Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

7 Tipps zur IoT-Security

Die Unsicherheit der Dinge - willkommen im Botnet

Christoph Kumpa ist Director DACH & EE bei Digital Guardian.
IoT (Internet of Things) und Smart Home werden sich dann durchsetzen, wenn alle Sicherheitslücken geschlossen sind.

Das Internet der Dinge steckt immer noch in den Kinderschuhen, aber hat sich bereits einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht. Ob Router, Drucker, Smart-TV, Spielzeug oder Waschmaschinen - vernetzte Geräte werden für Cyberkriminelle zum Werkzeug für illegales Krypto-Mining, DDoS-Angriffe bis hin zur Lösegelderpressung durch angedrohte Datenlöschung, wie im Fall des Spielzeugherstellers Spiral Toys. Dessen Datenleck machte 2017 Schlagzeilen, bei dem mehr als 800.000 Nutzer betroffen waren.

Das Internet der Dinge steckt immer noch in den Kinderschuhen, aber hat sich bereits einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht.
Das Internet der Dinge steckt immer noch in den Kinderschuhen, aber hat sich bereits einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht.
Foto: LeoWolfert - shutterstock.com

Die IoT-Malware-Landschaft entwickelt sich stetig weiter, während die Sicherheitsvorkehrungen meist noch rudimentär sind. Das Anfang des Jahres entdeckte Botnet "Hide and Seek" bettet, im Gegensatz zur berüchtigten DDoS-Mirai-Malware, eine Vielzahl von Befehlen wie Datenexfiltration, Code-Ausführung und Interferenz mit dem Betrieb des Geräts ein.

Die Sicherheitsrisiken im IoT-Bereich sind Großteils auf das rasante Tempo zurückzuführen, mit dem IoT-Devices weltweit implementiert werden - 20 Milliarden installierte Geräte sind nach Schätzungen von Gartner bis Ende 2020 zu erwarten. Im hart umkämpften Technologiesektor hat der Eifer, als erster mit erschwinglichen IoT-Geräten auf den Markt zu kommen, dazu geführt, dass viele Hersteller selbst einige der grundlegendsten Sicherheitsprinzipien zugunsten schneller Entwicklungszyklen außer Acht gelassen haben.

Hinzu kommt, dass die Kombination aus übertriebener Kostenkontrolle und dem Streben nach Benutzerfreundlichkeit noch weniger Raum für robuste Sicherheitsmaßnahmen lässt. Viele IoT-Geräte verwenden extrem preiswerte Verarbeitungseinheiten. Diese Geräte sind oft speicher- oder eingabebeschränkt, was wohl eine einfache Funktionalität ermöglicht, aber wenig bis gar keinen Platz für zukünftige Updates oder Patches lässt. Da die Lebensdauer dieser Devices oft bei über zehn Jahren liegt, stellen sie vor dem Hintergrund immer neuer Bedrohungen ein ernstzunehmendes Sicherheitsproblem dar.

Sieben Punkte zur Verbesserung der IoT-Sicherheit

1) Geräteauthentifizierung und -identität

Die korrekte und sichere Authentifizierung mit individueller Geräteidentifikation ermöglicht den Aufbau einer sicheren Verbindung zwischen den Geräten selbst und den Backend-Steuerungssystemen. Wenn jedes Gerät seine eigene eindeutige Identität hat, können Unternehmen schnell bestätigen, dass das kommunizierende Gerät tatsächlich dasjenige ist, das es vorgibt zu sein. Dazu ist eine individuelle Geräteidentifikation auf Basis von Lösungen wie Public Key Infrastructure (PKI) erforderlich.

Roundtable: IoT-Security steht erst am Anfang

2) Physische Sicherheit

Die physische Sicherheit ist von größter Bedeutung. Deshalb sollte die Integration von Sicherungsmaßnahmen gegen Manipulation in Gerätekomponenten bei Entwicklern im Vordergrund stehen, um zu verhindern, dass sie dekodiert werden können. Darüber hinaus sollte dafür gesorgt werden, dass Gerätedaten im Zusammenhang mit Authentifizierung, Identifikationscodes und Kontoinformationen gelöscht werden können, wenn ein Gerät gefährdet ist, um Datenmissbrauch zu verhindern.

