Cybersecurity im IoT Die Zukunft der IoT-Sicherheit liegt in der Edge

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Insider Research

TXOne Networks

Emnify

Die "Secure Access Service Edge" (SASE) bietet einheitliche Security-Funktionen aus der Cloud für eine beliebig große Anzahl von IoT-Geräten und bildet damit wahrscheinlich die Zukunft der IoT-Sicherheit.

Sensoren senden Messergebnisse, GPS-Transponder ermitteln die Position von Fahrzeugen, Überwachungskameras bieten Echtzeit-Videostreams - die Zahl von IoT-Geräten im Mobilfunknetz steigt kontinuierlich. Vor allem das Industrial IoT ist in den letzten Jahren stark gewachsen, da Produktionsabläufe und Prozesse fortwährend digitalisiert und automatisiert werden. Der Trend wird so bald nicht aufhören: Schätzungen zufolge wird die Zahl der mobilfunkbasierten IoT-Geräte bis 2023 auf 3,5 Milliarden anwachsen.

Die Vernetzung wächst, doch Cybersecurity im IoT hat mit der Entwicklung nicht Schritt gehalten. Vor allem die hohe Anzahl der Endpunkte überfordert alle Sicherheitsprotokolle. Unternehmen fehlt oft die Möglichkeit, die Assets ausreichend zu überwachen und eine sichere Kommunikation zu garantieren. Nach einer Untersuchung von Palo Alto Networks arbeiten etwa 98 Prozent des gesamten IoT-Netzwerks unverschlüsselt. Sie sind damit hochgradig gefährdet und ein leichtes Ziel für Hacker. So gab es bereits bei 57 Prozent der Geräte kritische Sicherheitsverletzungen.

Niedrige Sicherheitsstandards erleichtern Cyberangriffe

Ungesicherte IoT Geräte sind ein hohes Risiko, sowohl für private als auch geschäftliche Nutzung. Bei diesen Geräten stehen eine stabile Verbindung und ein geringer Stromverbrauch sowie wettbewerbsfähige Preise im Vordergrund. Die Sicherheit der Geräte liegt häufig weniger im Fokus der Hersteller. Sie sind deshalb für eine Reihe von Cyberangriffen anfällig:

DNS-Poisoning / -Spoofing: Das Domain Name System (DNS) übersetzt die Aufrufe von Adressnamen in die eigentlichen, numerischen IP-Adressen. Verschiedene Angriffsarten erlauben es, die Antwort des DNS-Servers zu fälschen. Dadurch werden Webaufrufe auf andere Server umgeleitet - etwa auf eine gefälschte Webseite, die dann Passwörter erbeuten kann.

Calling home: Zahlreiche IoT-Geräte verbinden sich häufig mit dem Netzwerk des Herstellers, um beispielsweise Konfigurationsdaten oder Updates abzurufen. Dabei ist es möglich, dass gewollt oder ungewollt Daten im Hintergrund an unbefugte Dritte übermittelt werden.

DDoS (Distributed Denial of Service): Ein DDoS-Angriff überlastet Webserver durch ungewöhnlich viele Anfragen. Dafür werden gekaperte IoT-Geräte eingesetzt. Wegen ihres oft geringen Schutzes können vielfach hunderte oder tausende dieser Geräte zusammengeschaltet werden, um einen wirkungsvollen Angriff zu ermöglichen.

(Physischer) SIM-Karten-Diebstahl: Viele IoT-Geräte befinden sich ohne Überwachung an leicht zugänglichen Orten. In diesem Fall können die dort eingebauten SIM-Karten gestohlen werden. Der Dieb erreicht damit ein unbegrenztes Datenvolumen und unter Umständen den beliebigen Zugriff auf das komplette Netzwerk.

Im Internet der Dinge stoßen bisherige Sicherheitsmodelle an ihre Grenzen. Sie scheitern in erster Linie an der großen Zahl und der globalen Verteilung der Endpunkte. Dadurch entsteht ein großes, wenig überschaubares Netzwerk, das nur schwer abzusichern ist. Herkömmliche Sicherheitsverfahren gehen von einem zentralistischen Ansatz aus, bei dem sich alle IoT-Geräte mit einer einheitlichen Cloud verbinden, möglichst über ein getrenntes VPN und SSL/TLS-Verschlüsselung. Moderne Lösungen nutzen dagegen einen eher dezentralen Ansatz in der Edge, dem Rand eines Netzwerks.

