:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit im Internet der Dinge Grundlagen der IoT-Sicherheit
Das Internet of Things (IoT) kann der Wirtschaft große Vorteile bieten, allerdings werden bei der Umsetzung wichtige Sicherheitsmechanismen häufig vernachlässigt. Das kann schnell zum Stolperstein der Digitalisierung werden. Um wirksame Security-Konzepte für das Internet der Dinge und eine damit verbundene, erfolgreiche Modernisierung zu entwickeln, muss man aber zunächst die Grundlagen des heutigen Begriffs IoT verstehen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Aktuell erlebt man eine Phase, bei welcher Unternehmen durch intelligente Geräte versuchen, die größtmögliche Kommunikation einzelner Geräte untereinander immer und überall zu erreichen, um die Informationen permanent und überall verfügbar zu haben. Das können zum einen einfache Anwendungen sein, wie zum Beispiel intelligente Stromzähler, welche den aktuellen Stromverbrauch dem Energielieferanten übermitteln, aber auch komplexe Installationen, wie Autoelektronik, welche Daten zur Erhöhung der Sicherheit und zur Verbesserung des Verkehrsflusses über das Internet übermittelt und somit ein intelligentes Netzwerk schafft, von welchem alle Teilnehmer profitieren können. Allerdings sind gerade deutsche Unternehmen skeptisch, da IoT als unsicher gilt oder häufig in Bezug mit Botnets wie Mirai genannt werden.
Dabei muss man verstehen, dass IoT an sich kein neues Phänomen ist, sondern einen Prozess beschreibt, der sich seit Jahren abgezeichnet hat. Durch das breite Angebot und zahlreiche Schlagzeilen ist das Internet der Dinge aber erst in den letzten Jahren sehr populär geworden. Vor allem in Bezug auf Sicherheitsrisiken. Das BSI schreibt in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2017 (pdf) dazu: „Die IT-Sicherheit spielt bei IoT-Geräten bisher jedoch keine oder nur eine untergeordnete Rolle. Für eine Kaufentscheidung des Kunden sind in der Regel die Gerätefunktionalität und der damit verbundene Komfortgewinn sowie der Kaufpreis ausschlaggebend. Dies führt dazu, dass ein neuer Bereich der Gefährdung entsteht, eine größere Angriffsfläche, die von Cyber-Kriminellen für ihre Zwecke genutzt werden kann.“
:quality(80)/images.vogel.de/vogelonline/bdb/1378000/1378030/original.jpg "Moderne Schiffe sind in vielen Fällen schwimmende Computernetzwerke und dementsprechend ähnlich anfällig für Cyber-Angriffe, die Gefahr wird aber von den Reedereien noch immer unterschätzt. (donvictori0 - stock.adobe.com)")
Schadprogramme als Steuermann
Schifffahrt in der IoT-Falle
Es besteht kein Zweifel, dass IoT große Vorteile für die Wirtschaft liefert, allerdings werden bei Integration der neuen Innovation Sicherheitsmechanismen häufig vernachlässigt. Die meisten IoT Geräte werden vor dem Hintergrund der Funktionalität und nicht in Bezug auf Sicherheit entwickelt. Diese Erkenntnis des BSI kann schnell zum Stolperstein der Digitalisierung werden. Um wirksame Konzepte für eine erfolgreiche Modernisierung zu entwickeln, muss man die Grundlagen des heutigen Begriffs IoT verstehen.
Grundbausteine der digitalen Integration verstehen
Im engeren Sinne benennt der Begriff IoT die neuartigen Endpunkte, die sich nicht den klassischen Device-Kategorien wie Desktopcomputer, Server oder Mobilgeräte zuordnen lassen. Allerdings gibt es intelligente Produktionsmaschinen oder digitale Telefonanlagen, die schon wesentlich älter sind als der Begriff „Internet der Dinge““. Auch die drastische Zunahme von Endpunkten in Netzwerken an sich ist nicht neu.