3) Verschlüsselung

Beim Einsatz von IoT-Lösungen müssen Unternehmen sicherstellen, dass der Datenverkehr zwischen Geräten und Backend-Servern ordnungsgemäß verschlüsselt ist. Die Sicherstellung der Verschlüsselung von Befehlen und die Überprüfung der Befehlsintegrität durch Signierung oder starke Kodierung sind entscheidend. IoT-Geräte sollten auch alle gesammelten sensiblen Benutzerdaten verschlüsseln, um die Datensicherheit zu erhöhen.

»

Channel meets Cloud, 28. Februar 2019

Systemhäuser müssen Cloud-fähig werden, um ihren Kunden die passenden Lösungen anzubieten. Auf dem Channel meets Cloud-Kongress am 28. Februar 2019 in München zeigen Service Provider, wie das Cloud- und Managed-Service-Geschäft gelingt.
Rechtsseminar zur DSGVO

4) Firmware-Updates

In der Eile, neue IoT-Produkte auf den Markt zu bringen, bauen Hersteller manchmal Geräte ohne Firmware-Update-Fähigkeit. Ein konsistenter Prozess, der eine flexible Firmware-Bereitstellung bietet, ermöglicht die Entwicklung neuer Produkte. Gleichzeitig ist garantiert, dass wichtige Sicherheitsfixes universell über bestehende Produktlinien verteilt werden können.

Lesetipp: Was bedeutet eigentlich Cyber Security?

5) Sichere Kodierung

IoT-Entwickler müssen sichere Kodierungsverfahren implementieren und diese im Rahmen des Software-Build-Prozesses auf das Gerät anwenden. Die Konzentration auf Qualitätssicherung und die Identifizierung und Behebung von Schwachstellen als Teil des Entwicklungszyklus optimiert die Sicherheitsbemühungen und trägt dazu bei, Risiken zu minimieren.

Viele Kunden haben noch Bedenken, Smart Home zu nutzen.
Viele Kunden haben noch Bedenken, Smart Home zu nutzen.
Foto: Digital Guardian

6) Schließen von Backdoors

Der Bau von Geräten mit Backdoors, sei es zu Überwachungs- oder Strafverfolgungszwecken, ist alltäglich geworden. Diese Vorgehensweise beeinträchtigt jedoch die Integrität und Sicherheit des Endbenutzers. Hersteller müssen dafür Sorge tragen, dass weder bösartiger Code noch Backdoors eingeführt werden und die UDID (Unique Device ID) des Geräts nicht kopiert, überwacht oder erfasst wird. So wird vermieden, dass, wenn sich das Gerät online registriert, der Prozess nicht abgefangen wird oder anfällig für rechtswidrige Überwachung ist.

Lesetipp: Die Top 3 IoT-Security-Trends

7) Netzwerksegmentierung

Wenn ein Netzwerk in sichere Segmente unterteilt ist, kann im Fall eines kompromittierten IoT-Geräts dessen Segment vom Rest des Netzwerks isoliert werden. Sollte das Gerät kompromittiert werden, sind nur Geräte in diesem Netzwerksegment betroffen. Die Zone kann unter Quarantäne gestellt, und es lassen sich Abhilfemaßnahmen ergreifen, ohne Risiken für andere Systeme.

Da sich bereits viele IoT-Geräte im Einsatz befinden, die praktisch unmöglich zu aktualisieren sind, erleben wir wahrscheinlich auch zukünftig DDoS-Angriffe durch kompromittierte Geräte und das Auftreten von IoT-orientierter Ransomware. Bemühungen um gemeinsame IoT-Sicherheitsstandards gewinnen jedoch an Fahrt, und wir werden in den oben genannten Bereichen bald auch deutliche Verbesserungen sehen. (rw)