Sicherheit trotz IoT

Risiken durch vernetzte Geräte erkennen und vermeiden

| Autor / Redakteur: Mathias Widler* / Peter Schmitz

Unternehmen setzen oft IoT-Geräte wie Kameras, Drucker und IP-Telefone ein. Viele davon nutzen unverschlüsseltes HTTP zur Authentisierung und sind so anfällig für Datendiebstahl und Man-in-The-Middle-Attacken (MiTM).
Unternehmen setzen oft IoT-Geräte wie Kameras, Drucker und IP-Telefone ein. Viele davon nutzen unverschlüsseltes HTTP zur Authentisierung und sind so anfällig für Datendiebstahl und Man-in-The-Middle-Attacken (MiTM). (Bild: Collage VIT)

Das Internet of Things mit seiner Vielzahl an Geräten rückt verstärkt ins Visier von Hackern als Einfallstor in Unternehmen. Das zeigen nicht zuletzt die kürzlichen DDoS-Attacken, die erst über Internet-fähige Geräte möglich wurden. Wir haben das Gefahrenpotenzial unter die Lupe genommen und darauf basierend Guidelines für den sicheren Einsatz von IoT im Unternehmen formuliert.

Wenn von Internet of Things (IoT) die Rede ist, sind all jene Geräte im Unternehmenseinsatz gemeint, die intern und extern kommunizieren und aufgrund ihrer IP-Adresse über das Internet erreichbar sind. Oftmals sind sich Firmen gar nicht bewusst, in welcher Größenordnung solche Geräte bereits Einzug in den Unternehmensalltag gehalten haben und wo diese überall zu finden sind. Denn unter dem großen Oberbegriff des Internet of Things lassen sich verschiedenste Kategorien subsummieren.

Sie stellen durch die Internet-Anbindung einen potenziellen Angriffsvektor für Eindringlinge dar. Die Problematik entsteht unter anderem dadurch, dass eine Vielzahl dieser Geräte nicht mit einer adäquaten Sicherheitsinfrastruktur ausgerüstet ist. In Bezug auf Cyber-Security hinken die Internet of Things Hardware-Hersteller etwa ein Jahrzehnt hinter den marktüblichen Sicherheitsstandards hinterher und müssen erst lernen, die Sicherheitsfunktionalität in ihre Geräte zu implementieren, um die Gefahr des unerwünschten Zugriffs auf die Geräte und deren generierten Daten zu unterbinden.

Fast täglich hört man von neuen Distributed-Denial-of-Service-Attacken (DDoS), die über Internet-of-Things-Geräte erfolgen. Da die Geräte meist nur unzureichende Sicherheitsinfrastruktur integriert haben, ermöglichen sie Angreifern die Möglichkeit, darüber Zugang auf Unternehmensnetzwerke zu erhalten, so dass Malware für weiterführende Angriffe oder Datendiebstahl eingeschleust werden kann. Die Geräte selbst können über ihre IP-Anbindung zudem für schädliche Zwecke missbraucht werden, wie etwa zur Spionage über fremdgesteuerte Kameras und Mikrofone.

Konkrete Gefahrenlage durch IoT

Der Internet-Security-Spezialist Zscaler hat nun in seiner Security Cloud die Gefahrensituation untersucht, die von IoT-Geräten seiner Kunden ausgeht, deren Traffic durch die Zscaler-Cloud läuft. Die zweimonatige Analyse von August bis Oktober verfolgte darüber hinaus das Ziel herauszufinden, ob diese Geräte in die prominenten DDoS-Attacken dieser Monate involviert waren. Die Untersuchung konzentrierte sich vor allem auf die Faktoren Gerätetyp, genutzte Protokolle der Geräte, Lokation der Server mit denen kommuniziert wird und die Häufigkeit der In- und Outbound-Kommunikation. Zusätzlich wurde der IoT-Datenverkehr an Tagen von DDoS-Attacken auf ungewöhnliches Verhalten, wie Bandbreiten-Ausschläge oder Variationen des Ziels des IoT-Datenverkehrs überprüft.

Die Analyse mittels der weltgrößten Security Cloud ergab, dass die Kunden in ihren Netzwerken vor allem IoT-Geräte wie Kameras, Home Entertainment-Systeme, Drucker und IP-Telefone verwenden. Viele der untersuchten Geräte setzten die Kunden mit unverschlüsselten HTTP-Protokollen zum Authentisieren und für Firmware-Updates ein. Dadurch sind sie zudem verstärkt anfällig für Datendiebstahl und Man-in-The-Middle-Attacken (MiTM).

Die Analyse des IoT-Datenverkehrs zum Zeitpunkt der DDoS-Angriffe hat keine Bandbreiten-Ausschläge gezeigt, die auf eine Kompromittierung der Geräte hindeuten, deren Traffic durch die Zscaler-Cloud läuft. Die über die Malware Mirai ausgeführten Attacken benutzen das Telnet- und SSH-Protokoll zur Infektion von Geräten. Da jedoch die meisten Unternehmen den externen Zugriff auf diese Protokolle untersagen, ist der Zugang über HTTP und HTTPS eine deutlich gängigere Methode.

Worauf Unternehmen beim Einsatz von IoT-Geräten achten sollten

Die Schadsoftware Mirai hat gezeigt, wie Malware durch zielgerichtete DDoS-Attacken einen hohen Schaden anrichten kann. Auf Basis der eigenen Untersuchungsergebnisse hat Zscaler eine Guideline formuliert, was Unternehmen beim Umgang mit IoT-Geräten im Netzwerk beachten sollten.

1. Wie können Unternehmen feststellen, ob Geräte in eine Attacke involviert waren?

Wenn ein Gerät bei für DDoS-Angriffe benutzt wird, während es sich im Unternehmen befindet, ließen sich mit hoher Wahrscheinlichkeit Anomalien und höhere Ausschläge im Datenverkehr erkennen, da bei einer solchen Attacke das Opfer mit Anfragen bombardiert wird. Sollten sogar mehrere Geräte betroffen sein und an einem DDoS-Angriff mitwirken, würde die durch diesen Datenstrom genutzte Bandbreite den gesamten restlichen Verkehr des Unternehmens deutlich verlangsamen.

2. Was können Mitarbeiter tun, die befürchten, dass ihr Gerät an einer Attacke mitwirkte?

Die Empfehlung von Zscaler lautet, dass Gerät aus dem Netzwerk zu nehmen und auf die Werkseinstellungen zurückzusetzen und dabei die Zugangsdaten zu verändern, sodass es deutlich besser vor externen und ungewollten Zugriffen geschützt ist (siehe unten). Erst danach sollte das Gerät wieder mit dem Netz verbunden werden.

Anmerkung: Viele IoT-Geräte unterstützen eine Vielzahl an Management-Protokollen (SSH/Telnet/HTTP/HTTPS) über die gleiche Netzwerk-Schnittstelle. Lediglich den Nutzungszugang für die Web-Administration zu ändern reicht also nicht aus, da die Geräte noch über weitere Protokolle mit externen Netzwerken kommunizieren. Es wird dringend empfohlen, den Inbound-Wartungszugriff von externen Netzwerken auf HTTPS zu beschränken.

3. Wie kann man Sicherheit für IoT-Geräte bereitstellen?

Sowohl für Unternehmen als auch für Hersteller von IoT-Geräten gibt Zscaler Empfehlungen, um Attacken zu vermeiden und die Geräte von vornherein zu schützen.

Für Unternehmen gilt, dass der Zugang von externen Netzwerken auf die IoT-Geräte auf ein Minimum beschränkt wird. Das bedeutet, dass alle externen Zugänge und Ports, die nicht notwendig sind, blockiert werden sollten. Ein höheres Sicherheitsniveau bieten komplexere Zugangseinstellungen. Des Weiteren sollten Unternehmen IoT-Geräte nur an isolierte Netzwerke anschließen, die klare Beschränkungen sowohl beim Inbound- als auch beim Outbound-Verkehr aufweisen. Nicht zuletzt ist es wichtig, dass Unternehmen einen Prozess aufsetzen, um regelmäßige Sicherheits- und Firmware-Updates durchzuführen und generell den Datenverkehr des Netzwerks absichern.

Auch Hersteller von IoT können einiges beachten, damit Attacken gar nicht erst zum Erfolg führen. Zunächst sollten Gerätehersteller die Änderung des voreingestellten Passworts bei der Installation verlangen, die für alle unterstützten Management-Protokolle gelten sollte. Es ist zudem wichtig, dass Sicherheits- und Firmware-Updates auf dem Gerät automatisch durchgeführt werden.

* Mathias Widler ist Area Director & Managing Director EMEA Central bei Zscaler.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44443713 / Internet of Things)