:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Internet der Dinge und Security Steigende Sicherheitsrisiken durch vernetzte Geräte
Vor knapp drei Jahren war das Internet der Dinge (Internet of Things, IoT) noch ein neues Konzept und Verbraucher investierten in Geräte, weil sie cool waren oder die Lebensqualität verbesserten. Dieser Markt hat in den letzten Jahren ein starkes Wachstum gesehen, gleichzeitig hat sich das Internet der Dinge rasant weiterentwickelt. Fast jedes Gerät lässt sich mittlerweile vernetzen – Sicherheitskameras, Smartphones, Tablets und Server wie auch Roboter, Kühlschränke und Espressomaschinen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die generelle Erwartungshaltung im Hinblick auf das Internet der Dinge hat dazu geführt, dass immer mehr Geräte mit Chips ausgestattet sind und vernetzt werden können. Das Thema Sicherheit kam dabei häufig zu kurz. Wer würde schon eine Waschmaschine oder einen Toaster hacken wollen? Darüber hinaus sollten die Geräte trotz aller Vernetzung einfach zu handhaben und weiterhin kostengünstig sein. Security-Belange sind dabei ein Faktor, dessen Kosten nicht einkalkuliert sind und den viele Hersteller nicht verstehen. Selbst solche Geräte, die über Sicherheitsfunktionen verfügen, sind häufig nicht korrekt konfiguriert oder werden nicht kontinuierlich aktualisiert.
Die hohe Nachfrage drückt den Preis zusätzlich, Security ist von geringerer Bedeutung als die Marge. Manche Hersteller erlauben einen Remote-Zugriff für Firmware-Updates oder setzen Sicherheitsstandards ein, die nur sehr wenig Schutz bieten. Die Implementierung von traditionellen Anti-Virus-Funktionalitäten erfordert zusätzliche Hardware und Vernetzungsfunktionen, die die Produktionskosten erhöhen. Gleichzeitig schützt diese Art der Software nicht zuverlässig vor Cyber-Angriffen. 2015 wurden mehr als 430 Millionen neue Malwares entdeckt, was 13 neuen Malware-Applikationen pro Sekunde entspricht. Um gegen Angriffe auf das Internet der Dinge gewappnet zu sein, ist ein komplett neues Security-Modell notwendig. Dieses muss Malware nicht nur entdecken und verstehen, sondern quasi antizipieren – eine Art prediktives Sicherheitsmodell. Damit wäre gewährleistet, dass die Bedrohung ausgeschaltet werden kann, bevor sie das Gerät infiziert oder es als Einfallstor für weitere vernetzte Devices nutzen kann. Traditionelle Security-Modelle für das IoT sind diesen Anforderungen nicht gewachsen.
Dabei hat das Internet der Dinge das Leben bereits signifikant verändert: Virtual Reality (VR) Headsets, Wearables, die Fitness und Ernährungsgewohnheiten aufzeichnen, Kameras und Thermostate, die per App geregelt werden. Digitale TV-Set-Top-Boxen, Heizungen und bald vielleicht auch Lampen oder Türklingeln – die Möglichkeiten sind fast unendlich. Besonders kritisch aus Security-Perspektive sind beispielsweise Herzschrittmacher, Diabetes-Monitore oder OP-Roboter.
Alle diese Geräte speichern Identitäts- und Nutzungsdaten sowie in manchen Fällen auch Finanzdaten. Manche verfügen außerdem über Telemetrie-Informationen, die in der Cloud gespeichert werden, oder ortsbezogene Daten – für Cyber-Kriminelle eine wahre Schatztruhe an Daten. Momentan gibt es keine Sicherheitsstandards, die in vernetzte Geräte implementiert werden müssen, daher werden Angriffe bald zur Tagesordnung gehören. Identitätsdaten wie Kreditkarten, Informationen zum Bankkonto etc. lassen sich im Dark Web gewinnbringend verkaufen. Viel gefährlicher ist aber der Diebstahl von Zugriffsdaten für Unternehmensnetzwerke, mit denen Hacker Zugang zum geistigen Eigentum einer Organisation erhalten. Dazu müsste beispielsweise nur die App gehackt werden, mit der sich die Heizung kontrollieren lässt –schon ist das Smartphone oder Tablet kompromittiert, mit dem Mitarbeiter auch ihre geschäftlichen E-Mails checken. Loggen sie sich das nächste Mal ein, erhält der Cyber-Kriminelle die Identitätsdaten und das Passwort und kann darüber weiter in das Netzwerk vordringen.
