AA+W - Fotolia
Die Hardware- und Gerätesicherheit in den Griff bekommen
In immer mehr Unternehmen finden sich IoT- und IIoT-Devices. Das stellt die IT-Security-Teams vor neue Probleme, da sie nun mehr Hardware-basierte Gefahren bekämpfen müssen.
Der unternehmensweite Einsatz von IoT-Devices (Internet of Things) hat zu zahlreichen neuen Gefahren in Firmen geführt, die auf der verwendeten Hardware basieren. Hacker suchen gezielt nach Schwachstellen in physischen Geräten. Dabei nutzen sie auch Lücken in der Firmware, im UEFI oder im BIOS aus.
Unternehmen müssen sich daher mit den Gefahren für die Sicherheit ihrer Hardware auseinandersetzen. Das gilt insbesondere, wenn sie autonome Sensoren oder Controller nutzen, die für Smart Building, IoT und Industrial IoT (IIoT) benötigt werden.
Viele Organisationen wollen ihre bisher manuell erledigten Aufgaben automatisieren. Das hat zu einer Flut an sicherheitsrelevanten Vorfällen bei allen Arten von Hardware geführt. Heutzutage werden sowohl Überwachungskameras als auch Anlagen aus den Bereichen Heizung, Lüftung und Klimatechnik bis hin zu Plattformen für physische Zugangskontrollen mit IP-Netzen verbunden.
Dabei wird häufig versucht, Kosten zu sparen. Viele Einkäufer achten vor allem auf den Preis der Produkte, die sie in ihre IT-Umgebungen einbinden. Viele dieser Geräte sind aber oft bereits kompromittiert oder so leicht zu knacken, dass sie die Sicherheit des gesamten Firmennetzes beeinträchtigen.
Typische Bedrohungen für die Sicherheit von Hardware und Geräten
IoT-Geräte gelten als besonders riskant, weil sie meist relativ unabhängig und ohne dedizierte Überwachung eingesetzt werden. Daher ist es hier weit schwerer die Zeit zu bestimmen, an der ein Angriff auf eine IoT-Komponente erfolgte, als bei herkömmlichen Servern, Desktop-PCs, Notebooks oder Smart Devices. Das bedeutet allerdings nicht, dass es nicht auch Hardware-basierte Gefahren für diese Art von „normalen“ Geräten geben würde. Zu den am häufigsten anzutreffenden Hardware-basierten Sicherheitslücken gehören die folgenden:
- Standardpasswörter: Dieses Problem trifft besonders auf günstige IoT-Gerätschaften und -Hardware zu, die frisch ausgepackt nicht selten noch mit Standardpasswörtern versehen ist. Diese Kennwörter werden dann gelegentlich im Firmennetz weiterverwendet, ohne sie zu ändern. Die dadurch entstehenden Risiken werden ignoriert.
-
Lokale Angriffsmöglichkeiten: In vielen Fällen können IoT-, IIoT- oder Smart-Building-Produkte vor Ort über ein verwaltetes Ethernet oder ein serielles Interface erreicht werden. Wenn diese Zugriffsmöglichkeiten nicht eingeschränkt werden, sowohl bei der Konfiguration als auch beim physischen Zugriff, kann ein Angreifer sie als Einstiegspunkt nutzen, um die gesamte IT-Umgebung zu attackieren. Manchmal reicht schon der physische Besuch eines Büros, Lagerhauses oder einer Produktionsstätte, um sich einzunisten und Schaden anzurichten.
-
Veraltete Firmware-, BIOS- oder UEFI-Software: Die meisten Hersteller, die vernetzte Heizungs-, Klima- oder Kühlanlagen, Roboter und andere IoT-/IIoT-Devices produzieren, sind keine Experten im Bereich IT-Security. Ihre Firmware ist daher teilweise übersät mit Bugs und sicherheitsrelevanten Fehlern. Die vorhandenen Schwachstellen werden durch ein schlampiges Patch-Management weiter verschlimmert. Viel zu viele IT-Abteilungen aktualisieren die Firmware der von ihnen betreuten Gerätschaften nicht regelmäßig. Selbst dann nicht, wenn Sicherheits-Patches veröffentlicht werden, die kritische Lücken schließen sollen.
-
Speziell angefertigte Chipsets: In vielen Rechenzentren in Unternehmen sowie in High-End-Computern finden sich speziell angefertigte Chipsets. Da diese Produkte nur in relativ begrenzten Bereichen eingesetzt werden, ist ihre Absicherung meist weit weniger effektiv als bei häufiger genutzter Hardware. Aber es ist auch hier oft nur eine Frage der Zeit, bis Angreifer die Schwachstellen finden. Zudem sind viele Hersteller nicht in der Lage oder nicht gewillt, neu bekannt gewordene Sicherheitslücken innerhalb kurzer Zeit zu schließen.
