:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Risiko Internet of Things IoT-Sicherheit fehlen die passenden Anreize
Dass Geräte im „Internet der Dinge“ (IoT, Internet of Things) Sicherheitslücken aufweisen, ist seit Jahren bekannt. Doch vergangenen Oktober, als Nutzer plötzlich nicht mehr auf Twitter zugreifen oder ihre Lieblingsfilme über Netflix streamen konnten, bekam die Öffentlichkeit einen kleinen Vorgeschmack auf die Konsequenzen dieser Schwachstellen. Um IoT-Sicherheit aber wirklich umzusetzen, scheint allen Beteiligten der nötige Anreiz zu fehlen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Der DDoS-Angriff auf die DNS-Infrastruktur (Domain Name System), der zum Ausfall einiger der beliebtesten Dienste und Websites führte, wurde durch ein Botnet aus IoT-Geräten verursacht. Ein deutliches Alarmsignal, das wachrütteln sollte.
In dieser Hinsicht war das IoT-Botnetz „Mirai“ ein Glücksfall – zumindest für alle, die sich zuvor vergeblich bemüht hatten, auf die Problematik aufmerksam zu machen. Denn von einer Sekunde auf die nächste war das bislang eher vernachlässigte Thema IoT-Sicherheit weltweit in den Schlagzeilen. Die einhellige Meinung war, dass nun irgendjemand irgendetwas unternehmen müsse. Doch wer?
:quality(80)/images.vogel.de/vogelonline/bdb/1091300/1091382/original.jpg "Der DNS-Anbieter Dyn.com wurde Opfer einer massiven DDoS-Attacke. (geralt - Pixabay)")
DDoS verursacht DNS-Probleme
Mirai-Botnet attackiert DNS-Anbieter Dyn.com
Schuld ist: Der Hersteller
IoT-Geräte sind für Angreifer ein attraktives Ziel, da viele Geräte mit unsicheren Standardeinstellungen ausgeliefert werden. Die standardmäßige Anmeldung mit einem Administratorkonto. Der offene Zugang zu Managementsystemen über die internetseitigen Schnittstellen der Geräte und die Auslieferung der Geräte mit unsicherem Code, der über das Netzwerk manipuliert werden kann, sind nur einige Beispiele. Ein Großteil der integrierten Systeme wird selten oder sogar nie aktualisiert, um Sicherheitslücken zu schließen. Tatsache ist, dass viele Hersteller solcher Geräte gar keine Updates bereitstellen.
Obwohl die Gerätehersteller seit Jahren über diese Sicherheitsmängel informiert sind, reagieren sie erst jetzt und versuchen nun, die Lücken zu schließen. Die Hard- und Software, die in einem Großteil der IoT-Geräte zum Einsatz kommt, stammt von einer überschaubaren Gruppe von Herstellern in Asien. 2014 veröffentlichte einer der größten Hersteller ein neues Softwarerelease, das einige der Probleme im Zusammenhang mit Standardpasswörtern löste. Allerdings erstreckten sich diese Patches nur auf die englischsprachige Version der Software. Für alle anderen Sprachen stehen die entsprechenden Patches bis heute aus.
Welche Beobachtungen wurden gemacht, als das Botnet „Mirai“ das Internet lahmlegte? Die Dichte von Mirai-Knoten war in China, Hongkong, Macao, Vietnam, Taiwan, Südkorea, Thailand, Indonesien, Brasilien und Spanien besonders hoch und viele der heutigen Mirai-Angriffe gehen von Ländern aus, in denen die Software in derselben nicht-englischen Sprachversion wie auf den IoT-Geräten ausgeführt wird.
Die Hersteller haben einige geringfügige Verbesserungen bezüglich der IoT-Sicherheit vorgenommen, haben aber bis heute keinen echten Anreiz, dies in einem umfassenderen Rahmen zu tun.
Schuld sind: Die Unternehmen
Wenn wir als Verbraucher an das Internet der Dinge denken, fallen uns Begriffe wie Automatisierung, Gesundheitsmonitoring und vielleicht noch künftiges autonomes Fahren ein. Für Unternehmen bietet das Internet der Dinge nahezu unbegrenzte Möglichkeiten. McKinsey kommt zu dem Schluss, dass „der Wertanteil von B2B-Anwendungen – mit bis zu 70 % – vermutlich deutlich höher liegen wird als im Consumer-Bereich.“
„Wenn Politik und Industrie die Weichen richtig stellen“, so McKinsey weiter, „lässt sich durch das Verknüpfen der physischen mit der digitalen Welt bis 2025 ein ökonomischer Gesamtwert von bis zu 11,1 Billionen USD pro Jahr erzielen.“
- Energieversorger: Über Sensoren im gesamten Stromnetz können Versorgungsunternehmen den Energieverbrauch fortlaufend überwachen und die Menge an erzeugtem Strom und dessen Verteilung für Spitzen- und Schwachzeiten optimal anpassen.
- Versicherungswirtschaft: Versicherer können Autofahrern, die einen Sensor in ihrem Fahrzeug installieren, Prämienpläne anbieten. Die nicht mehr auf Annahmen, sondern auf dem persönlichen Fahrverhalten basieren.
- Produzierende Industrie: Unternehmen können Sensoren für die Maschinenwartung und für den Arbeitsschutz und die Unfallvermeidung nutzen.
- Gesundheitswesen: Durch kontinuierliches Monitoring anstelle periodischer Untersuchungen und Tests lassen sich laut einer Studie des McKinsey Global Institute die Behandlungskosten um 10 bis 20 % senken – allein schon bei Patienten mit Herzinsuffizienz sind dies mehrere Milliarden Dollar.
Welchen Anreiz gibt es für Unternehmen, diese Entwicklung nicht voranzutreiben? Eigentlich keinen.
