Marktforscher von Gartner glauben, dass 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden und diese Anzahl in den darauffolgenden Jahren noch weiter wachsen wird. Angesichts der Tatsache, dass IoT eine immer bedeutendere Rolle im täglichen Leben spielt (selbstfahrende Autos, Drohnen, Sensoren überall), ist es essentiel, alla Sicherheitslücken in den IoT-Endgeräten zu schließen.
Forschungsergebnissen einer F5 Labs-Umfrage vom Juli 2018 zufolge haben Brute-Force-Angriffe auf IoT-Geräte zwischen 2016 und 2017 um den Faktor 2,5 zugenommen. Zugleich ändern die Angreifer ihre Taktik in immer kürzeren Zyklen und agieren immer vielfältiger. Aus technischer Sicht sind die derzeit verwendeten Methoden, um IoT-Geräte zu kompromittieren, oft sehr einfach und erfordern nur wenige Schritte.
Um möglichst wenig Aufsehen zu erregen, zielen die Angreifer dem Bericht der F5 Labs zufolge auf bestimmte Ports und Protokolle sowie auf spezielle Hersteller, Gerätetypen und Modelle. Erfolgreich sind sie, weil viele Hersteller grundsätzlich unsichere IoT-Geräte auf den Markt bringen. In Unternehmen könne dies dazu führen, dass etablierte Sicherheitsvorkehrungen unterlaufen werden.
Neuer Weg für Industrial-Security-Lösungen
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier ist "Security by Design". Dazu gehört ein sicheres Betriebssystem genauso wie Maßnahmen gegen Reverse Engineering sowie Code-Prüfungen, Absicherung gegen App-Overlays oder die Vermeidung der Speicherung von Nutzernamen und Passwörtern im Klartext", fordert Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH. Er verweist dazu auf Kaspersky OS, ein Betriebssystem für Embedded-Systeme mit strikten Cybersicherheitsanforderungen.
Foto: Kaspersky
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt und erhalten während ihres Lebenszyklus nie oder selten Software- und Sicherheitsupdates", so die Erfahrung von Michael Veit, IT-Security Experte bei Sophos. Seiner Erfahrung nach werden IoT-Geräte oft in denselben Netzwerken betrieben wie Workstations, Mobilgeräte und Server: "Dadurch sind diese IoT-Geräte oft einfache Ziele für Cyberkriminelle, welche die IoT-Geräte übernehmen und für ihre Zwecke umfunktionieren können."
IoT-Geräte, die von Cyber-Kriminellen kontrolliert werden, können als Einfalls- und Verbreitungsweg für Angriffe auf das Heim- und Firmennetzwerk genutzt werden. "Im schlimmsten Fall droht dann den angegriffenen Unternehmen durch die Kompromittierung von Maschinen- oder Prozeßsteuerungen ein Produktionsstillstand", skizziert Veit ein mögliches Szenario. "Der Heimwanwender könnte seine digitale Fotosammlung unwiederbringlich verlieren", so der Sophos-Manger weiter.
Ähnlich argumentiert auch Michael Haas, Area Sales Director Central Europe bei WatchGuard: "Es gibt derzeit keinen Ansatz, IoT-Geräte sicherer zu machen. Man will lediglich das Umfeld um solche Geräte sicherer machen." Seiner Ansicht nach ist es fraglich, ob Kunden immer bereit sind, für ein IoT-Gerät auf dem Enterprise-Level das notwendige Budget freizugeben. Er vergleicht das mit Enterprise-WLAN-Access-Points, die durchaus das Zehn- oder Zwanzigfache dessen kosten können, was ein klassischer Consumer-Access-Point kostet.
"Selbst wenn heute die professionellen Geräte von der Sicherheit her besser geworden sind, ist doch nicht auszuschließen, dass ein Mitarbeiter etwa eine Kamera von zuhause mitbringt und am Netzwerk anschließt - wodurch dann wieder Fehler möglich sind", so Haas. Eine Möglichkeit, für mehr Sicherheit zu sorgen, sei die Segmentierung des Netzwerks.
Ähnlich sieht das auch Sven Janssen, Director Channel Sales DACH bei Sophos: "In Firmen gehe es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Welche Geräte zähle ich im weiteren und engeren Sinne überhaupt zu IoT, was funkt da überhaupt und wie baue ich die sicher in eine Netzwerkstruktur ein." Partner könnten Firmen bei dieser Bestandsaufnahme helfen, sie etwa darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sein können, und das Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss.
