Das Internet of Things (IoT) wächst rasant. Im gleichen Masse steigen die IoT-Risiken, denn vernetzte Geräte haben Schwachstellen, die von Cyber-Kriminellen mit teilweise geringem Aufwand ausgenützt werden. Zudem ist die Security bei IoT Devices ein Thema, das oftmals vernachlässigt wird. Erfahren Sie im Blogbeitrag, welche Massnahmen die IoT-Risiken effektiv senken und inwiefern «Security by Design» im Sicherheitsdispositiv zentral ist.
Die Welt wird immer digitaler und vernetzter. Folgendes Beispiel zeigt auf, wie Schwachstellen im Rahmen von Cyber-Attacken ausgenützt werden und für die Unternehmen so zum Risiko werden: Im Sommer 2021 blieben hunderte schwedische Lebensmittelläden tagelang geschlossen, weil das russische Hacker-Kollektiv «REvil» den US-Managed-Service-Provider (MSP) Kaseya angegriffen hat. Es fand eine Schwachstelle im System, mit dem Kaseya seine Managementsoftware verteilt und wartet. Die Angreifer drangen ein und verschickten ein manipuliertes Sicherheits-Update, um Kaseyas Kundschaft mit Ransomware zu attackieren. Die getarnte Ransomware-Datei installierte sich auf den Rechnern der Kundschaft automatisch – wie es im Bereich der MSP üblich ist. Kaseya reagierte schnell und setzte das System neu auf. Deshalb waren in einem ersten Schritt nur 70 von weltweit 37'000 Kunden von der Ransomware betroffen. Da diese 70 aber IT-Dienstleister für andere Unternehmen waren, konnte sich die Schadsoftware weiterverbreiten und schliesslich fast 2’000 weitere Unternehmen infizieren.
Eine Studie des israelischen Check Point Research (CPR) hat weltweit die Cyber-Angriffe des Jahres 2022 ausgewertet. Die Attacken nahmen gegenüber dem Vorjahr um 38 Prozent zu. Laut CPR waren Bildungs- und Forschungseinrichtungen am stärksten betroffen und verzeichneten einen Anstieg von 48 Prozent verglichen mit 2021. Gleich dahinter folgen Institutionen im Bereich Government/Military und Healthcare.
Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ging einen Schritt weiter und zählte, wie viele verschiedene Varianten von Schadsoftware im Jahr 2022 Computer deutscher Unternehmen und Institutionen angriffen. Im Durchschnitt waren es über 300'000 Varianten pro Tag.
Arten von Cyber-Attacken auf IoT-Geräte
Grundsätzlich können Cyber-Attacken auf IoT-Geräte grob drei Kategorien zugewiesen werden: Attacken, welche auf das Nutzerverhalten abzielen, breit angelegte Malware-Attacken, welche auf falsches Nutzerverhalten und technische Schwachstellen abzielen und schliesslich Exploits, bei welchen technische Schwachstellen unabhängig vom Nutzerverhalten systematisch ausgenutzt werden.
Sicherheitslücken können sich überall öffnen – insbesondere bei mit dem Internet vernetzten Geräten mit ihren zahlreichen Schnittstellen. Sie sind deshalb so anfällig auf Cyber-Attacken, weil viele Geräte wie zum Beispiel Medtech Devices oder Maschinensteuerungen ursprünglich nicht für eine Vernetzung entwickelt worden sind. Man kann sie zwar vernetzen, doch sie widerstehen Angriffen nicht, weil sie ungenügend gehärtet und oft ungepatched sind. Darüber hinaus sind die Systeme immer eingeschaltet, immer online, leicht ausnutzbar, oft schlecht gewartet, selten überwacht und entsprechen nur geringen Security-Standards.
IoT-Anwendungen sind auch meistens nicht stand-alone, sondern vielmehr Bestandteil eines komplexen IoT-Ökosystems. Diese beinhalten häufig eine Vielzahl von Geräten – von einfachen Sensoren bis hin zu komplexen Servern sowie weiterer Hardware dazwischen. Auch die Art der Daten ist vielfältig: von der Verarbeitung von Einzeltransaktionen bis hin zur Erfassung riesiger Mengen an Sensordaten, die an unterschiedlichen Stellen erhoben, aggregiert und analysiert werden.
Deshalb muss bereits das einzelne IoT-Gerät selber schon sicher sein, um die Sicherheit des gesamten IoT-Ökosystems nicht zu gefährden und die IoT-Risiken zu minimieren. Das hierzu notwendige spezifische Fachwissen in der Product Cyber Security fehlt jedoch bei vielen Herstellern von IoT-Anwendungen, was die IoT-Risiken zusätzlich erhöht.