Und was ist mit uns Verbrauchern?
IoT-Geräte sind anders als PCs oder Smartphones meist nur beschränkt interaktionsfähig. Endbenutzer verbringen meist nur wenig Zeit mit dem Einstellen dieser Geräte. Und sie haben auch keine Möglichkeit zu erkennen, ob ihre Geräte für bösartige Angriffe zweckentfremdet werden.
Aus Konsumentensicht ist diese Unwissenheit ein Segen. Bis sie zum Sicherheitsrisiko wird. So warnte die US-Behörde Federal Trade Commission (FTC) in Folge des Mirai-Vorfalls: „Angriffe sind mehr als nur eine Unannehmlichkeit. Sie stellen eine Bedrohung für Ihre Informationen und Daten dar. Sie sollten sich daher fragen, was Sie tun können, um Ihr Heimnetzwerk und Ihre Smart-Geräte vor Zweckentfremdung zu schützen.”
Folgendes sollten Endnutzer von IT-Geräten daher beachten:
- Klicken Sie beim Einrichten Ihres IoT-Geräts nicht vorschnell auf „Weiter“. Überprüfen Sie die Standardeinstellungen sorgfältig, bevor Sie eine Entscheidung oder Auswahl treffen, und nutzen Sie die für Ihr Gerät angebotenen Sicherheitsfunktionen.
- Laden Sie stets die neuesten sicherheitsrelevanten Updates auf Ihr IoT-Gerät. Die auf Ihrem Gerät vorinstallierte Software muss aktualisiert werden, damit sie auf Dauer sicher und effektiv bleibt. Sie sollten daher vor dem Einrichten eines neuen Geräts und danach in regelmäßigen Abständen die Webseite des Herstellers besuchen oder das Menü mit den Einstellungen Ihres Geräts öffnen, um zu sehen, ob eine neue Version der Software geladen und installiert werden kann.
- Ersetzen Sie voreingestellte Passwörter durch neue eigene Passwörter. Viele Hersteller verwenden Standardpasswörter für die von ihnen ausgelieferten Geräte. Hacker kennen diese Standardpasswörter. Sie sollten sie daher durch komplexere, sichere Passwörter ersetzen.
Doch wie viele Personen machen sich diese Mühe, wenn sie einen neuen Kühlschrank, ein sprachgesteuertes Gerät oder ein Fitnessarmband in Betrieb nehmen? Vermutlich ein verschwindend geringer Prozentsatz. Doch weshalb? Ganz einfach: Ihnen fehlt der richtige Anreiz. Die Gefahr eines Datenklaus ist für Konsumenten nichts Neues. Viele Verbraucher haben diese Erfahrung schon selbst gemacht, als sie nach einem einem erfolgreichen Cyberangriff auf ihren Lieblingsstore eine neue Kredit- oder Kundenkarte im Briefkasten vorfanden. Ihnen fehlt ganz einfach die Motivation, Zeit und Arbeit zu investieren.
Schuld ist: Die Politik
Politiker haben eigentlich genügend Anreize, sich für die IoT-Sicherheit einzusetzen. Was gibt es Prestigeträchtigeres, als sich vor Kameras und Mikrofonen als Person zu profilieren, die sich um den Schutz von Social-Media-Accounts kümmert, damit die Nutzer nicht noch einmal dem Horrorszenario ausgesetzt sind, dass es zwei Stunden lang keine Status-Updates oder Selfies gibt.
Doch Spaß beiseite. Es geht um sehr ernste Gefahren für Systeme, die die nationale Sicherheit und die öffentliche Infrastruktur betreffen. Die Art massiver Angriffe, die durch IoT-Botnets zustande kommen, kann und darf nicht länger ignoriert werden. Politiker und Aufsichtsbehörden sind in der Position, die erforderlichen Änderungen zu forcieren. Und genau das ist vielleicht die gute Nachricht: In einer Zeit, in der Deregulierung in aller Munde ist, rückt bei IoT-Geräten die dringend erforderliche Regulierung näher.
Fazit
Selbst wenn Politiker und Aufsichtsbehörden Erfolg mit ihren Bemühungen haben sollten, Hersteller von IoT-Geräten zur Einhaltung neuer, effektiver Regelungen zu zwingen: Das Problem ist noch nicht gelöst.
Roland Dobbins, der hauptverantwortliche Sicherheitsingenieur von Arbor Networks, fasste dies gegenüber dem Magazin „Wired“ wie folgt zusammen: „Was mir Sorge bereitet, ist nicht das, was die Zukunft bringt, sondern das, was heute schon da ist – Myriaden von Geräten in aller Welt, die nur darauf warten, zweckentfremdet zu werden.”
Selbst wenn ab sofort nicht ein einziges unsicheres IoT-Gerät mehr neu eingerichtet würde, bleibt die Tatsache, dass schon ca. 10 Milliarden Geräte in Gebrauch sind. Dies sollte für Netzbetreiber Anreiz genug sein, bei der Absicherung ihrer Netzwerke und beim Schutz vor DDoS-Angriffen auf Best Practices und hochwertige Produkte zurückzugreifen.
* Christian Reuss ist Sales Director DACH bei Arbor Networks.
(ID:44547002)
:quality(80)/images.vogel.de/vogelonline/bdb/1952100/1952116/original.jpg "Im zweiten Halbjahr 2021 wurden zwei Direct-Path-Flooding-Angriffe von mehr als 2,5 Tbps über neue Mirai-Botnets der Serverklasse gestartet. (sdecoret - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939337/original.jpg "Die Software-Supply-Chain muss sicherer werden, denn unsichere Geräte erweitern die Angriffsfläche und gefährden die Sicherheit des ganzen Unternehmens. (Eisenhans - stock.adobe.com)")