von Informationen, Distributed Denial of Service (DDoS), Manipulation und Rechteerweiterung. Angreifer nutzen diese Bedrohungen in der Regel als Einfallstor in ein Netzwerk und gehen dann zu anderen Bereichen über, um Probleme zu verursachen, etwa indem sie Daten stehlen, Verbindungen blockieren oder Ransomware einschleusen.
Abbildung 1: Vier Bedrohungen, die auf Schwachstellen in IoT-Apps abzielen.
Bedrohungen durch Spoofing: Angreifer fangen den Datenstrom eines IoT-Geräts ab oder überschreiben ihn teilweise und täuschen das Ursprungsgerät oder -system vor, was auch als Man-in-the-Middle-Angriff bezeichnet wird. Sie fangen Shared-Key-Informationen ab, kontrollieren Geräte oder beobachten gesendete Daten.
Bedrohungen durch die Preisgabe von Informationen: Angreifer belauschen Übertragungen, um unbefugt Informationen zu erhalten, stören das Signal, um die Verbreitung von Informationen zu verhindern, oder überschreiben die Übertragung teilweise und ersetzen sie durch falsche Informationen. Anschließend drohen sie damit, die Daten zu veröffentlichen oder zu verkaufen.
Bedrohungen durch Manipulation: Angreifer können sich Zugang zur Firmware oder den Betriebssystemen der Geräte verschaffen, auf denen eine IoT-Anwendung läuft, und diese dann teilweise oder vollständig auf dem Gerät ersetzen. Sie verwenden dann die echten Geräte- und Anwendungsidentitäten, um auf das Netzwerk und andere verbundene Dienste zuzugreifen. Zum Beispiel sind Angriffe per XML- oderSQL-Injection und DDoS-Attacken eine Gefahr, was die die Manipulation von IoT-Apps betrifft.
Bedrohungen durch Rechteerweiterung: Angreifer nutzen ungeschützte IoT-Apps, um die Zugriffssteuerungsregeln der Anwendung zu ändern und Schaden anzurichten. In einer Industrie- oder Fertigungsumgebung könnte ein Angreifer beispielsweise ein Ventil ganz öffnen, das in einem Produktionssystem nur halb geöffnet werden sollte, und dem System oder den Mitarbeitern Schaden zufügen.
So lassen sich IoT-Anwendungen schützen
Der Schutz von IoT-Anwendungen ist keine einmalige Angelegenheit. Er erfordert Planung, die Ergreifung von Maßnahmen und regelmäßiges Monitoring. Als Einstieg empfehlen sich die folgenden neun Möglichkeiten.
1. Setzen Sie sich mit den wahrscheinlichsten Bedrohungen auseinander
Per Threat Modeling lassen sich die potenziellen Schwachstellen von IoT-Anwendungen identifizieren, bewerten und priorisieren. Ein Modell kann Sicherheitsmaßnahmen vorschlagen, die gewährleisten, dass IT-Admins die IoT-Apps in allgemeine Sicherheitsstrategien einbeziehen. Das Modell sollte sich ständig weiterentwickeln und wachsen, um den Status der IoT-Apps genau widerzuspiegeln.
2. Verstehen Sie die Risiken
Nicht alle Risiken sind gleich, wenn es um IoT-Anwendungen im Unternehmen geht. Priorisieren Sie die Risiken nach Relevanz, und handeln Sie entsprechend. Viele Technikteams vergessen, das Risiko mit den Geschäftsszenarien und -ergebnissen abzugleichen. Ein Ausfall oder eine Sicherheitslücke in einer IoT-App kann für die IT harmlos erscheinen, für das Unternehmen jedoch schwerwiegende finanzielle Folgen haben.