Segmentierung des Netzwerks zur Absicherung der IoT-Infrastruktur
"Segmentierung und andere Maßnahmen im Netzwerk" betrachtet auch Thomas Huber, Director Channel & OEM Sales Central Europe bei Nutanix, als geeignete Maßnahmen für mehr IoT-Sicherheit. "Wir stehen noch relativ früh am Beginn der Digitalisierung. Es sind ja nicht nur die Geräte, es geht auch um die Netzwerke, etwa 5G. Stand heute ist noch alles proprietär und gibt es keine Standards."
Huber weiter: "Das Problem kann nur bewältigt werden, wenn sich die Security-Hersteller Lösungen überlegen, die einem Standard folgen. Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns zusammen als 'die Guten' verstehen und uns überlegen, wie wir gemeinsam vorgehen können."
Tim Berghoff, Security Evangelist bei , stimmt der Einschätzung grundsätzlich zu, glaubt aber nicht an einen schnellen Erfolg. "Der Markt ist bei den Geräteherstellern stark fragmentiert. Mit einer Lösung für ein bestimmtes Gerät, lässt sich keine Sicherheit herstellen. Einen Standard in dem Bereich zu etablieren halte ich für sinnvoll, aber schwierig durchsetzbar."
"Versucht man für eine bereits auf breiter Front genutzte Sache, zum Beispiel im Bereich IP-Kameras, einen Standard im Nachhinein zu etablieren, endet man schließlich immer beim kleinsten gemeinsamen Nenner", begründet Berghoff seine Betrachtungsweise. Gerade im Bereich Sicherheit sieht er dadurch durchaus Potenzial für Probleme.
Lesetipp: Schutz von IP-basierten Überwachungssystemen
Zudem nütze es nichts, sich zum Beispiel zu überlegen, wie IP-Kameras sicherer werden, wenn drumherum noch 20 andere Geräteklassen zum Einsatz kommen, um die man sich auch Sorgen machen muss. "Wenn jemand versucht, im Zuge eines Angriffs ein Netzwerk zu kompromittieren, dabei eine IP-Kamera findet und feststellt, dass die in irgendeiner Form abgesichert ist, dann nimmt er halt das nächste IoT-Gerät, das keine Endpoint-Security in irgendeiner Form hat."
Michael Veit von Sophos führ hier an, dass auf den IoT-Geräten selbst in der Regel keine Endpoint-Sicherheitslösungen installiert werden können und daher dort auch keine regelmäßige Softwareupates möglich sind: "Deshalb müssen Unternehmen ihre IoT-Geräte durch Netzwerksegmentierung in einzelne kleine Netzwerkbereich 'einsperren' und den Netzwerkverkehr durch Firewall-Regeln strikt auf die notwendige Kommunikaton einschränken."
Foto: Sophos
Hier empfiehlt der Sophos-Manager, dass ledgilich die Steuerungszentrale via IP erreichbar sein sollte und zudem Sicherheitsmechanismen auf Netzwerkebene wie IPS (Intrusion Prevention Systeme) zu implementieren sind. "Im Heimbereich sollten sich die IoT-Geräte ebenfalls in einem eigenen WLAN beziehungsweise in einem abgeschotteten Netzwergbereich befinden und aus dem Internet nicht per Portweiterleitung sondern ausschließlich per sicherer VPN-Verbindung erreichbar sein", so Veit weiter.
Anforderungen von Business-Nutzern an IoT-Sicherheit
Grundsätzlich waren sich die Teilnehmer des ChannelPartner-Roundtables einig, dass sich die Herausforderungen im Geschäft mit Unternehmen und Privatanwendern deutlich voneinander unterscheiden. Torsten Harengel, Leiter Security bei Cisco Deutschland erklärt dazu: "Prävention ist der erste Schritt zur erfolgreichen Risikominimierung. Sicherheit beginnt dabei im Netzwerk als Basis für einen integrierten ganzheitlichen Security-Ansatz. Der zweite 'Easy Win' sind Updates: Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich."
Foto: Cisco Systems
Nach Ansicht des Cisco-Security-Spezialisten sollten Lösungen aus einer Hand genutzt werden, die das komplette Netzwerk umfassen, damit keine "blinden Flecken" entstehen - von der Infrastruktur über die Server bis hin zu den einzelnen Anwendungen. Cisco bietet zum Beispiel Tools für die Überwachung von Automatisierungsnetzwerken (Industrial Network Director) und IT-Sicherheitsplattformen an. Die Cisco Digital Manufacturing Services sollen Kunden zudem bei der sicheren Vernetzung der Fabrik unterstützen.
Für Link11 erklärt Hagen Renner, Director Channel Sales DACH: "Wir konzentrieren uns in dem Umfeld auf den Bereich Industrie 4.0 und rein auf B2B im Produktionsumfeld. Da geht es vielfach nicht um ein IP-Protokoll oder http, sondern um klassische Industrieprotokolle für die Kommunikation von Maschine zur Maschine."