Denn: Vernetzte Geräte sind einfach gestaltete Computer die über die dazugehörige Software – in diesem Fall Apps, die die Daten oftmals unverschlüsselt in die Cloud senden und dort abspeichern – mit dem Internet verbunden sind und sich so aus der Ferne neu programmieren lassen. Der Mirai Wurm beispielsweise hat sich über DDoS (Distributed Denial of Service)-Angriffe öffentlicher Websites und Service Provider verbreitet. Mittlerweile gibt es auch „Botnet for Sale“-Services, die bis zu 600.000 mit Mirai infizierte Geräte anbieten, die entsprechend programmiert und angriffsbereit sind. Solche Geräte habe keine (oder nur sehr wenige) integrierte Sicherheitsfunktionen. Ihre Kommunikation zu kontrollieren, Bedrohungen zu identifizieren oder sie abzuschalten sind enorm wichtige Funktionen, die Security erfüllen muss. Dazu gehören aber nicht nur Sicherheitsfunktionen oder -Geräte, sondern auch die Netzwerkebene, damit nicht nur das Gerät selbst, sondern die gesamte Infrastruktur geschützt ist. Damit ist eine aktive Sicherheitskontrolle und -Anwendung möglich.
Dies ist aber nur die Spitze des Eisbergs – in der Realität können vernetzte Geräte bald zu digitalen Spionen werden, die Daten und Informationen aus Heimnetzwerken abziehen und diese auch als Einfallstore in Unternehmen nutzen, zum Beispiel, wenn das kompromittierte Smartphone oder Tablet sich mit dem Firmennetzwerk verbindet. Dank Technologie kann fast jeder heute im Home Office arbeiten und hat remote Zugriff auf sensible Daten. Virtual Private Network (VPN) Lösungen erschweren es Datendieben, Informationen direkt abzuzapfen, daher werden diese sich das schwächste Glied in der Kette suchen. Dies kann das ungesicherter Telefon, der leicht zu hackende Router oder das ungesicherte Smart-TV-Gerät sein.
Unternehmen haben die Verantwortung, Anwenderdaten und die Netzwerkinfrastruktur abzusichern. Das Internet der Dinge ist aus Unternehmen ebenso wenig wegzudenken wie der Einsatz von Smartphones und Laptops. Dazu gehört der Schutz gegen die unterschiedlichen Malware-Arten, die teilweise bereits heute IoT-Geräte penetrieren können. Sicherheit muss daher eine End-to-End-Lösung sein, wozu beispielsweise eine Firewall gehört, die auf Basis von Machine Learning nicht nur die offensichtlichen Malware-Varianten erkennt, sondern Rückschlüsse auf die möglichen nächsten Varianten zulässt und gleichzeitig kontinuierlich den Netzwerkverkehr kontrolliert. Damit ist eine schnellere und präzisere Erkennung und Behebung von unbekannten und versteckten Bedrohungen möglich als mit Standalone-Firewalls. Die gesamte Security muss aufeinander abgestimmt sein und idealerweise schon bei der Planung berücksichtigt werden. Nur dann ist sie kein Stückwerk, sondern eine ganzheitliche Lösung.
Das Internet der Dinge wird weiterhin kontinuierlich wachsen und innovative neue Produkte hervorbringen. Allerdings wird es auch anfälliger: Mehr Unternehmen werden ausspioniert, Daten gestohlen und Netzwerke gehackt – weil Geräten die einfachsten Sicherheitsvorkehrungen fehlen. IoT-Geräte benötigen deutlich höhere Sicherheitsstandards, egal, ob es sich um Verbraucher oder Unternehmen handelt. Nicht bei allen Geräten, die sich vernetzen lassen, macht dies auch Sinn. Firmen, die Geräte entwickeln und produzieren, sollten hinterfragen, wann Verbraucher und Organisationen einen Mehrwert davon erhalten – und bei einer Entscheidung für Vernetzung in entsprechende Sicherheitsfunktionen implementieren. Denn einige IoT-Entwicklungen sind nützlich für Unternehmen,mache sind einfach nur cool.
Über den Autor: Laurence Pitt ist Security Strategist EMEA bei Juniper Networks.
(ID:44783633)
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937673/original.jpg "Smart Cities gehört die Zukunft, aber wird eines der kritischen Systeme kompromittiert, kann das gravierende Auswirkungen auf den Datenschutz und die Datensicherheit der Bürger haben. (SasinParaksa - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")