3. Aktualisieren Sie die Apps regelmäßig
IT-Admins müssen Updates für IoT-Apps so schnell wie möglich bereitstellen, um die Sicherheit des gesamten Netzwerks zu gewährleisten. Verwenden Sie nur zugelassene und authentifizierte Updates, und verschlüsseln Sie alle Update-Datenströme mit einem VPN, wenn Sie Apps per OTA-Verfahren aktualisieren. Sichere Public-Key-Infrastrukturen (PKI) können auch Geräte und Systeme authentifizieren.
4. Sichern Sie das Netzwerk
Firewalls, Verschlüsselung und sichere Kommunikationsprotokolle schützen IoT-Apps vor unbefugtem Zugriff. Überprüfen Sie regelmäßig die verschiedenen im Netzwerk genutzten Standards, Geräte und Kommunikationsprotokolle, um eine angemessene Sicherheit zu gewährleisten. Nehmen Sie IoT-Apps in alle Tests zur Anwendungssicherheit auf.
5. Sorgen Sie für eine starke Autorisierung
Ein starker Passwortschutz ist für IoT-Anwendungen unabdingbar. Dazu gehört auch ein sicherer Passwortprozess für diejenigen, die Passwörter erstellen. Ändern Sie die Standardpasswörter auf IoT-Geräten und -Apps, und stellen Sie sicher, dass sie regelmäßig geändert werden. Der Einsatz eines Zwei- oder Drei-Wege-Authentifizierungsmodells mit TLS-Kommunikationsprotokollen verringert die Wahrscheinlichkeit, dass Authentifizierungsdaten zu irgendeinem Zeitpunkt kompromittiert werden können.
Es kann zu Problemen kommen, die über das einzelne Gerät oder die jeweilige Anwendung hinausgehen, wenn nicht für jede Komponente von IoT-Bereitstellungen die gleichen Sicherheits-Maßnahmen getroffen werden.
6. Ermöglichen Sie sichere Kommunikation
Die Verschlüsselung von Daten zwischen IoT-Geräten, -Apps und -Back-End-Systemen schützt die Daten vor Angreifern. Dazu zählen die Verschlüsselung von Data at Rest und Data in Transit sowie die Einführung von PKI-Sicherheitsmodellen, um sicherzustellen, dass sowohl Sender als auch Empfänger vor der Übertragung im System authentifiziert werden.
7. Schützen Sie Kontroll- und Steuerungsanwendungen
Anwendungen und Systeme, die Zugriff auf IoT-Apps haben, sollten ebenfalls abgesichert werden. Wenn sie sicher sind, lässt sich verhindern, dass das IoT-Clientsystem durch Angriffe von außen kompromittiert wird und Attacken nachgelagert verbreitet werden.
8. Sichern Sie API-Integrationen
APIs werden häufig verwendet, um Daten zwischen Anwendungen und Systemen auszutauschen. Sie bieten Angreifen eine weitere Möglichkeit, sich mit IoT-Apps zu verbinden und Probleme zu verursachen. Nur autorisierte Geräte und Anwendungen dürfen mit APIs kommunizieren, damit es einfacher ist, Bedrohungen und Angriffe sofort zu erkennen. IT-Admins müssen außerdem eine API-Versionsverwaltung nutzen, bei der alte oder überflüssige Versionen identifiziert und regelmäßig entfernt werden.
9. Überwachen Sie IoT-Apps
Das Monitoring von IoT-Anwendungen ist der letzte Schritt zu deren Schutz. Stellen Sie sicher, dass sie wie der Rest des Netzwerks getestet und überprüft werden, um Warnungen zu erhalten und IoT-Sicherheitsprobleme schnell zu beheben.
Fazit
IoT-Geräte und -Anwendungen stellen heute ein erhebliches Risiko für Unternehmen dar. Bei Hunderten oder sogar Tausenden von Geräten, die mit einem Unternehmensnetzwerk verbunden sind, kann es zu Problemen kommen, die über das einzelne Gerät oder die jeweilige Anwendung hinausgehen, wenn nicht für jede Komponente von IoT-Bereitstellungen die gleichen Sicherheitsmaßnahmen getroffen werden.