Immer wieder gab es durch Innovation Digitalisierungsschübe: Mitte der 90er-Jahre veränderten die PCs die Büroarbeit und stationäre Desktop-Computer wurden üblich; 1995 waren rund 200 Millionen Endgeräte im Netz. Der nächste Schritt folgte 2005 mit den tragbaren Laptops, die die Zahl der vernetzten Geräte auf eine Milliarde erhöhten. Nicht lange danach, ab ungefähr 2010, führten die Smartphones zu einer erneuten Ausweitung der Netzwerke, und heute sind 10 Milliarden Geräte online. Durch IoT wird sich laut diese Zahl laut Gartner bis 2020 nochmals verdoppeln.
Im Rahmen dieser Entwicklung gab es mehr als eine wichtige Innovation, die den heutigen Grad der Vernetzung erst ermöglichen. Einerseits sind die Preise für Sensortechnologien deutlich gesunken, so dass es überhaupt erst kosteneffizient möglich ist, unterschiedliche Geräte zu digitalen Ökosystemen verbinden zu können. Zudem erlaubte die Umstellung von IPv4 auf IPv6 erst die Verwaltung auch von sehr vielen IP-Adressen in einem Netzwerk. Zudem wurden Mobil- und Breitbandnetzwerke ausgebaut, sodass große Datenmengen jederzeit von nahezu überall austauschbar sind.
Dies sind nur einige Beispiele, die Grundlagen für Maschine-zu-Maschine-Kommunikation (M2M), Big Data-Analysen und Cloud-Computing schaffen – all das sind wichtige Faktoren, die zu einer massiven Zunahme der IoT-Geräte führen und bei dem Aufbau einer passenden Sicherheitsstrategie bedacht werden müssen.
:quality(80)/images.vogel.de/vogelonline/bdb/1389100/1389112/original.jpg "Cybersecurity ist eines der Kernthemen der Hannover Messe 2018. (Pixabay)")
Hannover Messe 2018
16 Security-Lösungen für eine sichere Industrie
Schlüssel für sicheres IoT: Schwachstellen und Patch-Management
Die Verbindung solcher Innovationsmeilensteine ergibt ein IoT-Mosaik, leider mit den benannten Sicherheitsproblemen. Egal, ob IoT, klassische Software oder Hardware: Endgeräte-Hersteller und Nutzer müssen akzeptieren, dass jedes Gerät, dass auf Basis von Internetprotokollen kommuniziert, zum Angriffsvektor werden und Schwachstellen enthalten kann. Daher sollten alle Geräte regelmäßig geprüft werden und grundsätzlich Updates unterstützen. Die Fähigkeit, Schwachstellen zu erkennen und zu patchen ist die wichtigste Herausforderung. Es wird immer Endgeräte geben, die unsicher sind, daher ist es wichtig, dass auch nach dem Verkauf Updates auf Geräte eingespielt werden und Patches zeitnah verfügbar sind. Genau hier hapert es aktuell. In der Tat gibt es viele smarte Geräte, die keine Softwareupdates unterstützen. Allerdings ist unzureichendes Patch-Management und mangelhafte Prüfung auf Schwachstellen ebenfalls nicht neu, sondern so alt wie die IP-Technologie selbst. Immer wieder bleiben bekannte Schwachstellen ungepatched, obwohl passende Updates verfügbar sind. Speziell, wenn Unternehmen ihr Angebot digitalisieren, verzögert sich oft das Ausrollen von wichtigen Updates, oder einzelne Subsysteme werden einfach übersehen und erhalten nicht die nötigen Updates. Cyberkriminellen fällt es dann relativ leicht, das schwächste Glied in der Kette zu finden. Aktuelle Daten hierzu liefert der Annual Cybersecurity Report von Cisco. Dort hat man IoT-Geräte auf die Anfälligkeit auf bekannte Schwachstellen geprüft und stellte fest, dass 83 Prozent aller IoT-Endpunkte immer noch verwundbar waren.
Das Wichtigste ist daher zuerst, einen Überblick über die gesamte IT Infrastruktur zu haben, d.h. jedes Gerät, welches mit dem Netzwerk verbunden ist, muss bekannt sein. Nur was bekannt ist, kann man auch prüfen und absichern. Genau hier beginnen die Probleme: viele Unternehmen haben keine aktuelle Übersicht, da sie keine Technologien zur Inventarisierung einsetzen und diese oftmals noch von Hand durchführen und daher oftmals mit veralteten Daten arbeiten. Als nächstes sollte eine permanente Prüfung auf eventuelle Schwachstellen durchgeführt werden und die Geräte, sofern möglich, auf den aktuellsten Stand durch das Einspielen von Updates gebracht werden.