-
Mangel an Verschlüsselung: Sowohl bei ruhenden als auch bei sich in Bewegung befindenden Daten mangelt es immer wieder an ihrer Verschlüsselung. Das gilt selbst bei Produkten, die direkt mit IP-Netzen verbunden sind. Nicht verschlüsselte Daten können im Netzwerk jedoch leicht mitgeschnitten oder direkt von dem Gerät geklaut werden, auf dem sie gelagert werden.
Schwachstellen in der Hardware
In den Medien finden sich nahezu täglich Nachrichten über Bedrohungen für Hardware und über Lücken in Hardware. So haben etwa Anfang 2020 Sicherheitsforscher vor einer Schwachstelle in Prozessoren von Intel gewarnt, die es Angreifer ermöglicht, Malware auf der Hardware-Ebene zu installieren. Schutzmaßnahmen im Betriebssystem können damit umgangen werden.
Im Laufe des Jahres 2020 musste dann Nvidia einen Patch veröffentlichen, um eine kritische Hardware-basierte Schwachstelle zu schließen. Sie erlaubte es einem Angreifer, die Kontrolle über DGX-Server zu übernehmen. Diese gehören zu den wichtigsten Produkten des Herstellers. DGX-Server werden in Unternehmen zum Beispiel eingesetzt, um fortgeschrittene KI- und Machine-Learning-Berechnungen durchzuführen. Oft verarbeiten sie dabei auch vertrauliche Daten, die aufgrund der Lücke in fremde Hände gelangen können.
Ein letztes Beispiel, das für Unruhe in zahlreichen Meeting-Räumen sorgte: In einer intelligenten Fernsteuerungslösung von Comcast wurde eine Hardware-basierte Schwachstelle gefunden. In Verbindung mit einer modifizierten Firmware-Version war es möglich, die im Raum anwesenden Personen zu belauschen. Unabhängige Sicherheitsforscher hatten die Schwachstelle aufgespürt und Comcast informiert. So konnte das Unternehmen einen Patch bereitstellen und automatisch auf die betroffenen Endgeräte verteilen.
Strategien um Sicherheitsproblemen bei der Hardware zu begegnen
Hardware-basierte Sicherheitsrisiken unterscheiden sich von Software-basierten Gefahren. Oft wirken sie sich zum Beispiel nur auf eine Handvoll Nischenprodukte aus. Diese sind zwar nicht so weit verbreitet wie andere Lösungen.
Die IT-Security-Mitarbeiter in einem Unternehmen kennen sich mit ihnen aber meist kaum oder sogar gar nicht aus. Um den Schutz vor solchen Bedrohungen in einem Unternehmen zu erhöhen, empfiehlt sich zuerst eine vollständige Bestandsaufnahme aller mit dem Firmennetz verbundenen Endgeräte zu erstellen. Im nächsten Schritt lässt sich prüfen, welche Dokumentationen die Hersteller bereitstellen und wie sich Security- und Firmware-Patches herunterladen und installieren lassen. Im Idealfall sollten sich diese Aktualisierungen automatisiert einspielen lassen.
Ein besonderes Augenmerk sollte dabei allen Geräten gelten, die sich mit dem Netzwerk verbinden. Legen Sie fest, ob Sie ihnen trauen oder nicht. In manchen Fällen werden Sie feststellen, dass bestimmte Hardware vom Hersteller überhaupt nicht mehr unterstützt wird. Dann sind auch keine Patches mehr zu erwarten.
In anderen Fällen kommen manche Produkte möglicherweise von einem Anbieter, dem aus anderen Gründen nicht mehr zu trauen ist. So oder so müssen Sie Entscheidungen darüber treffen, welche Risiken Sie in Bezug auf die vorhandene Hardware einzugehen sind. Eventuell ist es besser, neue Hardware anzuschaffen, die von Grund auf sicher ist und außerdem noch für einen garantierten Zeitraum durch den Hersteller mit Security-Patches versorgt wird.
Nach diesen Bestandsaufnahmen sollten Sie außerdem dafür sorgen, dass Ihre Hardware-Produkte auch in Zukunft überwacht werden. Hier sind Werkzeuge zur Network Detection and Response sehr nützlich. Sie nutzen moderne KI-Techniken, um festzustellen, wie das übliche Verhalten im Netzwerk aussieht. Später lösen sie dann einen Alarm aus, wenn das Verhalten bestimmte vorher definierte Grenzen überschreitet. Hardware, die plötzlich von „der Norm“ abweicht, ist immer wieder ein untrügliches Zeichen dafür gewesen, dass ein bislang unentdeckter Einbruch erfolgt ist.