Das IoT bereits in der Edge absichern

Secure Access Service Edge (SASE) ist eine Technologie, die softwaredefinierte Netzwerkfunktionen mit Netzwerksicherheit zusammenführt. Das Analystenhaus Gartner hat diesen Begriff geprägt und versteht darunter Security als cloudbasierter Service am Netzwerkrand. SASE optimiert die Netzwerkintegration, Sicherheit und Richtlinienverwaltung in einer zentral verwalteten Plattform.

Das Verfahren bietet für Unternehmensnetzwerke eine ganzheitliche Security-Strategie. Sie ist unabhängig davon, wo sich Geräte, Netz des Dienstanbieters und IoT-Anwendungen befinden. Der Vorteil: Sicherheitsrichtlinien werden direkt an den einzelnen Endpunkten in einem Netzwerk durchgesetzt. So rückt die Überwachung des Datenverkehrs auf Schwachstellen näher an die IoT Geräte heran.

Neben der erhöhten Netzwerksicherheit bietet SASE den Unternehmen noch einige weitere Vorteile, vor allem für den Einsatz einer großen Anzahl an IoT-Geräten:

• Es entsteht eine zentralisierte, Cloud-basierte Richtlinienverwaltung. Dadurch erhält das Unternehmen einen ganzheitlichen Überblick über die gesamte Geräte-Kommunikation und kann die einzelnen Sicherheitsdienste leichter konfigurieren.

• Richtlinien werden lokal durchgesetzt, sodass die Netzwerklatenz sinkt. Zugleich können Unternehmen spezifisch auf die Anforderungen ihrer Kunden an die Datenverarbeitung eingehen.

• Die einzelnen IoT-Geräte verbinden sich nicht mit einem VPN, sondern direkt mit der Cloud. Dadurch sind deutlich weniger Clients auf einem einzelnen Gerät nötig.

Kriterien für den Weg zu SASE

SASE ist kein Produkt, sondern ein Modell für die Konzeption der Netzwerksicherheit. Deshalb gibt es unterschiedliche Ansätze in der Anwendung. Unternehmen sollten bei der Auswahl eines geeigneten Anbieters insbesondere auf die folgenden Kriterien achten:

Dynamische Datenweiterleitung: SASE-Dienste verwirklichen Zugangskontrolle und Sicherheitsrichtlinien auf dezentrale Weise. Sie nutzen verschiedene PoPs (Points of Presence), durch die der Datenverkehr geleitet wird und das IP-Netzwerk entlastet. Als Konsequenz verbessert sich die Leistung der IoT-Anwendung und die Latenz sinkt.

Firewall as a Service (FaaS): Mit einem Firewall-Service sind global verteilte IoT-Geräte und -Anwendungen rund um die Uhr geschützt. Entscheidend sind die regelmäßigen Updates, die die Firewall jederzeit mit aktuellen Security-Informationen versorgen. Unerwünschter und schädlicher Netzverkehr kann direkt blockiert und legitime Verbindungen auf eine Whitelist gesetzt werden. Damit werden DDoS-Angriffen und unerwünschtem Home Calling die Grundlage entzogen.

DNS-Sicherheit: DNS-Server sind anfällig für viele Angriffsarten: Tunneling, DNS-Spoofing, Hijacking, Sub-Domain- oder Lock-up-Angriffe sowie Botnet-basierte CPE-Angriffe. Mit einem SASE-Dienst kann der private DNS-Server einer Cloud-Infrastruktur in ein Netzwerk integriert werden, ohne dass er über das öffentliche Internet zugänglich ist. Die Integrität und Verfügbarkeit des DNS werden so erhöht.

Bedrohungserkennung: Optimale IoT-Security bedeutet, viele Geräte gleichzeitig und umfassend zu überwachen. Allerdings sind sie in den meisten Fällen mit zu niedriger Rechenleistung ausgestattet, um diese Aufgabe selbst zu erfüllen. SASE-Dienste springen hier ein und übernehmen die Auswahl der Software, die Erkennung von Malware und ihre Blockade. Durch die Datensammlung in der Cloud erhalten Unternehmen außerdem einen umfassenden Einblick in ihre Gerätedaten für Analysen.

Fazit: Bedrohungsschutz für alle IoT-Geräte

Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die 3,5 Milliarden IoT-Geräte im nächsten Jahr sind nur ein Zwischenschritt. Umso wichtiger ist es, dass Schwachstellen geschlossen und Cyberangriffe abgewehrt werden. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. Sie bieten ihnen nicht nur Schutz, sondern senken gleichzeitig Kosten und Komplexität der Security-Lösungen.

Über den Autor: Martin Giess ist CTO und Mitgründer bei EMnify.

(ID:49259133)