- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Wie sicher sind IoT-Geräte?


Herausforderung für Unternehmen: Endpunkt-Sicherheit für IoT-Umgebungen
Wo liegt der künftige Einsatzschwerpunkt für IoT-Security-Technologie?

- Anzeigen -





Autor Klaus Gheri
Autor Klaus Gheri Die Vielfalt und die Auswirkungen von Angriffen auf IoT-Geräte sind enorm, Bild: Barracuda Networks

Von Klaus Gheri, Vice President und General Manager Network Security bei Barracuda

Von Lieferfahrzeugen über Geldautomaten und Klimaanlagen bis zu Überwachungskameras; die Möglichkeiten, Industriegeräte mit dem Internet zu verbinden sind groß. Das Internet der Dinge hat die Geschäftswelt erreicht. Mit der fortschreitenden industriellen Vernetzung wird auch die Sicherung von IoT-Implementierungen zu einem drängenden Thema. Worauf müssen Unternehmen achten und wie ist es derzeit um die IoT-Sicherheit in Unternehmen bestellt?

Eine genaue Aussage zu treffen, wie sicher oder unsicher das Internet der Dinge wirklich ist, macht die schiere Anzahl an IoT-Geräten und Anwendungsbeispielen sehr schwierig. Die anhaltend schnelle Entwicklung erschwert es Unternehmen deutlich, in punkto Sicherheit immer auf dem Laufenden zu bleiben. Typischerweise achten Unternehmen, die IoT-Geräte implementieren wollen, mehr auf Funktionalität und Remote-Zugriff als auf Sicherheit. So entsteht eine gefährliche Lücke innerhalb des Systemdesigns und der Architektur.

Eine unzureichende Verschlüsselung und schwache Authentifizierungsschemata sind die häufigsten Ursachen, die IoT-Geräte für Datendiebstähle anfällig machen. Nicht selten sind die Gerätesysteme "geschlossen", dass heißt, sie lassen sich nur schwierig remote verwalten oder aktualisieren. Eine einfache Verwaltung von Endgeräten ist aber wichtig. Normalerweise befinden sich innerhalb eines Unternehmens oder einer Organisation viele solche Geräte im Einsatz, was es praktisch unmöglich macht, physisch auf jedes einzelne Gerät zugreifen zu wollen.

Ein moderner Geschäftsbetrieb verlangt heutzutage vernetzte Geräte, um den wirtschaftlichen und technologischen Anschluss nicht zu verlieren und auf jegliche Informationen und Veränderungen schnell und entsprechend zeitnah reagieren zu können. Eine der größten Herausforderungen für Unternehmen ist es, all diese Informationen an die zentrale Stelle zurückzumelden, ohne dass sie unbefugt abgeschöpft werden.

Welcher Schaden kann durch den Angriff auf ein IoT-Gerät entstehen?
Die Vielfalt und die Auswirkungen von Angriffen auf IoT-Geräte sind enorm. So können Hacker beispielsweise die gleichen Schadprogramme nutzen, die Verbraucher in Spam-E-Mails herunterladen und damit die gesamte Netzwerkstruktur eines Unternehmens lahmlegen. Schafft es ein Hacker, auf die Web-Konsole eines Geräts zuzugreifen oder sich in das Gerät einzuloggen, ist es ein Leichtes, das Gerät fortan zu kontrollieren. Ist das Gerät zudem Teil einer sicherheitsrelevanten Infrastruktur, etwa von Energieversorgern, stehen buchstäblich alle Türen offen, um einen nicht nur immensen wirtschaftlichen Schaden anzurichten, sondern auch Menschenleben zu gefährden.

Betreiber von Windparks beispielsweise sehen sich einem großen Gefahrenpotenzial gegenüber. Große Windparks mit mehreren Hundert Turbinen, die Strom für mehr als 300.000 Haushalte liefern können, dürfen nicht außer Kontrolle geraten. Die Verbindung zu jeder Turbine muss immer gewährleistet sein. Würden diese Turbinen gehackt und erpresserisch blockiert oder würde das Stromnetz unbefugt abgeschaltet, käme das für den Betreiber einem wirtschaftlichen Totalschaden gleich.

Ein ebenso hohes Gefährdungspotenzial ist auch bei vernetzten industriellen Kühlanlagen gegeben. Kaum jemand denkt bei industriellen Kühlanlagen an intelligente Geräte. Tatsächlich senden diese Anlagen alle erdenklichen Daten kontinuierlich hin und her. Ein krimineller Cyberangriff würde nicht nur die Ware verderben lassen, sondern das Unternehmen wäre höchstwahrscheinlich nach einem solchen Angriff nahezu pleite. Für Industriegeräte, deren Hack ein Gefahrenpotential für die Bürger darstellt, ist eine Security-Lösung daher unabdingbar. Das gilt gleichermaßen für Organisationen, die sich auf vernetzte Maschinen verlassen müssen. Das attackierte Gerät darf nicht Teil der Unternehmens-Infrastruktur sein.

Welche Tools sollten Unternehmen nutzen, um sichere, hochskalierbare IoT- Implementierungen einzuführen?
Tools für eine sichere und skalierfähige IoT-Verbindung sollten relativ klein, sowie leicht und einfach integrierbar sein. Außerdem sollte sie auch in großen Stückzahlen problemlos transportierbar und natürlich einfach einzurichten und zu verwalten sein.
Darüber hinaus ist der Preis ein wichtiges Kriterium. Viele der heute erhältlichen Security-Lösungen sind schlichtweg zu teuer, so dass sich deren Einsatz nicht lohnt. Andere wiederum versuchen eine Applikation zur Datenverschlüsselung zu starten. In diesem Fall gibt es keinen DoS-Schutz, so dass die Infrastruktur nicht ausreichend geschützt ist. Mit der steigenden Anzahl an IoT-Implementierungen wächst jedoch auch der Bedarf für Unternehmenslösungen, die exakt für diesen Zweck entwickelt wurden.

