Studie: Security im IoT Die wundersame Welt der Sportler, Glühbirnen und Haustiere

Von Andreas Bergler

Wie sicher können sich IT-Entscheider noch fühlen angesichts der wachsenden Zahl der Geräte im Internet, die ans Unternehmen angeschlossen werden? Palo Alto ging der Frage in einer großen Studie nach und hat dabei bizarre Dinge zutage gefördert.

Firmen zum Thema

Vom Haustier bis zum Laufband: Immer mehr „Dinge“ werden vernetzt - und bieten daher Angriffsfläche für Cyberkriminelle.
Vom Haustier bis zum Laufband: Immer mehr „Dinge“ werden vernetzt - und bieten daher Angriffsfläche für Cyberkriminelle.
(Bild: FABIAN PONCE GARCIA - stock.adobe.com)

Was haben Laufbänder, Kaffeemaschinen und Aquarien gemeinsam? Viele dieser ­Gegenstände sind heute ans Internet angeschlossen, sammeln und schicken Daten irgendwohin und sind direkt über den Browser ansprechbar. Und es werden immer mehr. Tolle Sache! Schließlich treibt das die Digitalisierung voran, und alles wird intelligenter. Aber wo viel Licht ist, ist viel Schatten, und wo viele intelligente Glühbirnen das Homeoffice erhellen, stehen auch die Mächte der Finsternis bereit, um mit deren Hilfe ganzen Unternehmen das Licht auszublasen.

Der Security-Anbieter Palo Alto hat nun zusammen mit den Marktforschern von Vanson Bourne in einer internationalen Studie herausgefunden, dass dieses ­düstere Bild leider nur wenig übertrieben ist. Vielmehr sind es nicht nur smarte Lampen, sondern auch allerlei andere Gegenstände, die Anschluss ans Unternehmensnetz finden und über die Angreifer dort eindringen können. Befragt wurden hierfür 1.900 IT-Entscheidungsträger in Unternehmen in 18 Ländern, vor allem in Europa, Nordamerika, dem Nahen Osten, Asien und Australien. Die Studienteilnehmer ­kamen dabei aus den unterschiedlichsten Branchen: von IT- und Technologie-Firmen über verarbeitende und kaufmännische ­Betriebe bis hin zu Dienstleistern.

Schattenseiten der Vernetzung

Das Internet of Things (IoT) ist zwar nicht der neueste Technik-Trend auf unserem Planeten. Neu ist aber der plötzliche, starke Anstieg des Gefährdungspotenzials, das mit dem sorglosen Anschließen aller möglichen Kleingeräte ans Firmennetz einhergeht. „Irgendwelche internetfähigen Ein-Dollar-Geräte werden heute mal schnell mit millionenschweren Business-Servern verbunden“, bezeichnet Sergej Epp, Chief Security Officer, Central Europe, Palo Alto Networks, die neue Qualität der Situation. Mit ihrem Schub für das Homeoffice und das mobile Arbeiten wirkte die Corona-Pandemie als Brandbeschleuniger der ­Gefahrenlage. Denn laut Studie berichten knapp achtzig Prozent der Befragten, im vergangenen Jahr eine Zunahme privater IoT-Endgeräte im Firmennetz beobachtet zu haben. In Deutschland berichteten dies „nur“ 65 Prozent.

Auffällig sind dabei Geräte, die rein gar nichts in einem Unternehmensnetz zu ­suchen haben, wie Futterautomaten für Haustiere, Kameras, um Hund, Katze oder Vogel im Blick zu behalten, sowie Fitnesstracker oder Diabetes-Messgeräte. Von ­privaten Überwachungskameras und tragbaren medizinischen Geräten wussten 32 beziehungsweise 29 Prozent der Studienteilnehmer zu berichten. Vernetzte Haustiertechnologie taucht in deutschen Unternehmensnetzwerken in über einem Drittel aller Fälle (35 %) auf – erstaunlich auch ­angesichts der Tatsache, dass nicht jeder Mitarbeiter überhaupt ein Haustier (von dem er weiß) besitzt.

