:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gemeinsam gegen Gefahren im IoT Sicherheitsmodelle für das Internet der Dinge
Spätestens seit dem großen DDoS-Angriff auf den DNS-Dienst Dyn.com wird viel über die Sicherheit im Internet der Dinge (IoT) geredet. Das Internet of Things stellt allein aufgrund der unterschiedlichen Gerätetypen, Betriebssysteme und Protokolle eine extrem breite Angriffsfläche dar, für die es dringend einen gemeinsamen Sicherheits-Ansatz braucht.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Während man als Einzelner bisher bei der Arbeit im Allgemeinen einen dedizierten Rechner nutzt, stellt das Internet der Dinge (IoT) mit Milliarden an vernetzten Geräten, die großteils nicht von Menschen überwacht werden, enorme inhärente Sicherheitsrisiken dar. Allein die schier endlose Anzahl sowie die unterschiedlichen Typen potenzieller Angriffsziele im IoT verbunden mit der fehlenden Betreuung durch Menschen verhindern den Einsatz gängiger Sicherheitsmethoden. Darüber hinaus trägt die Art der Geräte, die jetzt mit dem Internet verknüpft sind, wie beispielsweise Autos, elektrische Generatoren, Pumpen für die Wasserversorgung, im Falle eines erfolgreichen Angriffs das Potenzial echter Schäden in sich.
Einen Vorgeschmack auf die drohenden Gefahren für vernetzte Geräte bot der Angriff auf das Energieversorgungsnetz in der Ukraine, bei dem Ende 2015 30 Teilbereiche offline waren und über 230.000 Haushalte und Büros für bis zu sechs Stunden im Dunkeln standen. Die Angreifer hatten sogar die Firmware kritischer Geräte modifiziert, so dass diese nicht mehr aus der Ferne bedient werden konnten und Trennschalter und andere Geräte selbst Monate danach noch manuell gesteuert werden mussten.
:quality(80)/images.vogel.de/vogelonline/bdb/1091300/1091382/original.jpg "Der DNS-Anbieter Dyn.com wurde Opfer einer massiven DDoS-Attacke. (geralt - Pixabay)")
DDoS verursacht DNS-Probleme
Mirai-Botnet attackiert DNS-Anbieter Dyn.com
Im Vergleich zu Clouds, für die es inzwischen wohldefinierte Sicherheitsmodelle und beschränkte Einstiegspunkte gibt, stellt das IoT allein aufgrund der unterschiedlichen Gerätetypen, Betriebssysteme und Protokolle eine viel breitere Angriffsfläche dar. Während beim Anwendermanagement in der Cloud üblicherweise einer konkreten Person für ein konkretes Programm Zugriff erteilt wird, machen IoT-Geräte ein deutlich komplexeres Rechtemodell erforderlich. IoT-Geräte können sich selbstständig als Person oder im Auftrag einer Person authentifizieren.
Einige Unternehmen sind sich zwar dieser Gefahren bewusst, sehen aber noch keine Dringlichkeit, entsprechend zu agieren, da sie bis jetzt keine IoT-Applikationen im großen Stil einsetzen. Aber wissen sie wirklich, wie viele ihrer Geräte bereits mit dem Internet vernetzt und damit möglichen Attacken ausgesetzt sind?
Die Suchmaschine Shodan, die das Internet nach vernetzten Geräten durchkämmt, hat bereits 500 Millionen vernetzte Geräte kategorisiert, darunter Steuerungssysteme für Fabriken, Eishockey-Bahnen, Autowaschanlagen, Verkehrsampeln, Sicherheitskameras und sogar ein Atomkraftwerk. Die meisten dieser Geräte sind mit dem Internet durch eine interne Applikation des Herstellers bzw. von Drittanbietern verknüpft.
:quality(80)/images.vogel.de/vogelonline/bdb/1092100/1092169/original.jpg "Die Anzahl der vernetzten Geräte und Systeme ist drastisch gestiegen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1092100/1092170/original.jpg "Ein Landwirtschaftsbetrieb kann heutzutage ein komplexes IoT-System mit enormen Datenflüssen sein.")
:quality(80)/images.vogel.de/vogelonline/bdb/1092100/1092171/original.jpg "Im IoT-Zeitalter reicht ein Sicherheitskonzept aus einer Hand oft nicht mehr aus.")
:quality(80)/images.vogel.de/vogelonline/bdb/1092100/1092172/original.jpg "Konventionelle Sicherheitskonzepte sind in neuen Systemen oft fehl am Platz.")
Ein großer Teil dieser Geräte besitzt dabei nur sehr eingeschränkte Sicherheitsfunktionen. Vielfach erfordert es nicht einmal ein Passwort, um sich mit dem Gerät zu verbinden, häufig werden „Admin“ als Benutzername und „1234“ als Passwort verwendet. 70 Prozent der Geräte kommunizieren darüber hinaus auch im Textformat – was Angriffe einfach macht, selbst wenn die verwendeten Passwörter etwas sicherer sind. Millionen Geräte nutzen außerdem noch sehr veraltete Software-Versionen – mit bekannten, gravierenden Schwächen. Die Frage an viele Unternehmen ist es daher nicht, ob sie ein IoT-Projekt starten wollen. Die Frage ist, wie sie die bestehenden – teilweise unbekannten – IoT-Geräte administrieren und sichern wollen.