Dabei müsse mittels intelligenter Firewalls geprüft werden, ob der transportierte Befehl auch der gewünschte Befehl ist: Soll das Ventil auf- oder zugehen, soll der Druck steigen oder fallen? Neben der Technik spiele aber auch eine wesentliche Rolle, wie lange Kunden die für ihr Projekt erworbenen Komponenten von dem Hersteller bekommen können. "Bei Industrie- und Roboteranlagen reden wir ja nicht von drei, fünf oder zehn Jahren Laufzeit, sondern von deutlich länger. Da will ein Kunde häufig dieses individuelle Gerät, welches er vor zehn Jahren gekauft hat, dann immer noch bekommen können", weiß Renner.
Privatanwender wollen es einfach
So weit denken Privatanwender nicht. Ein Großteil von ihnen macht sich nicht einmal grundlegende Gedanken über die Sicherheit ihres Heimnnetzwerks, und das ist ja die Grundlage für alle Bemühungen im Bereich Smart Home und IoT. Erst kürzlich hat Avast durch eine Umfrage festgestellt, dass Anwender in Deutschland die Sicherheit ihres WLAN-Routers immer noch sträflich vernachlässigen.
Damit setzen sie sich dem Risiko aus, dass Angreifer die Kontrolle über vernetzte Geräte erlangen oder Passwörter und vertrauliche Daten abgreifen. Zum Beispiel haben sich 25 Prozent der Befragten noch nie in die webbasierte Verwaltungsoberfläche ihres Routers eingeloggt, um die Werkseinstellungen zu ändern. Über 40 Prozent haben das voreingestellte Passwort nicht geändert und etwa ebenso viele noch nie die Firmware ihres Routers aktualisiert.
47 Prozent der von Avast in Deutschland Befragten gaben an, sich höchstens ein Mal pro Jahr in ihren Router einzuloggen und nach Updates zu suchen. 22 Prozent wussten gar nicht, dass ihr Router eine Firmware besitzt, die regelmäßig mit Aktualisierungen und Sicherheits-Updates gepflegt werden sollte.
"Fachhändler sollten ihre Kunden darauf hinweisen, dass diese für ein Mindestmaß an Sicherheit den voreingestellten Benutzernamen und das Passwort bei der Erstinstallation ihres Routers ändern und regelmäßig Updates der Firmware vornehmen müssen", empfiehlt David Beier, Partner Account Manager bei Avast. Sollen sie Probleme bei Kunden beheben, kann der WLAN Inspektor von Avast helfen. Die Software prüft Netzwerkstatus, mit dem Netzwerk verbundene Geräte und Router-Einstellungen.
"Für uns ist das ein sehr spannendes Thema,das wir sehr ernst nehmen, und auf das wir ein Auge haben", betont auch Maik Wetzel, Channel Sales Director DACH bei ESET. Sein Unternehmen sieht IoT-Geräte nach PCs und Smartphones als dritte Welle neu aufkommender Devices.
Bei der Frage, wie sie abgesichert werden können, müsse man sich anschauen, wie die Geräte überhaupt ausgestattet sind. "Sprechen wir über Devices, die ein Betriebssystem haben, die einen Browser haben, die internetfähig sind, die im Netz hängen oder die über eine eigene Intelligenz verfügen?", fragt Wetzel.
Erste Ansätze gibt es bereits. Zum Beispiel bietet ESET mit Smart TV Security eine Lösung für Smart TVs mit Android als Betriebssystem. Auch die Absicherung von Routern ist möglich: "Wir können mit unseren Heimprodukten heute schon sehen, welche Geräte eingeloggt sind und Nutzer benachrichtigen, wenn irgendwelche Auffälligkeiten festgestellt werden", so Wetzel. Dennoch sei das ganze Thema noch "stark entwicklungsfähig."
Die besten Passwort-Manager für PC
IoT ist für Security-Anbieter ein Fokusthema
"Für uns ist IoT in den nächsten Jahren ein Fokusthema", versichert auch Richard Werner, Business Consultant bei Trend Micro. "Wenn wir IoT in einen Topf werfen, machen wir es uns aber zu einfach. Es gibt im Bereich IoT unterschiedliche Aspekte. Das liegt alleine schon daran, wie teuer ein IoT-Gerät ist, aber auch daran, wer angreift und wer der Leidtragende ist, also wer verantwortlich ist."