Epp spricht in dem Zusammenhang von ­einer explosiven Zunahme bei der Vernetzung von Haustiertechnologien und weist auf das nicht zu unterschätzende Gefahrenpotenzial hin. Denn prinzipiell sei es leichter, sich über den Umweg eines IoT-Geräts in ein Firmennetz zu hacken als über den bekannten Weg der Phishing-Mails, so der Experte. Vielen Anwendern, die ihre smarten Geräte mit dem Unternehmensnetz verbinden, sind die Möglichkeiten für Kriminelle nicht bewusst. Anders ließe sich beispielsweise der Einbruch in ein Casino in Las Vegas nicht erklären, den Hacker über den Thermostat des dortigen Aqua­riums eingeleitet hatten und der es ihnen ermöglichte, dieses auszurauben.

Gegenmaßnahmen

Zurück nach Deutschland. Hier hat fast ­jeder Zehnte noch gar nicht an die Verbesserung der IoT-Sicherheit im Unternehmen nachgedacht, so die Studie. Eine gefährliche Strategie, denn im vergangenen Jahr haben 80 Prozent der Unternehmen einen ­Anstieg an IoT-Geräten beobachtet. 78 Prozent der IT-Entscheider berichten von einer Zunahme von Sicherheitsvorfällen im Zusammenhang mit IoT-Geräten. „Deshalb ist es zwingend notwendig, dass Firmen hier sorgsam agieren und die notwendigen Vorkehrungen treffen“, mahnt Epp. Immerhin sieht fast ein Viertel der Befragten (23 %) in Deutschland die Notwendigkeit, die ­Sicherheitsstrategien und -praktiken im Unternehmen zu überarbeiten.

Als einen der wichtigsten Schritte empfiehlt Palo Alto die Mikrosegmentierung. Heimanwender können hierzu ein Gast-WLAN einrichten, das für alle IoT-Geräte bestimmt ist, während das Hauptnetz den ­anderen Geräten vorbehalten ist. Für ­große Unternehmen empfiehlt sich eine „Zero-Trust“-Strategie (s. Kasten). Eine SASE-­Lösung (Secure Access Service Edge) wäre schließlich der Königsweg zur Durchsetzung ­eines einheitlichen Sicherheitsrichtlinienmanagements.

Weitere Schritte zur Erhöhung des Sicherheitsniveaus sind:

  • Einsicht ins Netzwerk mit den verbundenen Geräten: Consumer sollten ihren Router kennen und die Security-Einstellungen verwenden. Unternehmen und Heimanwender sollten auf der Weboberfläche des Routers nach verbundenen Geräten und DHCP-­Clients suchen, um nicht benötigte Geräte vom Netz zu nehmen.
  • Auch für privaten Gebrauch empfiehlt sich die weitestgehende Anwendung der Zwei-Faktor-Authentifizierung.
  • Sicherheitsupdates sollten prinzipiell in jedem Netz akzeptiert und angewendet werden, ebenso wie bekannte Schwachstellen in IoT-Geräten möglichst rasch beseitigt gehören.
  • Unternehmen können darüber hinaus Maßnahmen zur Abwehr bekannter Bedrohungen automatisiert einleiten.
  • Gegen unbekannte Bedrohungen greift eine IoT-Sicherheitslösung auf Gefahreninformationen von diversen Quellen zu, prüft IoT-Identitätsinformationen und bewertet Risiken, um automatisiert darauf zu reagieren.

Grundsätzlich sollten Anwender die „Cyber-Hygiene“ stets im Blick haben. Laut Sergej Epp gehört dazu auch „ein gesundes Maß an Vorsicht, speziell wenn bisher unbekannte Anwendungen und Geräte mit ­einem Netzwerk verbunden werden.“ Der Security-Experte beobachtet zwar grundsätzliche Verbesserungen des Problem­bewusstseins in den Unternehmen, aber Security-Awareness allein reicht noch nicht. Hinzu müsse die technologische Ebene kommen. Ein erster Ansatz kommt bereits vom TÜV Süd: Der Technische Überwachungsverein hat soeben das CSC-Prüfzeichen (Cybersecurity Certified) an den Start gebracht, das die Cybersicherheit für IoT-Geräte bescheinigen soll. Als erstes Gerät wurde ein Saugroboter eines US-amerikanischen Herstellers zertifiziert.

(ID:47873986)