Suchen

Risikopotentiale im Internet of Things Die 10 risikoreichsten IoT-Geräte

| Autor / Redakteur: Kristian von Mejer / Peter Schmitz

Wenn es um verwundbare IoT-Systeme geht denken Viele zuerst an moderne Smart-Devices wie digitale Assistenten oder Smart Watches. Dabei liegen die größten Risiken bei typischerweise unverwalteten IoT-Geräten aus den Bereichen Smart Building, Gesundheitswesen, Netzwerk und VoIP und Betriebstechnik.

Firmen zum Thema

Zu den riskantesten Gruppen von IoT-Geräten gehören intelligente Gebäudesteuerungen, medizinische Geräte, Netzwerkgeräte und VoIP-Telefone.
Zu den riskantesten Gruppen von IoT-Geräten gehören intelligente Gebäudesteuerungen, medizinische Geräte, Netzwerkgeräte und VoIP-Telefone.
(Bild: gemeinfrei / Pixabay )

Eine aktuelle Untersuchung von ForeScout zeigt auf, welche IoT-Geräte besondere Risiken ausstrahlen. Die Daten veranschaulichen, welche Geräte in welchen Unternehmensbereichen das größte Risiko für eine Kompromittierung darstellen. Dies hilft den Sicherheitsteams, sich je nach Bedrohung auf die Schlüsselbereiche zu konzentrieren. Der Faktor Zeit spielt dabei eine wichtige und nicht zu unterschätzende Rolle. Das anfälligste und kritischste Einfallstor sollte besonders schnell geschlossen werden, um das Eindringen durch Cyberkriminelle in das eigene Netzwerk zu verhindern. Doch was sind die 10 größten Einfallstore?

Die riskantesten IoT-Geräte, gruppiert nach Branchen.
Die riskantesten IoT-Geräte, gruppiert nach Branchen.
(Bild: ForeScout)

Um die risikoreichsten Gerätefunktionen zu bestimmen, macht es Sinn, zunächst einen individuellen Risiko-Score für jedes Gerät zu ermitteln. Die folgende Abbildung veranschaulicht die zehn risikoreichsten Gerätetypen in ausgesuchten Branchen und hebt solche hervor, die sich IT-Sicherheitsteams genauer ansehen sollten. In der Abbildung sind die Gerätefunktionen wie folgt gruppiert:

  • Zu den Smart Building-Geräten gehören HVAC-Systeme, IP-Kameras, physische Zugangskontrolle, Notfall-Kommunikationssysteme und Beleuchtung.
  • Zu den Geräten im Gesundheitswesen gehören HL7-Gateways, PACS-Archive (Picture Archiving and Communication System), Strahlentherapiesysteme, Radiologie-Arbeitsplätze und Sterilisation.
  • Zu den Netzwerk- und VoIP-Geräten gehören Netzwerkmanagement, Firewalls, Out-of-Band-Controller, Router oder Switches, VoIP-Server, Seriell-zu-IP-Konverter und Wireless Access Points.
  • Zu den betriebstechnischen Geräten gehören USV, PLCs und Roboter.
  • Andere IoT-Geräte sind Drucker, Videokonferenzen, Pneumatikschlauch-Systeme, Verkaufsstellen (POS) und an das Netzwerk angeschlossene Lager.

Die meisten dieser Gerätetypen warten mit vielen offenen Ports, Verbindungen und Schwachstellen auf. Mit Ausnahme der Netzwerkgeräte handelt es sich bei allen Typen primär um nicht verwaltete Geräte. Obwohl typische IT-Workstations aufgrund der Hardware-/Software-Fragmentierung nicht in der Auflistung enthalten sind, gehören sie immer noch zu den wichtigsten Einfallstoren im Unternehmensnetzwerk. Angriffe unter Ausnutzung dieser Workstations beginnen in der Regel mit Phishing, bösartigen E-Mails oder infizierten Webseiten. Darauf folgen laterale Bewegungen innerhalb der Active Directory-Domäne.

Die 10 risikoreichsten IoT-Geräte

Neben der Analyse des Risikoniveaus von Gerätegruppen sowie deren Verteilung innerhalb der Branchen haben die Forescout Research Labs das Risiko gemessen, das von bestimmten Gerätefunktionen und -typen ausgeht.

Auflistung der 10 risikoreichsten IoT-Geräte.
Auflistung der 10 risikoreichsten IoT-Geräte.
(Bild: ForeScout)

Die Abbildung veranschaulicht die zehn risikoreichsten Geräteklassen. Sie sind zwar bei weitem nicht die einzigen Klassen, die von Sicherheitsteams überwacht werden sollten, aber zählen sicher zu den wichtigsten. Zu beachten ist, dass all diese Geräte typischerweise nicht verwaltet werden.

1. Lösungen für die physische Zugangskontrolle: Diese Geräte werden zum Öffnen oder Schließen von Türschlössern mit autorisierten Ausweisen verwendet. In den Untersuchungen wurde festgestellt, dass sie häufig mit offenen Ports (einschließlich Telnet-Port 23) konfiguriert und mit anderen riskanten Geräten verbunden sind sowie schwerwiegende gemeldete Schwachstellen enthalten.

2. HLK-Systeme: Es wurde festgestellt, dass Geräte aus dem Bereich Heizung, Lüftung, Klimatechnik (HLK) ebenfalls mit kritischen offenen Ports (einschließlich Telnet) konfiguriert und mit anderen riskanten Geräten verbunden waren sowie einige kritische Schwachstellen enthielten, welche eine vollständige Übernahme eines Geräts ermöglichen (CVE-2015-2867 und CVE-2015-2868).