Auf diese Weise können Unternehmen globale Risiken im Zusammenhang mit neuen Zero-Day-Bedrohungen und anderen Schwachstellen, die aktiv ausgenutzt werden, schnell bewerten und priorisieren. Sollten sich IoT-Geräte mit bekannten Schwachstellen, aber ohne Möglichkeit,diese zu patchen, im Netzwerk befinden, so sollten diese erkannt und entsprechend segmentiert und von dem Produktionsnetzwerk abgetrennt werden. In jedem Fall macht es dabei Sinn, auf automatisierte Tools zurückzugreifen, welche regelmäßig die Inventarisierung und Analyse des Netzwerks vornehmen, um die IT-Abteilungen entlasten, sonst geraten diese durch die wachsende Anzahl an Endpunkte unter starken Druck. Passende Lösungen sollten in der Lage sein, IoT-Devices neben anderen Netzwerkkomponenten zu erfassen, um diese in Gesamtkontext der gesamten Infrastruktur zu bewerten.
:quality(80)/images.vogel.de/vogelonline/bdb/1336600/1336632/original.jpg "Immer mehr Firmen außerhalb der Tech-Industrie starten erfolgreiche Bug Bounty Programme. (Pixabay)")
Vulnerability Reward Programs
Bug-Bounty-Programme erfolgreich nutzen
Hersteller in der Pflicht
Gleichzeitig müssen Vertreiber und Hersteller von IoT aktiv werden und sich stärker auf das Thema Sicherheit fokussieren. Microsoft hat für seine Geräte den monatlichen „Patch Tuesday“ etabliert und IoT-Vendors sollten ähnliche Mechanismen einführen. Die Einspielung und Prüfung der Updates muss über alle Systeme und Netzwerksegmente erfolgen – inklusive aller Endpunkte und involvierten Partner wie Dienstleister und Cloudapplikationen.
Außerdem macht es Sinn, durch Bug Bounty-Programme im Rahmen von Responsible Disclosure Agreements durch Kommunikation und Transparenz andere Akteure aktiv beim Ausmerzen von Vulnerabilities mit einzubeziehen. Das BSI spricht von einer Veröffentlichungsfrist von 90 Tagen, bevor man eine Schwachstelle öffentlich kommuniziert. Auch für Medien und Entdecker außerhalb des betroffenen Unternehmens gilt diese Vorgabe, ansonsten droht Gefahr für die Nutzer.
:quality(80)/images.vogel.de/vogelonline/bdb/1367100/1367103/original.jpg "Der vermehrte Einsatz vernetzter Geräte wirft erhebliche Sicherheitsprobleme auf. Das gibt Anlass, bestehende Sicherheitsstrategien neu zu überdenken. (© leowolfert - stock.adobe.com)")
Mehr Sicherheit im Internet der Dinge
Internet of Things – neue Strategien für die IoT-Sicherheit
Fazit
IoT bis zu einem gewissen Grad ein Hype-Thema gewesen; die Veränderung ist bisher weniger spürbar, als man vor einigen Jahren gedacht hat. Gerade bei Themen wie der Industrie 4.0 ist die Vernetzung über die Unternehmensfirewalls hinaus weniger stark vorangeschritten, als man angenommen hat. Trotzdem spielt IoT eine wichtige Rolle bei der digitalen Integration und stellt wichtige Weichen für den wirtschaftlichen Erfolg.
Damit die erhofften Vorteile von IoT genutzt werden können, braucht es die richtigen Sicherheitsgrundlagen. Nur mit den richtigen Schutzmechanismen kann die Innovation von smarter Technologie nachhaltig genutzt werden. Daher müssen Anbieter und Nutzer dafür Sorge tragen, dass IoT genau wie jedes andere IP-Gerät regelmäßig auf Schwachstellen geprüft und entsprechend aktualisiert werden.
Über den Autor: Jörg Vollmer ist Country Manager DACH bei Qualys.
(ID:45286193)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")