Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

ChannelPartner Roundtable

IoT-Security steht erst am Anfang

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Vertreter führender Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security.

Marktforscher von Gartner glauben, dass 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden und diese Anzahl in den darauffolgenden Jahren noch weiter wachsen wird. Angesichts der Tatsache, dass IoT eine immer bedeutendere Rolle im täglichen Leben spielt (selbstfahrende Autos, Drohnen, Sensoren allüberall), ist es essentiel, alla Sicherheitslücken in den IoT-Endgeräten zu schließen.

Forschungsergebnissen einer F5 Labs-Umfrage vom Juli 2018 zufolge haben Brute-Force-Angriffe auf IoT-Geräte zwischen 2016 und 2017 um den Faktor 2,5 zugenommen. Zugleich ändern die Angreifer ihre Taktik in immer kürzeren Zyklen und agieren immer vielfältiger. Aus technischer Sicht sind die derzeit verwendeten Methoden, um IoT-Geräte zu kompromittieren, oft sehr einfach und erfordern nur wenige Schritte.

Um möglichst wenig Aufsehen zu erregen, zielen die Angreifer dem Bericht der F5 Labs zufolge auf bestimmte Ports und Protokolle sowie auf spezielle Hersteller, Gerätetypen und Modelle. Erfolgreich sind sie, weil viele Hersteller grundsätzlich unsichere IoT-Geräte auf den Markt bringen. In Unternehmen könne dies dazu führen, dass etablierte Sicherheitsvorkehrungen unterlaufen werden.

"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier ist "Security by Design". Dazu gehört ein sicheres Betriebssystem genauso wie Maßnahmen gegen Reverse Engineering sowie Code-Prüfungen, Absicherung gegen App-Overlays oder die Vermeidung der Speicherung von Nutzernamen und Passwörtern im Klartext", fordert Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH. Er verweist dazu auf Kaspersky OS, ein Betriebssystem für Embedded-Systeme mit strikten Cybersicherheitsanforderungen.

"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design", fordert Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH.
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design", fordert Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH.
Foto: Kaspersky

Mehr Speed für große Websites

"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt und erhalten während ihres Lebenszyklus nie oder selten Software- und Sicherheitsupdates", so die Erfahrung von Michael Veit, IT-Security Experte bei Sophos. Seiner Erfahrung nach werden IoT-Geräte oft in denselben Netzwerken betrieben wie Workstations, Mobilgeräte und Server: "Dadurch sind diese IoT-Geräte oft einfache Ziele für Cyberkriminelle, welche die IoT-Geräte übernehmen und für ihre Zwecke umfunktionieren können."

IoT-Geräte, die von Cyber-Kriminellen kontrolliert werden, können als Einfalls- und Verbreitungsweg für Angriffe auf das Heim- und Firmennetzwerk genutzt werden. "Im schlimmsten Fall droht dann den angegriffenen Unternehmen durch die Kompromittierung von Maschinen- oder Prozeßsteuerungen ein Produktionsstillstand", skizziert Veit ein mögliches Szenario. "Der Heimwanwender könnte seine digitale Fotosammlung unwiederbringlich verlieren", so der Sophos-Manger weiter.

Ählich argumentiert auch Michael Haas, Area Sales Director Central Europe bei Watchguard: "Es gibt derzeit keinen Ansatz, IoT-Geräte sicherer zu machen. Man will lediglich das Umfeld um solche Geräte sicherer machen." Seiner Ansicht nach ist es fraglich, ob Kunden immer bereit sind, für ein IoT-Gerät auf dem Enterprise-Level das notwendige Budget freizugeben. Er vergleicht das mit Enterprise-WLAN-Access-Points, die durchaus das Zehn- oder Zwanzigfache dessen kosten können, was ein klassischer Consumer-Access-Point kostet.

"Selbst wenn heute die professionellen Geräte von der Sicherheit her besser geworden sind, ist doch nicht auszuschließen, dass ein Mitarbeiter etwa eine Kamera von zuhause mitbringt und am Netzwerk anschließt - wodurch dann wieder Fehler möglich sind", so Haas. Eine Möglichkeit, für mehr Sicherheit zu sorgen, sei die Segmentierung des Netzwerks.

"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen," glaubt Michael Haas, Area Sales Director Central Europe bei WatchGuard.
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen," glaubt Michael Haas, Area Sales Director Central Europe bei WatchGuard.

Ähnlich sieht das auch Sven Janssen, bis Mitte Oktober 2018 Regional Director Central Europe bei Sonicwall. In Firmen gehe es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. "Welche Geräte zähle ich im weiteren und engeren Sinne überhaupt zu IoT, was funkt da überhaupt und wie baue ich die sicher in eine Netzwerkstruktur ein." Partner könnten Firmen bei dieser Bestandsaufnahme helfen, sie etwa darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sein können, und das Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss.