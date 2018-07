Forschungsergebnissen einer F5 Labs-Umfrage vom Juli 2018 zufolge haben Brute-Force-Angriffe auf IoT-Geräte zwischen 2016 und 2017 um den Faktor 2,5 zugenommen. Zugleich ändern die Angreifer ihre Taktik in immer kürzeren Zyklen und agieren immer vielfältiger. Aus technischer Sicht sind die derzeit verwendeten Methoden, um IoT-Geräte zu kompromittieren, oft sehr einfach und erfordern nur wenige Schritte.

Um möglichst wenig Aufsehen zu erregen, zielen die Angreifer dem Bericht der F5 Labs zufolge auf bestimmte Ports und Protokolle sowie auf spezielle Hersteller, Gerätetypen und Modelle. Erfolgreich sind sie, weil viele Hersteller grundsätzlich unsichere IoT-Geräte auf den Markt bringen. In Unternehmen könne dies dazu führen, dass etablierte Sicherheitsvorkehrungen unterlaufen werden.

"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier ist "Security by Design". Dazu gehört ein sicheres Betriebssystem genauso wie Maßnahmen gegen Reverse Engineering sowie Code-Prüfungen, Absicherung gegen App-Overlays oder die Vermeidung der Speicherung von Nutzernamen und Passwörtern im Klartext", fordert Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH. Er verweist dazu auf Kaspersky OS, ein Betriebssystem für Embedded-Systeme mit strikten Cybersicherheitsanforderungen.

Michael Haas, Area Sales Director Central Europe bei Watchguard, sieht das zumindest aktuell noch anders."Der Ansatz ist es nicht, die IoT-Geräte sicherer zu machen. Der Ansatz ist es, das Umfeld um solche Geräte sicherer zu machen." Seiner Ansicht nach ist es fraglich, ob Kunden immer bereit sind, für ein IoT-Gerät auf dem Enterprise-Level das notwendige Budget freizugeben. Er vergleicht das mit Enterprise-WLAN-Access-Points, die durchaus das Zehn- oder Zwanzigfache dessen kosten können, was ein klassischer Consumer-Access-Point kostet.

"Selbst wenn heute die professionellen Geräte von der Sicherheit her besser geworden sind, ist doch nicht auszuschließen, dass ein Mitarbeiter etwa eine Kamera von zuhause mitbringt und am Netzwerk anschließt - wodurch dann wieder Fehler möglich sind", so Haas. Eine Möglichkeit, für mehr Sicherheit zu sorgen, sei die Segmentierung des Netzwerks.

Ähnlich sieht das auch Sven Janssen, Regional Director Central Europe bei Sonicwall. In Firmen gehe es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. "Welche Geräte zähle ich im weiteren und engeren Sinne überhaupt zu IoT, was funkt da überhaupt und wie baue ich die sicher in eine Netzwerkstruktur ein." Partner könnten Firmen bei dieser Bestandsaufnahme helfen, sie etwa darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sein können, und das Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss.