Risiken bei Smart Buildings Vernetzte Gebäude als unterschätzte Gefahr

Deutsche Unternehmen nähern sich weiter dem Internet der Dinge (IoT) an, unterschätzen aber noch immer die Gefahrenlage. In der deutschen Wirtschaft denken viele bei IoT und Operational Technology (OT) vor allem an Produktion und Smart Factory. Es gibt aber mit Smart Building einen unterschätzen Bereich, der jede Organisation betrifft und häufig gar nicht als Sicherheitsrisiko erkannt wird.

Anbieter zum Thema

Moxa Europe GmbH

Fujitsu Technology Solutions GmbH

TXOne Networks

ForeScout Technologies, Inc.

Das Internet der Dinge ist keine neue Welt mehr. In immer mehr Bereichen werden die Geräte intelligent, gleichzeitig haben Unternehmen Probleme mit Erkennung und Verwaltung von Endpunkten. Dies führt zu Sicherheitsrisiken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fasst in seinem aktuellen Lagerbericht das Thema so zusammen: „Feststellbar ist jedoch, dass häufige Berichte über IT-Sicherheitsvorfälle bei Verbrauchern und Herstellern zu einem wachsenden Bewusstsein für die Risiken durch vernetzte Geräte beigetragen haben. Viele Frameworks und Protokolle, die im Internet der Dinge eingesetzt werden, bieten mittlerweile mehr Sicherheitsfunktionen und setzen diese ein. Außerdem wird schneller auf Schwachstellen in den Geräten reagiert. Dennoch bietet allein die schiere Anzahl der mit dem Internet verbundenen und nicht ausreichend gesicherten Geräte weiterhin ein lohnendes Ziel, das von Cyber-Kriminellen für ihre Zwecke genutzt werden kann.“

Die Gefahrenlage hat sich grundlegend gewandelt, denn durch die Integration immer weiterer Devices mit direkter Internetverbindung, öffnen sich neue Angriffsvektoren. In der deutschen Wirtschaft denken viele beim Internet der Dinge und Operational Technology vor allem an Produktion und Smart Factory. Es gibt aber im Bereich Smart Home einen unterschätzen Bereich, der jede Organisation betrifft und häufig gar nicht als Sicherheitsrisiko erkannt wird.

Dabei muss man sich zwei Fakten vor Augen führen: Zum einen wurden im Jahr 2018 20 Prozent aller smarten Gebäude Opfer von digitalem Vandalismus. Ein Beispiel wie dies in der Praxis aussehen kann ist der Vorfall in einem österreichischen Hotel aus dem Jahr 2016. Dort wurden die Gäste in ihrem Zimmer eingesperrt. Die Cyberkriminellen öffnete die Zimmer erst wieder, nachdem ein Lösegeld gezahlt wurde.

Der zweite wichtige Punkt ist, dass viele Gebäude bereits vernetzt sind, obwohl sie nicht als „smart“ gelabelt sind. Viele Einrichtungen nutzen Building Management Systeme (BMS), um physische Komponenten zu steuern: Videoüberwachung, Fahrstühle, Belüftung und Heizung. In vielen Anlagen wie Rechenzentren, Bürogebäuden, aber auch in Krankenhäusern und öffentlichen Institutionen gehören sie seit Jahren zum Standard. Im Unterschied zu modernen Smart Home-Lösungen finden sie relativ wenig Beachtung, da sie Operational Technology (OT) sind und ohne direkten Internetzugriff geplant und lange Zeit als Insellösung genutzt wurden.

Vernetze Gebäude sind angreifbar

Das Problem ist, ähnlich wie bei Industrial Control Systems (ICS), dass IoT-Endpunkte die Trennung vom Internet aufheben. IT & OT vermischen sich und eine immer größere Anzahl von heterogenen Endpunkten greift auf Netzwerkressourcen zu. Besonders kritisch ist zudem, dass im Vergleich zu ICS die Technologie in smarten Gebäuden noch offener ist und es zudem deutlich mehr mögliche Geräte genutzt werden können. Im Industriebereich sind die Anlagen meistens auf den Bereich Produktion limitiert. Dagegen gibt es nahezu keine Limitierung für Einsatzmöglichkeiten von digitaler Innovation im Facility Bereich.

Daher werden viele Einrichtungen nach und nach immer smarter. Denn BMS-Technologie wird durch günstigere IoT-Geräte Stück für Stück ersetzt. Anstatt einer Verwaltung vor Ort findet die Verwaltung der Devices über WiFi oder Bluetooth-Netzwerke statt. Mit jedem smarten Device wächst die Konnektivität und damit die Erreichbarkeit aus dem Internet. Immer mehr Prozesse können so aufeinander abgestimmt werden, allerdings erkennen Kriminelle auch neue Wege, um Unternehmensnetzwerke zu kompromittieren.