3. Netzwerk-Kameras: Untersuchte IP-Kameras weisen Dutzende von schwerwiegenden Schwachstellen auf (z.B. CVE-2018-10660). Sie sind normalerweise mit kritischen Ports wie SSH-Port 22 und FTP konfiguriert.

4. SPS/PLC: Die hier identifizierten speicherprogrammierbaren Steuerungen (SPS, englisch: programmable logic controller, PLC) , weisen schwerwiegende Schwachstellen auf (zum Beispiel CVE-2018-16561). Ihre potenziellen Auswirkungen sind sehr hoch, da PLCs kritische industrielle Prozesse steuern. (Die berüchtigte Stuxnet-Malware beispielsweise zielte auf S7-Systeme ab, die zur Urananreicherung verwendet werden). Dennoch werden diese Geräte niedriger eingestuft als die ersten drei, da sie in der Stichprobe weniger offene Ports und eine geringere Konnektivität aufweisen.

5. Strahlentherapie-Systeme: Es wurden keine Schwachstellen für diese Geräte gemeldet, jedoch wurde festgestellt, dass sie mit vielen offenen kritischen Ports (einschließlich Telnet) und Konnektivität zu anderen riskanten medizinischen Geräten konfiguriert sind. Die Auswirkungen der Ausnutzung dieser Geräte sind von Natur aus hoch.

6. Out-of-Band-Controller: Damit ist ein Out-of-Band-Controller für Server gemeint, der in die Hauptplatine integriert ist und eine Schnittstelle zur Verwaltung und Überwachung der Server-Hardware bietet. Er enthält einen eigenen Prozessor, Speicher, Netzwerkanschluss und Zugriff auf den Systembus. In diesen Geräten wurden relevante Schwachstellen gefunden, wie beispielsweise CVE-2015-7272, welche über SSH ausgenutzt werden können (Port 22 war in all diesen Geräten im Datensatz offen), um einen Denial-of-Service-Angriff zu erreichen und CVE-2019-13131, welche über SNMP ausgenutzt werden kann (Port 161 war in den meisten iDRAC-Geräten im Datensatz offen), um Remote-Codeausführung zu erreichen.

7. Radiologie-Workstations: Diese Workstation ist üblicherweise mit vielen peripheren Systemen in Gesundheitsversorgungseinrichtungen verbunden, wie zum Beispiel Radiologie-Informationssystemen, PACS, elektronischen Patientenakten und vielem mehr. Im Fall von Strahlentherapiesystemen gibt es keine gemeldeten Schwachstellen. Es wurde jedoch festgestellt, dass diese Geräte mit vielen offenen kritischen Ports und Konnektivität zu riskanten Geräten konfiguriert sind. Die Auswirkungen der Ausnutzung sind ebenfalls sehr hoch, da es sich um eine Workstation handelt, an der gängige Angreiferwerkzeuge leicht angepasst werden können, um Persistenz zu erreichen oder innerhalb eines Gesundheitsnetzwerks zu schwenken.

8. Bildarchivierungs- und Kommunikationssysteme (PACS): PACS sind medizinische Bildgebungssysteme, welche die Speicherung, den Abruf, die Verwaltung, die Verteilung und die Präsentation von medizinischen Bildern ermöglichen. Die Untersuchung fand Schwachstellen in diesen Systemen (zum Beispiel CVE-2017-14008 und CVE-2018-14789). Aufgrund ihres Platzes im Netzwerk und ihres Anwendungskontexts weisen sie ein ähnliches Risikoprofil auf wie andere medizinische Geräte in der Forschungsstichprobe.

9. Drahtlose Zugangspunkte: Diese enthalten viele kritische Schwachstellen, darunter CVE-2017-3831 und CVE-2019-15261 und sind oft mit mehreren riskanten Gastgeräten verbunden.

10. Netzwerkmanagement-Karten: Diese enthalten viele kritische Schwachstellen. Die Karten werden zur Fernüberwachung und -steuerung einzelner USV-Geräte verwendet. Neben dem Vorhandensein bekannter Schwachstellen (Beispielsweise CVE-2018-7820), hoher Konnektivität und offener Ports haben diese Geräte die interessante Fähigkeit, die Protokolle BACnet/IP und Modbus/TCP zu unterstützen, was wiederum die Konvergenz von intelligenter Gebäudetechnik mit der IT-Infrastruktur unterstreicht.

Fazit

Um Sicherheitsrisiken, welche durch aktuelle Schwachstellen entstehen, zu begegnen, sollten Unternehmen zuerst alle Geräte in ihrem Netzwerk inventarisieren. Sie müssen Kontrollen zur Risikominderung durchzusetzen und Patch-Updates priorisieren. Die hier aufgezeigten 10 Klassen an typischerweise unverwalteten IoT-Geräten bieten eine große Angriffsfläche. Segmentierung, Isolierung und Kontrolle des Netzwerkzugriffs für gefährdete Geräte tragen daher zur Risikominderung bei. Automatische Alarme zur Information von IT-Sicherheitsabteilungen und Incident Response-Teams helfen dabei, die Spreu vom Weizen zu trennen und die wichtigsten Sicherheitsvorfälle frühzeitig zu erkennen.

Über den Autor: Kristian von Mejer ist Global Account Executive bei ForeScout Technologies.

(ID:46802818)