:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Qualitätssicherung und IoT Risiken im Internet of Things
Die Folgen des Internet of Things sind neben den Annehmlichkeiten für Nutzer auch immer mehr Türen für Angreifer, die Geräte im großen Maßstab infizieren und für ihre Zwecke missbrauchen. Dabei haben es Hacker heute leicht, denn ein mangelndes Verständnis für die Risiken und eine fehlende Qualitätssicherung machen Angriffe zu einem Kinderspiel.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Vernetzte Uhren, Brillen, Kaffeemaschinen, Lampen, Heizungen, Kühlschränke... die Liste lässt sich endlos weiterführen. Das Marktforschungsunternehmen Gartner geht davon aus, dass im Jahr 2020 rund 20 Milliarden vernetzte Geräten weltweit existieren werden. Mit der zunehmenden Verbreitung des Internet of Things (IoT) und damit der Vernetzung von Gegenständen mit dem Internet nimmt jedoch auch ein weiterer Teilaspekt immer weiter zu: Meldungen über gefundene Schwachstellen und bisweilen auch Angriffe auf die Systeme.
Ende letzten Jahres machte beispielsweise das Botnetz Mirai von sich reden, als dieses das US-Unternehmen DYN angriff und dabei Dienste wie Netflix oder Spotify kurzzeitig ausfielen. Das Prinzip hinter dem Angriff ist simpel und wird durch das IoT sogar begünstigt oder überhaupt erst in dem Maßstab möglich gemacht: Eine DDoS-Attacke, oder Distributed Denial of Service, die sich auf ein bestimmtes Ziel fokussiert und zeitgleich eine große Anzahl von Anfragen ausgehend von vielen verschiedenen Geräten generiert. Die Konsequenz: Unter der Last der Anfragen bricht das Ziel zusammen oder kann reguläre Anfragen nicht mehr in gewohnter Frequenz bearbeiten. In jedem Fall entsteht ein Schaden für das angegriffene Unternehmen.
Mangelnde Qualitätssicherung bei IoT-Geräten
Zum einen ist also die zunehmende Anzahl von IoT-Geräten der Grund für die wachsende Angriffszahl. Zum anderen spielt jedoch auch schlicht die mangelnde Qualitätssicherung eine wichtige Rolle. Die Schwachstellen der Geräte zeugen oftmals von einer groben Nachlässigkeit oder auch einem mangelnden Verständnis für die Risiken von ungenügend abgesicherten Geräten. Mit am häufigsten lassen sich ganz grundlegende Probleme identifizieren: Es werden Standardeinstellungen verwendet und die Passwörter wurden nicht eingestellt oder zumindest nicht geändert. Auch zu schwache Passwörter und fehlende Sicherheitsupdates und überhaupt fehlende Updates öffnen Tür und Tor für Hacker und damit erfolgreiche Angriffe. Diese grundlegenden Fehler zeigen, dass viele Nutzer und Unternehmen längst noch nicht das Ausmaß und die möglichen Folgen der vernetzten Gerätelandschaft nachvollzogen haben.
Organisierte Kriminalität erfordert keine Profis mehr
Wenn man das heutige Standardvorgehen für einen Penetrationstest betrachtet, wird schnell klar, wie erschreckend einfach die Angriffe aufgebaut sind. Was legale Hacker nutzen, um ein System auf Schwachstellen abzuklopfen und diese dann zu beheben, ist ebenfalls ein Werkzeug der organisierten Kriminalität. Nach der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein Penetrationstest – und damit ähnlich auch ein Angriff – in fünf aufeinanderfolgenden Phasen aufgebaut. Drei davon einmal kurz beschrieben:
Die erste Phase besteht in der Vorbereitung: Kriminelle machen sich zunächst mit ihrem eigentlichen Ziel vertraut, analysieren die Schwachstellen und entscheiden sich dann für das Angriffswerkzeug, das den meisten Erfolg verspricht.