Die meisten Unternehmen erkennen nicht, wie umfangreich ihre Infrastruktur mittlerweile ist und dass sie im Zuge der Digitalisierung nicht nur um einzelne Endgeräte, sondern um ganze Bereiche wie eben BMS ausgeweitet werden.

Angriffe auf OT & IT mit Malware wie Stuxnet, TRITON oder Industroyer machen klar, dass schwerwiegende Angriffe auf genau solche Netzwerke möglich sind und verschweigende Folgen haben. Trotz der Fortschritte im Bereich IoT-Sicherheit, wie sie im BSI-Bericht erwähnt werden, haben Cyberkriminelle immer noch leichtes Spiel, denn viele Unternehmen haben keine Technologie implementiert, die alle Endgeräte erkennen und managen kann. Fakt ist, dass viele Organisationen nicht genau wissen, wie viele Geräte aktuell mit ihrem Netzwerk verbunden sind.

Dies wäre aber die Grundlage, um Subsysteme richtig zu segmentieren. Denn gerade bei OT besteht immer die Gefahren von lateralen Bewegungen. Durch die immer weiterwachsende Anzahl von Endpunkten fällt es den Hackern leicht, einen Angriffsvektor zu finden und dann andere Sicherheitsmechanismen auszumanövrieren. Abwehrmechanismen wurden aber nicht entsprechend angepasst.

Einige Hersteller von smarten Geräten haben damit begonnen, Sicherheitsfeatures in ihre Produkte zu integrieren und stellen zudem Patches bereit, um bekannt gewordene Schwachstellen zu schließen. Allerdings gibt es keine verbindlichen Vorgaben. Zudem verbleiben Komponenten in Gebäuden häufig wesentlich länger im Einsatz als andere IT-Bauteile, sodass nicht alle auf den neuesten Stand gebracht werden können.

Die Gefahr unbekannter Schwachpunkte droht immer, falls keine entsprechenden Abwehrmechanismen implementiert wurden. Zudem besteht das Problem, dass unverwaltete Geräte zwar theoretisch patchbar wären, die Updates aber in der Praxis nicht eingespielt werden, da sie von den Sicherheitsverantwortlichen nicht als Schwachstelle erkennbar sind.

Cyberkriminellen finden diese Geräte ohne Probleme. Auf Plattformen wie Shodan oder Censys lassen sich legal Tausende angreifbare Devices finden. Viele davon eignen sich sogar für Remote Code Execution, sodass man ohne Phishing-Attacken oder andere Vorbereitung Schadsoftware in großem Umfang verteilen kann.

Für Kriminelle gibt es verschiedene Motivationen für Attacken. Zum einem geht es um Erpressung. Wie erwähnt kam es zu einer Erpressung in Österreich, allerdings muss es sich nicht unbedingt um Hotelgäste handeln. Möglich ist auch das Einschleusen von Ransomware. Vor einigen Jahren machte zudem das Mirai-Botnet Schlagzeilen. Es verursachte große Schäden durch umfangreiche DDoS-Attacken. Die Rechenleistung dazu kam aus unzureichend Geschützen IP-Kameras.

Fazit: Der Gefahr begegnen

Es gibt kein ultimatives Sicherheitstool, das absoluten Schutz gewährleisten könnte. Daher müssen Unternehmen Sichtbarkeit und Transparenz aller Endpunkte gewährleisten – sobald diese eine Verbindung zum Netzwerk aufbauen. Dabei geht es nicht nur um IoT-Geräte, sondern auch OT und virtuelle Maschinen in der Cloud oder im Rechenzentrum.

IT-Entscheider müssen ihre Sicherheitsstrategie entsprechend anpassen. Existierende Schutzmechanismen müssen gezielt koordiniert werden, im Idealfall über ein agentenloses Response Center, das alle Endgeräte automatisch erkennt und verwaltet. IT-Administratoren haben dann die Möglichkeit, Richtlinien für alle Geräte im Netz zu erstellen und durchzusetzen. Und die IT-Verantwortlichen können dann sicher sein, dass sich die Lösungen, in die sie investiert haben, auszahlen und Resultate erbringen – auch wenn neue Herausforderungen hinzukommen.

Über den Autor: Stephan von Guendell-Krohne ist Sales Director DACH bei ForeScout.

(ID:45790650)