IoT-Segmentierung sichert Geräteflotten und weiteres Netzwerk
IT-Administratoren können mittels IoT-Segmentierung kleine Subnetze erstellen, die Geräte isolieren und die Angriffsfläche des Netzwerks reduzieren, um Workloads zu sichern.
Die zunehmende Nutzung von IoT-Geräten veranlasst Unternehmen dazu, eine der immergrünen Methoden der IT-Sicherheit – die Segmentierung – anzuwenden, um ihre wachsenden Flotten von IoT-Geräten zu schützen.
IoT-Geräte, wie Kartenleser, Sensoren und Geräte, haben in der Regel nicht viel Rechenleistung oder Speicher an Bord. Daher können viele von ihnen keine Sicherheitsanwendungen ausführen, um sich selbst in einem Netzwerk zu schützen. Außerdem ist es oft nahezu unmöglich, IoT-Geräte über eine Funkverbindung zu aktualisieren oder zu patchen.
Laut einer IDC-Prognose werden bis 2025 41,6 Milliarden vernetzte IoT-Geräte in Betrieb sein. Diese Vielzahl von Geräten wird bis dahin die schwindelerregende Menge von 79,4 Zettabyte an Daten produzieren. Diese Zahlen allein reichen aus, um jedem IT-Sicherheitsexperten große Kopfschmerzen zu bereiten.
Angreifer haben es bereits jetzt mit einer Vielzahl von IoT-Sicherheitsbedrohungen und -verstößen auf Unternehmen abgesehen. Zweifellos werden noch viele weitere folgen. Mechanismen, die Unternehmen nutzen können, um ihre IoT-Geräte und das Unternehmensnetzwerk im Allgemeinen zu schützen, sind Segmentierung und Mikrosegmentierung.
Was ist Segmentierung?
Segmentierung ist eine Sicherheitsmethode, bei der ein Netz in mehrere Segmente oder Teilnetze unterteilt wird, die als kleine Netze fungieren. In der einen oder anderen Form hat sich die Segmentierung mit der weit verbreiteten Nutzung von Unternehmensnetzwerken und dem Internet im 21. Jahrhundert entwickelt.
IoT-Segmentierung kann Ransomware-Infektionen oder Angreifer daran hindern, sich im gesamten Netzwerk zu bewegen.
In 5G-Mobilfunknetzen wird die Segmentierung als Network Slicing bezeichnet. Diese 5G-Methode wird für das Internet der Dinge zunehmend an Bedeutung gewinnen, da immer mehr IoT-Geräte auf 5G-Mobilfunkverbindungen umsteigen und nicht wie heute üblich 4G-LTE- oder WAN-Verbindungen mit geringer Leistung nutzen.
Warum sollte man sich für die Segmentierung als Sicherheitsmethode entscheiden?
Trotz der Vielzahl von Sicherheitsmaßnahmen, die IT-Administratoren implementieren können, ist die Netzwerksegmentierung nach wie vor ein wichtiger Schutz vor Cybersecurity-Bedrohungen. Jede segmentierte Gruppe von Geräten kann nur auf die Ressourcen zugreifen, die sie für die genehmigten Zwecke benötigt. Die IoT-Segmentierung kann Ransomware-Infektionen oder Angreifer daran hindern, sich im gesamten Netzwerk zu bewegen.
Unternehmen müssen die Segmentierung nicht speziell mit anderen Sicherheitspraktiken kombinieren, aber sie kann die Netzwerkverteidigung ergänzen. Die IoT-Netzwerksegmentierung kann auch die Gesamtleistung steigern. Die Trennung verschiedener Betriebsgeräte voneinander kann die Überlastung des Netzwerks verringern.
Wie man die Segmentierung für das IoT implementiert
Mit dem Aufkommen des IoT ist die Netzwerksegmentierung noch wichtiger geworden. Mit der zunehmenden Verbreitung von IoT-Geräten müssen diese anfälligen Einheiten von anderen Anwendungen und Systemen im Netzwerk eines Unternehmens isoliert werden.
Bei der Einführung eines IoT-basierten Netzwerksegmentierungsprojekts müssen IT-Administratoren zunächst alle IoT-Geräte in der Flotte des Unternehmens identifizieren. Die Inventarisierung der Geräte kann eine Herausforderung sein, da zu den IoT-Geräten angeschlossene Kameras und mobile Kartenlesegeräte sowie eine ganze Reihe von Industriemonitoren und Sensoren gehören können.
Abbildung 1: Mikrosegmentierung isoliert Geräte und Anwendungen, um zu verhindern, dass sich Angreifer oder Malware in einem Netzwerk ausbreiten.
Heute verwenden viele Unternehmen Tools zur Netzwerkzugangskontrolle (Network Access Control, NAC), um in ihren Netzwerken eine Zero-Trust-Sicherheitspolitik umzusetzen. Ein NAC-System überwacht kontinuierlich das Netzwerk und die daran angeschlossenen Geräte. Das NAC-Tool sollte alle Benutzer und Geräte erkennen und identifizieren, bevor es den Zugriff auf das Netzwerk erlaubt.
Bei der Ersteinrichtung eines NAC-Systems legen die für die digitale Sicherheit zuständigen Mitarbeiter eines Unternehmens die entsprechende Berechtigungsstufe für Benutzer und Geräte fest. So benötigt beispielsweise ein Ingenieur, der einen Sensor zur Temperaturmessung in einem industriellen Bereich des Unternehmensnetzwerks einsetzt, ganz andere Zugriffsrechte als eine automatisierte Beleuchtungsanlage, die im selben Netzwerk läuft.
Einige IT-Administratoren sehen in der Mikrosegmentierung die nächste Stufe der Netzwerksicherheit, insbesondere für IoT-Aufgaben. Die Mikrosegmentierung schafft noch kleinere Teile eines Netzwerks, auf die IoT-Geräte zugreifen können, und reduziert so die Angriffsflächen – Systemelemente oder Endpunkte –, die am anfälligsten für Hackerattacken sind.
IT-Administratoren können Richtlinien anwenden, um einzelne Workloads zu segmentieren, die in einer Cloud-Umgebung ausgeführt werden. Die Technologie gilt für den lateralen Ost-West-Verkehr zwischen Geräten, Workloads und Anwendungen im Netzwerk. Die zunehmende Verwendung von Software-defined Networking (SDN) in Netzwerkarchitekturen hat die Akzeptanz der Mikrosegmentierung weiter erhöht. Software, die von der Netzwerkhardware entkoppelt ist, erleichtert die Segmentierung.
Heute ist die Segmentierung einfacher, weil sie in Software auf der Geräteebene erfolgt. Die auf ein IoT-Gerät angewendeten Richtlinien verbleiben auf diesem Gerät, auch wenn es in einen anderen Netzwerkbereich verschoben wird.
Mit der Segmentierung können IoT-Geräte auf einer einheitlichen Infrastruktur betrieben werden, die eine gemeinsame Netzwerk- und Sicherheitsplattform umfasst. Diese Segmentierung ist einfach zu verwalten und zu betreiben, ohne dass kompromittierte oder geschwächte Geräte die Möglichkeit haben, andere Teile des Unternehmensnetzwerks zu gefährden.
Erfahren Sie mehr über IoT, IIoT und Industrie 4.0