In der zweiten Phase folgt ein passiver Penetrationstest, in dem Hacker mögliche Opfer ausfindig machen. Der spätere Einsatzweck spielt hier eine große Rolle. IoT-Geräte verfügen in der Regel über eine geringere Speicherausstattung und Rechenleistung als stationäre. Zum Bitcoin Mining oder um ein Botnetz für eine DDoS-Attacke zu erstellen, kann dieser Umstand relevant sein. Auch für das Streuen von Malware oder das Abziehen und spätere Verkaufen von vertraulichen Daten ist diese erste Informationsgewinnung wichtig. Die passenden Geräte für einen Angriff zu finden, ist dabei geradezu ein Kinderspiel. Über Suchmaschinen, wie Shodan, können Hacker problemlos Geräte per IP-Adresse innerhalb des IoT finden und anschließend auch die Art, Betriebsversion und andere Indikatoren bestimmen. Egal ob Fritz Box, Waschmaschine oder Kassensysteme – alles lässt sich per Knopfdruck finden und mit ein wenig Know-how ansteuern. Die verwundbarsten Geräte, also die mit den größten Schwachstellen, fügen die Hacker ihrer Datenbank aus IP-Adressen hinzu, um sie später für den eigentlichen Angriff zu nutzen.
In der dritten Phase kompromittieren kriminelle Hacker die zuvor gesammelten IP-Adressen. In manchen Fällen fällt dieses Vorgehen auf, da schlagartig viele Geräte des gleichen Typs, aufgrund der Anfragenanzahl zusammenbrechen. In vielen Fällen versuchen Hacker jedoch die ursprüngliche Funktion des Geräts nicht zu beeinträchtigen, um still und heimlich ihr Werk verrichten zu können. Da viele Geräte nicht über eine Software zur Identifizierung von infizierten Geräten oder Malware verfügen, fällt ein Angriff auch tatsächlich manchmal gar nicht oder erst viel zu spät auf. Selbst hierfür gibt es im Netz Anleitungen und vorgefertigte Baukästen, wie auf der Website Satan, über die man fast automatisch eine Schadsoftware erstellen kann.
Qualitätssicherung im IoT wird immer wichtiger
Inzwischen gibt es bereits Ansätze, um gekaperte Geräte aufspüren zu können, beispielsweise über die Untersuchung des Netzverkehrs hin auf Anomalien. Eine flächendeckende Qualitätssicherung ist aber nach wie vor in weiter Ferne. Das IoT ist sehr komplex und heterogen, weswegen Einzelmaßnahmen nicht viel bewirken können. Stattdessen wird es immer wichtiger, zusätzliche Schwerpunkte in Schnittstellen-, Last- und Integrationstests zu definieren. Um die Sicherheit von IoT-Systemen zu erhöhen, sind drei Bausteine besonders wichtig: Security-Tests sowie Tests vom Sensor bis hin zur Cloud und das Integration Consulting zur Integration von Hardware, Software und Updates. Durch dieses Vorgehen können beispielsweise Unternehmen ihre Geräte nicht nur auf einzelne Software-Merkmale prüfen, sondern auch auf den gesamten digitalen Prozess.
Dafür müssen Unternehmen sich darüber klar werden, welche digitalen Prozesse geschäftskritisch sind, welche Anforderungen an die Anwendung bestehen und welche Risiken bestehen können. Mithilfe ausgereifter Testverfahren können Unternehmen so Schwachstellen und Sicherheitslücken in Infrastrukturen früh aufspüren und anschließend beheben.
Die Möglichkeiten zu einer besseren Absicherung sind inzwischen durchaus gegeben. Was jedoch noch fehlt, ist die Bewusstseinsschärfung der Anwender. Während ein stationärer Rechner ganz selbstverständlich über ein Passwort und über eine Firewall verfügt, bewegen sich IoT-Geräte offenbar noch in einer mentalen Grauzone. Erst, wenn Nutzern und Unternehmen die Risiken wirklich bewusst werden, können die Geräte flächendeckend gesichert oder Angriffe zumindest stark erschwert werden.
Über den Autor: Thomas Haase ist Security Experte bei T-Systems Multimedia Solutions.
(ID:44767856)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1939300/1939337/original.jpg "Die Software-Supply-Chain muss sicherer werden, denn unsichere Geräte erweitern die Angriffsfläche und gefährden die Sicherheit des ganzen Unternehmens. (Eisenhans - stock.adobe.com)")