Was sind heute die größten Hindernisse, um das IoT sicher zu machen?
Das größte Hindernis lautet schlichtweg, dass es keine Generallösung gibt. Das Spektrum der IoT-fähigen Geräte reicht von Wearables über intelligente Glühbirnen bis hin zu industriellen Fertigungsmaschinen. Je nachdem, um was für ein IoT-Gerät es sich handelt, gibt es einen anderen wirtschaftlichen Ansatz. Die Herausforderung besteht darin, für jeden einzelnen Anwendungsfall eine adäquate Sicherheitskonfiguration zu finden. Deshalb haben Unternehmen teilweise entweder keine Vorsichtsmaßnahmen getroffen, um ihr IoT-Netzwerk zu schützen oder aber, sie haben nur unzureichende, den Zweck nicht wirklich erfüllende Maßnahmen getroffen.

Beinhaltet das IoT-Netzwerk hunderte oder gar tausende Geräte, ist es ein logistischer Kraftakt, jedes einzelne Gerät mit einer effektiven Security-Lösung auszustatten. Wie wird die Ausstattung eingesetzt? Wie soll der Lebenszyklus gemanagt werden? Wie werden Sicherheitsregeln implementiert? Sind diese Fragen erste einmal beantwortet, lässt sich das Internet der Dinge viel einfacher in den Geschäftsbetrieb integrieren – und viel sicherer. Die Herausforderung für die Anbieter von Security-Lösungen ist, dass die herkömmliche IT wie sie in Büros oder Rechenzentren genutzt wird, nicht mit hunderten oder tausenden von remote verbundenen Geräten kompatibel ist.

Wo liegt der künftige Einsatzschwerpunkt für IoT-Security-Technologie?
Es gibt tatsächlich viele Anwendungsfälle für sichere, skalierfähige Schnittstellentechnologien, etwa bei Bankautomaten, im Ticketverkauf oder Spielautomaten. Bei all diesen Beispielen geht es um Geldvorgänge, was sie zu begehrten Zielen von Angriffen macht. Bezüglich der Adaptierung wird die Technologie kleiner und kostengünstiger werden, dabei aber mehr Funktionalitäten bieten. Lösungen brauchen beispielsweise eine zusätzliche Datenverkehrsüberwachung durch das Gerät selber und die direkte Verbindung zum Internet, anstatt den Datenfluss erst einmal zu einem zentralen Vollzugspunkt zurückzuschicken. So etwas bietet gerade für die industrielle Anwendung viele weitere Möglichkeiten. Denn wir können sicher davon ausgehen, dass der Trend der Miniaturisierung anhalten wird, bei gleichzeitiger Steigerung der Rechenpower der Geräte.

Über Klaus Gheri
Dr. Klaus Gheri verantwortet als Vice President & General Manager Network Security bei Barracuda Networks weltweit das Produktmanagement und die Entwicklung der Barracuda Firewall, Barracuda NG Firewall und Barracuda SSL VPN-Lösungen. Zu Barracuda Networks kam Gheri im Herbst 2009 im Zuge der Übernahme der Phion AG. Dieses Unternehmen hatte Gheri 2000 mit Wieland Alge und Peter Marte gegründet und war wesentlich an der Architektur und Entwicklung der Barracuda NG Firewall beteiligt. Als Chief Technology Officer (CTO) war er danach für die strategische Produktausrichtung und strategische Partnerschaften des börsennotieren Unternehmens mit Sitz in Innsbruck verantwortlich. Der habilitierte Physiker mit Abschluss in Theoretischer Physik von der University of Auckland, Neuseeland, forschte und dozierte vor der Gründung von Phion im Bereich der Quantenkommunikation. Gheri verfügt über mehr als 14 Jahre Erfahrung im Security-Bereich und ist ein gefragter Referent zu Themen der Netzwerk-Sicherheit in Unternehmen.
(Barracuda Networks: ra)

eingetragen: 19.06.16
Home & Newsletterlauf: 06.07.16


Barracuda Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.

  • Wo ist der Authentifizierungsprozess fehlbar?

    Ich habe den größten Teil meines beruflichen Lebens damit verbracht Authentifizierungslösungen zu programmieren, zu implementieren, weiterzuentwickeln und zu patentieren. Daher nehme ich mir das Recht heraus zu sagen, letzten Endes funktioniert Authentifizierung einfach nicht. Mit "funktionieren" im engeren Sinne meine ich, dass es zu 100Prozent garantiert ist, dass es sich tatsächlich um eine vertrauenswürdige Identität handelt, wenn eine Benutzeridentität von einer Authentifizierungslösung an den betreffenden Partner weitergeleitet wird. Und genau das lässt sich nicht garantieren. Es lässt sich belegen, dass und wie der eigentliche Validierungsprozess innerhalb der Authentisierung funktioniert. Das bedeutet, wir verifizieren mathematisch und empirisch, dass die von einem Authentifizierungsmechanismus zusammengestellte Entität mit den Werten übereinstimmt, die in der Datenbank des akzeptierenden Dritten gespeichert sind, also "matched". Das kann ein Passwort sein, ein Einmal-Passwort, OTP, X.509-basierte Verschlüsselung, biometrische Merkmale, mobile Push-Werte oder eine Gesichtserkennung. In einem Satz: Der Authentisierungsprozess lässt sich validieren und damit auch, dass das technische System korrekt arbeitet.

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.