Mobile Sicherheit

Überblick im Internet der Dinge behalten

| Autor / Redakteur: Markus Auer / Stephan Augsten

Im Internet der Dinge wird es auf Dauer schwierig werden, den Überblick zu behalten.
Im Internet der Dinge wird es auf Dauer schwierig werden, den Überblick zu behalten. (Bild: Archiv)

Im allumfassenden Internet of Things, kurz IoT, ist Device Management ein schwieriges Unterfangen: Smartphones, Fitnessarmbänder und andere „smarte“ Geräte werden munter miteinander vernetzt. Wie soll man da den Überblick behalten?

Die digitale Integration und das Internet der Dinge (IoT) sind im Jahr 2016 zentrale Themen, die die IT-Medien beherrschen. Derzeit gibt es 3,8 Milliarden Geräte, die mit dem Internet verbunden sind. Der Statistik-Experte Statista schätzt mit Verweis auf Gartner, dass diese Zahl bis zum Jahr 2020 auf 25 Milliarden Geräte steigen wird.

Intelligente Geräte verändern Wirtschaft und Gesellschaft grundlegend, daher gelten auch neue Regeln in der IT-Sicherheit. Angesichts dieser Entwicklung ist klar, dass sich die meisten IT-Abteilungen früher oder später Gedanken über den Umgang mit dem IoT werden machen müssen. Einen derart starken Zuwachs an Geräten einfach zu ignorieren ist riskant, besonders da IoT-Devices sich nur schwer verwalten lassen.

Laut einer neueren Untersuchung von IDG haben mehr als 60 Prozent aller Unternehmen keinen ausreichenden Überblick über die Geräte, die mit ihren Netzwerken verbunden sind. Diese Zahl droht noch größer zu werden, da nicht-standardisierte Geräte ohne entsprechende Vorkehrung von Sicherheitsabteilungen nicht erkannt werden.

Und nicht nur sind diese Geräte unbekannt – die IT-Abteilungen wissen auch nicht, welche Aktionen sie durchführen. Das Corporative Executive Board konstatiert, dass sich 40 Prozent der IT außerhalb der Kontrolle durch die Netzwerkadministration befindet. Ein so großer unüberwachter Bereich bietet Online-Kriminellen genügend Schlupflöcher, um in aller Ruhe Daten abzugreifen, ohne eine Entdeckung befürchten zu müssen.

Sicherheit durch Sichtbarkeit: Die besonderen Anforderungen des IoT

Das Internet der Dinge besteht nicht nur aus Smartwatches und intelligenten Kaffeemaschinen. So spielt das IoT etwa in industriellen Anlagen eine wachsende Rolle, gerade auch in Deutschland. Die Netzwerke im Produktionsumfeld ähneln immer mehr den Netzen in Büroumgebungen. Die Steuerung und Überwachung wird zunehmend digitalisiert; Computer und mobile Geräte werden als Steuerungskonsolen eingesetzt und vermitteln dem Anwender das Gefühl, sich eher in einer üblichen Büroumgebung als in einer Produktionsumgebung zu befinden.

Vom Sicherheitsstandpunkt aus können industrielle Fertigungsanlagen nicht als gewöhnliche Bürocomputer betrachtet werden. Auch sie sind intelligente „Dinge“, die untereinander vernetzt sind und Maschine-zu-Maschine-Kommunikation (M2M) verwenden. Auf SCADA-Systemen, selbst wenn sie auf weit verbreiteten Betriebssystemen basieren, können keine Patches oder Sicherheitstools installiert werden. Andernfalls könnten ihre Funktionalität und die Integration in das Produktionssystem nicht mehr gewährleistet werden. Aktive Scans könnten zum gleichen Ergebnis führen und Stillstände bewirken.

Auch sind vielfach proprietäre Systeme im Einsatz, die spezielle Anforderungen stellen. Wenn auf IoT-Geräten ein Antivirus-Client oder eine andere Software installiert wird, kann die Leistung darunter leiden. Das Risiko, dass solche Anwendungen die Produktion beeinträchtigen, ist zu hoch, und deshalb sind sie verboten. Die eiserne Regel der Fertigungsindustrie besagt, dass die Produktion unter allen Umständen gewährleistet bleiben muss. Ausfälle sind nicht tragbar.

Zudem ist der Kreis der Anwender vielfältig zusammengesetzt: Dienstleister, Freelancer und anderes Personal loggen sich mit ihren eigenen Geräten im Netzwerk ein. Da Fabriken große Anlagen mit vielschichtigen Prozssen sind, müssen die verschiedenen Vorgänge zeitlich exakt abgestimmt werden, um einen reibungslosen Betrieb zu gewährleisten. Wenn nur ein einziger Schritt nicht funktioniert, gerät die ganze Produktion ins Stocken oder wird unterbrochen.

