Das Internet of Things (IoT) ist auf dem Vormarsch und mit ihm die entsprechenden Risiken. Eine aktuelle Studie warnt: Der IoT-Geräteverkehr läuft fast vollständig ungeschützt – die Gefahren sind immens. Um diese zu minimieren, müssen Unternehmen die IoT Security von Beginn weg berücksichtigen und die Geräte im Kern sicher machen. Welche Schwachstellen Cyber-Kriminelle nutzen und wie verlässlicher Schutz von IoT-Geräten ausgestaltet sein muss, erfahren Sie in diesem Blogpost.
Viele Millionen Geräte verbinden sich tagtäglich mit dem Internet. Das weltweite IoT-Netzwerk wird immer dichter – sowohl durch den stark steigenden Einsatz von IoT-Anwendungen in der Industrie als auch im privaten Bereich. Für Experten steht fest: Die Vernetzung hat erst begonnen. Sie rechnen bis im Jahr 2025 mit 75 Milliarden vernetzten IoT Devices weltweit.
Das riesige Potenzial von IoT-Lösungen macht häufig blind für deren Risiken. Eine Analyse zählte im ersten Halbjahr 2019 105 Millionen Cyber-Attacken auf IoT-Geräte – neun Mal so viele wie noch ein Jahr zuvor. Das Problem: IoT-Geräte sind oftmals rund um die Uhr in Betrieb, immer online und vor allem auch schlecht gewartet beziehungsweise aktualisiert und selten überwacht. Zudem liefern sie, in Kombination mit der Kenntnis zum Einsatzumfeld, zunehmend Auskunft über den Benutzer oder kritische Prozesse.
Die Studie «Unit 42 IoT Threat Report» kommt zum Schluss: Die meisten Unternehmen sind schlecht gegen Cyber-Angriffe gewappnet. 98 Prozent des IoT-Geräteverkehrs wird unverschlüsselt abgewickelt. Mehr als die Hälfte der Geräte sind dabei für mittlere und schwere Angriffe interessant. In diese Kategorie fallen etwa auch Sicherheitskameras oder Drucker. Laut dem Bericht sind letztere für fast ein Viertel aller Sicherheitsprobleme verantwortlich.
Sicherheitslücken bei IoT Devices und IoT-Plattformen sind ideale Einfallstore für Cyber-Kriminelle, um an die IT-Infrastrukturen von Unternehmen oder Produktionsanlagen zu gelangen.
Dass zahlreiche im Einsatz stehende IoT-Geräte gravierende Sicherheitsmängel aufweisen, stellen auch die IoT Security-Experten der CyOne Security in Gesprächen mit Kunden regelmässig fest.
In den meisten Fällen sind IoT-Geräte lediglich Einfallstor und Sprungbrett für seitliche Bewegungen, um andere Systeme in einem Netzwerk anzugreifen: zum Beispiel das Active Directory der IT oder die Produktionsanlage. Cyber-Kriminelle können so ganze Produktionsketten lahmlegen, Kundendaten manipulieren oder schlimmer noch: Leben gefährden – so etwa im Strassenverkehr (Smart Mobility) oder in der Medizintechnik (IoMT).
Dabei werden Schwachstellen gezielt ausgenutzt. Verschaffen sich Kriminelle Zugriff auf eine vernetzte Fertigungsanlage (Smart Factory), können sie etwa über Software-Bibliotheken von Drittanbietern Schadsoftware implementieren und damit den Betrieb in der Produktion stoppen oder die Qualität manipulieren. Bis das betroffene Gerät als Verursacher identifiziert werden kann, fallen durch nicht verfügbare Dienste Ausfallzeiten an.
Auch immersive Technologien oder Maschinensteuerungssysteme mit Human-Machine-Interfaces (HMI) bieten eine breite Angriffsfläche. Bei Letzteren handelt es sich oft um Industrierechner, also Windows- oder Linuxbasierte Rechner mit vielen Schnittstellen. Da ein Update Stilstandzeiten verursacht und Kosten für das Testing und Kontrollen anfallen, werden die Rechner nur selten mit Updates oder Patches versehen. Dies macht die Standardsysteme anfällig für Schwachstellen.
Der sensibelste Endpunkt eines intelligenten Fertigungssystems ist aber das Produktionsleitsystem: Es hat eine Brückenfunktion und verbindet den Bereich Produktion mit dem übrigen Unternehmensnetzwerk. Schon die kleinste Modifikation in einem der Datensätze kann schwerwiegende Folgen haben – zum Beispiel, wenn die Auftragssteuerung das falsche Material produziert oder fehlende Daten vollständige Produktionsausfälle verursachen.
Lohnt es sich für Sie, die Fachkompetenz zum Thema IoT Security intern aufzubauen? Oder ist der Einkauf von Expertise sinnvoller? Die Entscheidungs-Checklisten «IoT Security Make or Buy?» schaffen Klarheit und unterstützen Sie im Entscheidungsprozess.
Cyber-Kriminelle sind vielfach technologisch auf dem aktuellsten Stand; ihre Attacken auf Systeme werden laufend optimiert und variiert. Die sechs häufigsten Angriffsvektoren für Erstzugriffe sind gemäss dem X-Force Threat Intelligence Index 2020 von IBM:
Phishing: Mittels gefälschter Websites oder E-Mails werden persönliche Daten Dritter beschafft.
Scan & Exploit: Schwachstellen werden systematisch gescannt und ausgenutzt.
Unbefugte Verwendung von Anmeldedaten: Zuvor erbeutete Anmeldedaten werden für einen gezielten Angriff auf ein Unternehmen genutzt.
Brute-Force-Angriffe: Nach dem Trial-and-Error-Prinzip wird versucht, z.B. Zugangsdaten Dritter zu erraten.
Kompromittierung von Mobilgeräten: Beispielsweise können durch Mobilgeräte Schadsoftware und beschädigte Inhalte in das Unternehmensnetzwerk eingebracht werden.
Waterholing: Schadsoftware wird gezielt auf Webseiten installiert, die von Mitarbeitenden der im Visier stehenden Organisation häufig aufgesucht werden.
Die massive Zunahme von Cyber-Angriffen auf IoT-Geräte zwingt die Industrie zum Handeln. Sie muss Risiken erkennen und managen, um ihre Kerngeschäfte und Infrastrukturen zu schützen. Zentral dabei ist, die Product Cyber Security von Anfang an mitzudenken. Um IoT-Gefahren zu minimieren, ist die Nachrüstung mit Sicherheitskomponenten um das Gerät herum der falsche und teurere Weg. Sie torpediert die Mobilität, verlangsamt das Tempo der Veränderungen und erschwert Innovationen.
Die Lösung ist «Security by Design»: Die Sicherheitsmassnahmen werden dabei nicht nur an der Peripherie, sondern vor allem auch innerhalb des Produkts umgesetzt – insbesondere in dessen Hard- und Software.
Die CyOne Security unterstützt Hersteller und Betreiber von IoT-Anwendungen mit ihrem fundierten Fachwissen, um höchstmögliche, nachhaltige und umfassende IoT Security zu erreichen. Somit müssen Kunden nicht die ganzen Security-Kompetenzen aufbauen, sondern sie können projektbezogen die fehlenden Kompetenzen von einem Experten beziehen.
Beitrag teilen
