Suchen

Mobile Sicherheit Überblick im Internet der Dinge behalten

| Autor / Redakteur: Markus Auer / Stephan Augsten

Im allumfassenden Internet of Things, kurz IoT, ist Device Management ein schwieriges Unterfangen: Smartphones, Fitnessarmbänder und andere „smarte“ Geräte werden munter miteinander vernetzt. Wie soll man da den Überblick behalten?

Firma zum Thema

Im Internet der Dinge wird es auf Dauer schwierig werden, den Überblick zu behalten.
Im Internet der Dinge wird es auf Dauer schwierig werden, den Überblick zu behalten.
(Bild: Archiv)

Die digitale Integration und das Internet der Dinge (IoT) sind im Jahr 2016 zentrale Themen, die die IT-Medien beherrschen. Derzeit gibt es 3,8 Milliarden Geräte, die mit dem Internet verbunden sind. Der Statistik-Experte Statista schätzt mit Verweis auf Gartner, dass diese Zahl bis zum Jahr 2020 auf 25 Milliarden Geräte steigen wird.

Intelligente Geräte verändern Wirtschaft und Gesellschaft grundlegend, daher gelten auch neue Regeln in der IT-Sicherheit. Angesichts dieser Entwicklung ist klar, dass sich die meisten IT-Abteilungen früher oder später Gedanken über den Umgang mit dem IoT werden machen müssen. Einen derart starken Zuwachs an Geräten einfach zu ignorieren ist riskant, besonders da IoT-Devices sich nur schwer verwalten lassen.

Laut einer neueren Untersuchung von IDG haben mehr als 60 Prozent aller Unternehmen keinen ausreichenden Überblick über die Geräte, die mit ihren Netzwerken verbunden sind. Diese Zahl droht noch größer zu werden, da nicht-standardisierte Geräte ohne entsprechende Vorkehrung von Sicherheitsabteilungen nicht erkannt werden.

Und nicht nur sind diese Geräte unbekannt – die IT-Abteilungen wissen auch nicht, welche Aktionen sie durchführen. Das Corporative Executive Board konstatiert, dass sich 40 Prozent der IT außerhalb der Kontrolle durch die Netzwerkadministration befindet. Ein so großer unüberwachter Bereich bietet Online-Kriminellen genügend Schlupflöcher, um in aller Ruhe Daten abzugreifen, ohne eine Entdeckung befürchten zu müssen.

Sicherheit durch Sichtbarkeit: Die besonderen Anforderungen des IoT

Das Internet der Dinge besteht nicht nur aus Smartwatches und intelligenten Kaffeemaschinen. So spielt das IoT etwa in industriellen Anlagen eine wachsende Rolle, gerade auch in Deutschland. Die Netzwerke im Produktionsumfeld ähneln immer mehr den Netzen in Büroumgebungen. Die Steuerung und Überwachung wird zunehmend digitalisiert; Computer und mobile Geräte werden als Steuerungskonsolen eingesetzt und vermitteln dem Anwender das Gefühl, sich eher in einer üblichen Büroumgebung als in einer Produktionsumgebung zu befinden.

Vom Sicherheitsstandpunkt aus können industrielle Fertigungsanlagen nicht als gewöhnliche Bürocomputer betrachtet werden. Auch sie sind intelligente „Dinge“, die untereinander vernetzt sind und Maschine-zu-Maschine-Kommunikation (M2M) verwenden. Auf SCADA-Systemen, selbst wenn sie auf weit verbreiteten Betriebssystemen basieren, können keine Patches oder Sicherheitstools installiert werden. Andernfalls könnten ihre Funktionalität und die Integration in das Produktionssystem nicht mehr gewährleistet werden. Aktive Scans könnten zum gleichen Ergebnis führen und Stillstände bewirken.

Auch sind vielfach proprietäre Systeme im Einsatz, die spezielle Anforderungen stellen. Wenn auf IoT-Geräten ein Antivirus-Client oder eine andere Software installiert wird, kann die Leistung darunter leiden. Das Risiko, dass solche Anwendungen die Produktion beeinträchtigen, ist zu hoch, und deshalb sind sie verboten. Die eiserne Regel der Fertigungsindustrie besagt, dass die Produktion unter allen Umständen gewährleistet bleiben muss. Ausfälle sind nicht tragbar.

Zudem ist der Kreis der Anwender vielfältig zusammengesetzt: Dienstleister, Freelancer und anderes Personal loggen sich mit ihren eigenen Geräten im Netzwerk ein. Da Fabriken große Anlagen mit vielschichtigen Prozssen sind, müssen die verschiedenen Vorgänge zeitlich exakt abgestimmt werden, um einen reibungslosen Betrieb zu gewährleisten. Wenn nur ein einziger Schritt nicht funktioniert, gerät die ganze Produktion ins Stocken oder wird unterbrochen.

Industrielle Steuersysteme werden im Allgemeinen als Offline-Systeme entwickelt und programmiert und sind für isolierte Produktionsumgebungen ausgelegt. Die Herausforderung besteht somit darin, ein Sicherheitskonzept zu finden, das eine nahtlose Integration in eine zeitkritische Umgebung mit einer Vielzahl verschiedener Nutzer und Geräte ermöglicht, ohne dass aktive Eingriffe vorgenommen werden müssen. Zudem dürfen die IT-Mitarbeiter nicht zu stark belastet werden und müssen von einer zentralen Stelle aus Überblick haben. Insbesondere kritische Fernzugriffswege, die die Kontrolle über Bedieneinheiten ermöglichen, sind gefährdet und bedürfen besonderer Aufmerksamkeit.