Industrielle Steuersysteme werden im Allgemeinen als Offline-Systeme entwickelt und programmiert und sind für isolierte Produktionsumgebungen ausgelegt. Die Herausforderung besteht somit darin, ein Sicherheitskonzept zu finden, das eine nahtlose Integration in eine zeitkritische Umgebung mit einer Vielzahl verschiedener Nutzer und Geräte ermöglicht, ohne dass aktive Eingriffe vorgenommen werden müssen. Zudem dürfen die IT-Mitarbeiter nicht zu stark belastet werden und müssen von einer zentralen Stelle aus Überblick haben. Insbesondere kritische Fernzugriffswege, die die Kontrolle über Bedieneinheiten ermöglichen, sind gefährdet und bedürfen besonderer Aufmerksamkeit.

Ein weiteres Beispiel: IoT im Gesundheitswesen

Nach den jüngsten Ransomware-Angriffen wurden mehrere Einrichtungen des Gesundheitswesens Opfer von Cyber-Attacken. Solche Angriffe auf den Gesundheitssektor sind für Online-Kriminelle höchst vielversprechend, weil personenbezogene Daten zahlreiche persönliche Details enthalten, die sich beispielsweise wiederum für Spearphishing ausnutzen lassen.

Man muss sich klar machen, dass zahlreiche Geräte in diesem Sektor zum IoT gehören. Auch Herzmonitore und Ultraschallgeräte greifen auf Netzwerke zu. Solche Geräte hinterlassen im Netz einen kleinen Footprint, und ihre Betriebsplattformen sind schwer zu verändern. Und auch wenn klinische Geräte Netzwerkzugriff erfordern, unterstützen sie in der Regel keine Supplicants und keine Installation von Agenten. Zudem lassen auch hier die meisten Hersteller keine aktive Sicherheitssoftware zu. Aktive Mechanismen sind tabu, weil sie die Leistung der Geräte beeinträchtigen könnten.

Im Gegensatz zum Fertigungssektor hat das Funktionieren des IoT im Gesundheitswesen unmittelbare Auswirkungen auf das Wohlergehen von Menschen. Ärzte müssen in ihrer gewohnten Umgebung arbeiten können. Bestimmte medizinische Geräte bedürfen besonderer Aufmerksamkeit und Sicherheitsvorkehrungen, um die Daten der Patienten oder gar ihr Leben zu schützen. Statt einer dichotomen Whitelist ist hier ein feinkörnigerer Ansatz mit präziseren Schritten erforderlich. Es muss individuell abgestufte Richtlinien für unterschiedliche Gerätegruppen geben. Ein bloßer Verdacht auf ein Sicherheitsproblem ist eine heikle Sache, da die Geräte nicht einfach abgeschaltet werden können, wenn sie gerade verwendet werden.

Sicherung von IoT

Zur Absicherung des IoT können Lösungen auf Netzwerkebene dienen. Network Access Control ist mittlerweile so ausgereift, dass sie zu Grundpfeilern der IoT-Sicherheit werden kann. Sie arbeitet ohne Agenten und muss keine Zertifikate austauschen, um zwischen Freund und Feind unterscheiden zu können. Sobald ein Gerät versucht, sich im Netzwerk anzumelden, wird es auf Erfüllung bestimmter Regeln geprüft, und sein Verhalten so lange überwacht, wie es verbunden bleibt.

In beiden Beispielen – Produktionssektor und Gesundheitswesen – ließen sich Geräte beim ersten Netzwerkzugriff identifizieren. Außerdem werden Endgeräte automatisch in ein geeignetes abgetrenntes VLAN segmentiert. So ist gewährleistet, dass lebenswichtige Herzmonitore nicht vom falsch konfigurierten Smartphone oder Tablet eines Arztes gestört werden oder dass Produktionsanlagen nicht über das Laptop eines Mitarbeiters oder das Gerät eines externen Dienstleisters mit Malware infiziert werden können.

Ergänzendes zum Thema
 
Netzwerk-Zugangskontrolle als Stütze

Fazit

Angesichts der Diskussion um „Industrie 4.0“ und der fortgesetzten Digitalisierung lässt sich absehen, dass die Zahl der nicht-standardisierten Geräte in den Netzen enorm ansteigen wird. Unternehmen müssen dieser Entwicklung Rechnung tragen und ihre Sicherheitsstrategien in geeigneter Weise justieren.

Markus Auer
Markus Auer (Bild: Forescout)

Späte Anpassungen von Sicherheitsarchitekturen sind schwierig und führen oft zu verminderter Produktivität. Das IoT einfach zu verbannen ist keine Lösung, weil Mitarbeiter Sicherheitsmaßnahmen gern umgehen, wenn sie das Gefühl haben, dass das ihrer Produktivität dienlich ist. Neben dem Schutz muss mithilfe der richtigen Tools auch die Effizienz der IT-Sicherheitsabteilungen erhöht werden.

* Markus Auer ist Regional Sales Director DACH bei ForeScout Technologies Inc.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44096943 / Netzwerk-Security-Devices)