Werde eine für 20 Euro von einem Verbraucher gekaufte Netzwerkkamera von Kriminellen gekapert und einem Botnetz hinzugefügt wird, wie beim Mirai-Botnetz passiert, sei der Leidtragende in der Regel der Besitzer der angegriffenen Internetadresse. Zur Verantwortung gezogen werde meist niemand. "Also werden wir dafür auch keinen Markt für IoT-Security-Produkte sehen", schlussfolgert Werner.
Bei einem Auto als IoT-Gerät wolle der Angreifer dem Besitzer des Gerätes schaden. Zur Verantwortung gezogen werde im Schadensfall der Hersteller des Geräts. "Wir sind seit 40 Jahren gewohnt, dass ein Kühlschrank einfach funktioniert. Funktioniert er innerhalb der Garantiezeit nicht, wendet man sich an den Hersteller und fordert einen Austausch. Diesen Kunden kann der Hersteller nicht erklären, dass ihr Kühlschrank zwar prinzipiell funktioniert, wenn sie das aber auch weiterhin so haben möchte, sie dafür extra IT kaufen müssen", führt Werner aus.
Die Hersteller der teureren Geräte wüssten das sehr wohl und überlegen derzeit, wie sie IT-Sicherheit für diese Geräte gestalten können" "Brauche ich dazu einen Endpoint, brauche ich dazu Intelligenz oder eine Maschinenlern-Methode, die es erlaubt, Bedrohungen zu erkennen, zu klassifizieren und auch bereits in der Entstehung zu erkennen?", das sind laut Werner einige der derzeit diskutierten Fragen.
Lesetipp: Wie sich die Sicherheit im Internet der Dinge verbessern lässt
Für die große Anzahl unterschiedlicher Geräte erwartet er standardisierte Plattformen, die auch standardisiert betrieben und als Service angeboten werden. "In diesem Bereich wird es kein einfaches Wiederverkaufsmodell geben, das wird von Anfang an ein reines Managed Services-Thema werden", da ist sich Werner ganz sicher.
Michael Haas vonWatchGuard teilt Werners Einschätzung. "Man muss zwischen langfristig genutzten und wirkenden Produkten - Autos, Maschinen oder Anlagen - und günstigen Produkte, etwa einer Soundbar oder andere Consumer-Produkten unterscheiden.In diesem - nennen wir es einmal "Wegwerfmarkt" - wird es niemals einen Standard geben. Bei den Autobauern oder in der Industrie denkt man in ganz anderen Zyklen, da wird es einen Standard geben", prognostiziert Haas.
Lesetipp: Netzwerksicherheit in der IoT-Ära
Dennoch ist die Absicherung auf dem Endgerät gerade bei Investitionsgütern schwierig, gibt Berghoff von G Data zu bedenken. Autos beispielsweise seien acht bis 15 Jahre auf der Straße. "Hätten man vor dieser Zeit der Entwicklungsabteilung eines Herstellers gesagt, er müsse Krypto-Komponenten einbauen, die mindestens 2048-Bit-Verschlüsselung unterstützen, hätte man wahrscheinlich mit Glück höchsten ein müdes Lächeln geerntet. Man muss also weit vorausdenken und in der physischen Hardware die Voraussetzungen schaffen, So dass man für die nächsten fünf oder zehn Jahre Reserven hat, um in der Software noch Nachbesserungen vorzunehmen oder um überhaupt neue endpoint-Security-Software zu entwickeln", so der -Experte.
Sven Janssen gibt zusätzlich zu bedenken, dass IoT-Geräte meist nicht über einen Bildschirm zur Bedienung verfügen, sehr zahlreich und in ihrer Gesamtheit aufgrund der Vielfalt sehr komplex sind. "Auch daher ist die Frage, wo man ansetzt. Ich glaube nicht, dass man generell bei Herstellern von IoT-Systemen ansetzen kann. Das wird in Teilbereichen funktionieren, etwa kritischen Systemen,wie Autos, aber in der Masse wird es nicht funktionieren, weil die Gerätelandschaft extrem vielfältig ist."
Laut Michael Veit, gibt es bereits erste Ansätze für standardisierte IoT-Plattformen wie „Windows 10 IoT“ oder „Android Things“, bei denen regelmäßige Updates und auch maßgeschneiderte Endpoint-Sicherheitslösungen möglich sein sollten, allerdings sieen diese Plattformen aber noch nicht weit verbreitet: "Angesichts der aktuell im Markt befindlichen Vielzahl unterschiedlicher Plattformen, die auf IoT-Geräten eingesetzt werden und die meist keine Installation von (Endpoint-) Sicherheitslösungen ermöglichen, bleibt den IT-Verantworlichen nichts anders übrlig, als die IoT-Geräte voneinander und auch vom Rest des Netzwerkes physich zu trennen", postuliert der -Manager.