Es gibt derzeit noch kein umfassendes Sicherheitsmodell für das IoT. Man kann jedoch die Sicherheitsarchitektur aus Abbildung 1 zugrunde legen, in der die verschiedenen Elemente und ihre Interaktionen im IoT hervorgehoben werden: 1) das Gerät ist ein Objekt der realen Welt, das mit dem Netz verbunden ist 2) die Netzwerk-Infrastruktur verbindet Geräte mit der IoT-Plattform 3) die Betriebsplattform stellt die Infrastruktur für die Applikation zur Verfügung 4) die IoT-Plattform ist eine Suite von Komponenten, die mit den Geräten kommuniziert, deren Verwaltung ermöglicht und eine Anwendungsprogramme ausführt 5) Entwicklung bezieht sich auf den Prozess, der für die Realisierung der IoT-Anwendung genutzt wird und 6) Applikationen schaffen durch die Überwachung, die Administration und die Steuerung der vernetzten Geräte geschäftlichen Mehrwert.
Die Darstellung des gemeinsamen Sicherheitsmodells in Abbildung 2 erläutert, wie die Verantwortung für Sicherheit im IoT zwischen den verschiedenen Beteiligten verteilt werden sollte. Von oben ausgehend ist der Kunde für den Schutz der verschiedenen Geräte vor unberechtigtem Zugriff sowie die Verwaltung der Benutzerkonten verantwortlich. Die IoT-Plattform kann diese Aufgabe durch integrierte Anzeigen und Rechte, die ohne Kodierung verwendet werden können, erleichtern. So lassen sich beispielsweise Regionen, Abteilungen oder Standorte definieren und die Nutzer erhalten den Zugriff auf Objekte in ihrer eigenen Region, nicht aber auf Objekte aus anderen Regionen. Ebenso lassen sich funktionale Rollen innerhalb einer Organisation, wie z.B. „Service-Manager“, anlegen. Dann kann die Rolle „Service-Manager“ neuen Anwendern zugeordnet werden und er oder sie erhält automatisch alle Rechte, die diese Rolle besitzt.
Idealerweise bietet die IoT-Plattform die Option, mithilfe eines Verbindungsservers in einer „entmilitarisierten Zone“ (DMZ) zu arbeiten, während sich die Plattform selbst innerhalb der Firewall befindet. Liegt die IoT-Plattform innerhalb des internen Netzes, werden selbst die resolutesten Attacken schwieriger. Mit einem guten Netzwerk-Konzept können die Organisationen ihre IoT-Infrastruktur besser schützen.
Die führenden Plattformen bieten entsprechende Werkzeuge, mit denen die Anwendungsentwickler Best Practices wie das Open Web Application Security Project (OWASP) Top 10 einhalten können. Dieses wurde entwickelt, um leicht nutzbare Schwächen in Web-Anwendungen zu vermeiden. So gehört „SQL Injection“ zu den Top-10-Problemen. Die IoT-Plattform kann diese Angriffsmöglichkeit durch Parametrisierung von Eingaben und das Unterbinden direkter SQL-Abfragen verhindern.
Ein Teil der Verantwortung für die IoT-Sicherheit liegt aber in den Händen der Entwickler. Die meisten IoT-Plattformen bieten mit dem Transport Layer Security Protocol (TLS) die Möglichkeit, die Kommunikation mit den Geräten zu verschlüsseln. Dieses muss von der Entwicklung natürlich auch aktiviert werden.
Unabhängig davon, wie gut Sicherheit bei der Entwicklung der Anwendung berücksichtigt wurde: Es wird immer wieder Angriffsmöglichkeiten geben und daher ist es entscheidend, einen Prozess umzusetzen, in dem jede Schicht immer wieder auf den neuesten Stand der Schutzmechanismen gebracht werden kann. Eine IoT-Plattform sollte daher integrierte Software- und Inhaltsmanagement-Funktionen bieten, die die automatische Verteilung von Aktualisierungen unterstützen. Die ausgereifteren Plattformen beinhalten hier auch Optionen, wie Updates verteilt werden sollen. So kann man diese beispielsweise zunächst bei einer kleinen Anzahl an Geräten einspielen und testen, bevor ein allgemeines Update über alle Objekte gefahren wird.
Ein gemeinsames Sicherheitsmodell mit diesen und zahlreichen weiteren Funktionen vereinfacht den Entwicklungs- und Einführungsprozess von IoT-Applikationen. So kann man die Leistung der weit verstreuten Geräteflotte optimieren und gleichzeitig für Schutz gegen unberechtigte oder übelwollende Nutzung sorgen.
* Rob Black ist Senior Director of Product Management bei ThingWorx.
(ID:44342452)
:quality(80)/p7i.vogel.de/wcms/fa/17/fa171cc3b3b2ffb0420b93af71c49ef9/0109001068.jpeg "Das Wachstum des Internets der Dinge geht immer weiter. Umso wichtiger ist es, dass Schwachstellen in IoT-Geräten geschlossen und Cyberangriffe abgewehrt werden. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")