Ein weiteres Beispiel: IoT im Gesundheitswesen

Nach den jüngsten Ransomware-Angriffen wurden mehrere Einrichtungen des Gesundheitswesens Opfer von Cyber-Attacken. Solche Angriffe auf den Gesundheitssektor sind für Online-Kriminelle höchst vielversprechend, weil personenbezogene Daten zahlreiche persönliche Details enthalten, die sich beispielsweise wiederum für Spearphishing ausnutzen lassen.

Man muss sich klar machen, dass zahlreiche Geräte in diesem Sektor zum IoT gehören. Auch Herzmonitore und Ultraschallgeräte greifen auf Netzwerke zu. Solche Geräte hinterlassen im Netz einen kleinen Footprint, und ihre Betriebsplattformen sind schwer zu verändern. Und auch wenn klinische Geräte Netzwerkzugriff erfordern, unterstützen sie in der Regel keine Supplicants und keine Installation von Agenten. Zudem lassen auch hier die meisten Hersteller keine aktive Sicherheitssoftware zu. Aktive Mechanismen sind tabu, weil sie die Leistung der Geräte beeinträchtigen könnten.

Im Gegensatz zum Fertigungssektor hat das Funktionieren des IoT im Gesundheitswesen unmittelbare Auswirkungen auf das Wohlergehen von Menschen. Ärzte müssen in ihrer gewohnten Umgebung arbeiten können. Bestimmte medizinische Geräte bedürfen besonderer Aufmerksamkeit und Sicherheitsvorkehrungen, um die Daten der Patienten oder gar ihr Leben zu schützen. Statt einer dichotomen Whitelist ist hier ein feinkörnigerer Ansatz mit präziseren Schritten erforderlich. Es muss individuell abgestufte Richtlinien für unterschiedliche Gerätegruppen geben. Ein bloßer Verdacht auf ein Sicherheitsproblem ist eine heikle Sache, da die Geräte nicht einfach abgeschaltet werden können, wenn sie gerade verwendet werden.

Sicherung von IoT

Zur Absicherung des IoT können Lösungen auf Netzwerkebene dienen. Network Access Control ist mittlerweile so ausgereift, dass sie zu Grundpfeilern der IoT-Sicherheit werden kann. Sie arbeitet ohne Agenten und muss keine Zertifikate austauschen, um zwischen Freund und Feind unterscheiden zu können. Sobald ein Gerät versucht, sich im Netzwerk anzumelden, wird es auf Erfüllung bestimmter Regeln geprüft, und sein Verhalten so lange überwacht, wie es verbunden bleibt.

In beiden Beispielen – Produktionssektor und Gesundheitswesen – ließen sich Geräte beim ersten Netzwerkzugriff identifizieren. Außerdem werden Endgeräte automatisch in ein geeignetes abgetrenntes VLAN segmentiert. So ist gewährleistet, dass lebenswichtige Herzmonitore nicht vom falsch konfigurierten Smartphone oder Tablet eines Arztes gestört werden oder dass Produktionsanlagen nicht über das Laptop eines Mitarbeiters oder das Gerät eines externen Dienstleisters mit Malware infiziert werden können.

Ergänzendes zum Thema
Netzwerk-Zugangskontrolle als Stütze

NAC kann jedes Gerät automatisch lokalisieren, deaktivieren und verwalten. Dies ist gerade auch im Hinblick auf Audit-Anforderungen und Compliance-Richtlinien wichtig. NAC hilft Unternehmen, eine Reihe verschiedener Standards im Gesundheitssektor und der Industrie einzuhalten. Dazu gehört etwa der Sicherheitsstandard 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001, der ein Rahmenwerk für die physischen Kontrollen zur Einhaltung gesetzlicher Vorschriften in IT-Risikomanagement-Prozessen schafft. Auch verschiedene branchenspezifische Normen können erfüllt werden.

Gleichzeitig ermöglicht NAC die Orchestrierung von Sicherheitsaufgaben. Bereits vorhandene Sicherheitslösungen wie Firewalls oder SIEM-Systeme (Security Information and Event Management) können Informationen von der NAC-Lösung empfangen. Dank automatisierter Reaktionen und Netzwerksegmentierung können die Sicherheitsabteilungen den Schutz ihrer Assets jederzeit gewährleisten, ohne ständig unter Druck zu stehen.

Fazit

Angesichts der Diskussion um „Industrie 4.0“ und der fortgesetzten Digitalisierung lässt sich absehen, dass die Zahl der nicht-standardisierten Geräte in den Netzen enorm ansteigen wird. Unternehmen müssen dieser Entwicklung Rechnung tragen und ihre Sicherheitsstrategien in geeigneter Weise justieren.

Markus Auer
Markus Auer
(Bild: Forescout)

Späte Anpassungen von Sicherheitsarchitekturen sind schwierig und führen oft zu verminderter Produktivität. Das IoT einfach zu verbannen ist keine Lösung, weil Mitarbeiter Sicherheitsmaßnahmen gern umgehen, wenn sie das Gefühl haben, dass das ihrer Produktivität dienlich ist. Neben dem Schutz muss mithilfe der richtigen Tools auch die Effizienz der IT-Sicherheitsabteilungen erhöht werden.

* Markus Auer ist Regional Sales Director DACH bei ForeScout Technologies Inc.

(ID:44096943)