Internet of Things Wie gefährlich IoT-Geräte für die Unternehmens-IT sind

Autor / Redakteur: Marc Wilczek* / Katharina Juschkat

Das Internet of Things (IoT) ist in vielen Unternehmen angekommen. Doch die Vernetzung und Datenkommunikation aller Geräte birgt auch viele Gefahren. Was beachtet werden sollte.

Das Internet of Things bietet Unternehmen viele Chancen, ist aber für die IT-Security gleichzeitig eine neue Herausforderung.
Das Internet of Things bietet Unternehmen viele Chancen, ist aber für die IT-Security gleichzeitig eine neue Herausforderung.
(Bild: ©stock.adobe.com/Buffaloboy)

Das Internet of Things (IoT) hat viele Unternehmen erreicht: Laut einer Studie von Computerwoche und CIO planen immer mehr Firmen, IoT-Projekte umzusetzen bzw. haben bereits erfolgreich erste Erfahrungen gesammelt. Für Unternehmen bietet das IoT viele Vorteile. So können die Abläufe von Supply Chains beispielsweise wesentlich detaillierter überwacht werden. Dank der fortschreitenden Miniaturisierung im Bereich Sensorik lassen sich minimale Abweichungen vom Prozessablauf registrieren und direkt geeignete Gegenmaßnahmen einleiten. Aber es gibt auch Nachteile.

IoT-Geräte in Unternehmen schwer zu überwachen

Nicht alle IoT-fähigen Geräte im Unternehmen befinden sich unter dem Sicherheitsschirm der IT-Abteilung, zahlreiche Devices werden auch privat genutzt oder stellen ohne Kenntnis der Benutzer Datenverbindungen her, die nicht vollständig den Compliance-Vorschriften des Unternehmens entsprechen. Gleichzeitig kommunizieren die zahlreichen Systeme über unterschiedliche Schnittstellen und Protokolle, die teilweise erst nachträglich über Retrofit IoT-kompatibel gemacht wurden.

Dazu kommt eine ganze Reihe von Kommunikationskanälen: Vom WLAN über Mobilfunknetz bis hin zu Satellitenverbindungen oder Ad-Hoc-Netzen werden Daten weitergereicht. Diese Vielfalt erschwert zusätzlich ein zentrales Monitoring und die Etablierung eines durchgehend hohen Sicherheits-Niveaus.

Herstellerseitiger Schutz nicht immer zuverlässig

Nach Einschätzung der Analysten von Gartner werden bereits 2020 ca. 5,8 Milliarden Endpoints (Geräte und Sensoren) alleine im Unternehmens- und Automotive-Bereich im Einsatz sein. Diese zahlreichen „Endpunkte“ befinden sich aber nicht nur im IT-, Produktions-, Entwicklungs- oder Verwaltungsbereich, sondern stecken auch in Türschlössern, Firmenfahrzeugen, Smartphones oder Thermostaten. Jeder neue Endpunkt stellt eine potentielle Hintertür ins Firmennetzwerk dar. Die Angriffsflächen nehmen exponentiell zu.

Der herstellerseitige Schutz vor Cyber-Attacken – so er überhaupt existiert – variiert dabei erheblich. Die mangelnde Qualitätssicherung stellt ein weiteres Problem dar. Grundsätzlich lassen sich bei Geräten, die über ein eigenes Betriebssystem verfügen, potenzielle Sicherheitslücken durch das regelmäßige Einspielen von Patches schließen.

Vernetzte Endgeräte können Tür zum gesamten Unternehmensnetzwerk öffnen

Wenn einerseits die Anzahl der betroffenen Endpoints überproportional ansteigt, andererseits die Unterstützung der Hersteller zu wünschen übriglässt, weist die Verteidigungslinie im Laufe der Zeit immer mehr offene Flanken auf. Die Angreifer suchen sich dementsprechend stets das schwächste Glied der Kette aus, um den mittlerweile durchweg gut geschützten „Haupteingang“ der jeweiligen Unternehmens-IT-Infrastruktur zu umgehen.

Die vernetzten Endgeräte sammeln zum einen selbst interessante Daten aus Produktion oder Überwachung. Bringen Angreifer die Schnittstellen (APIs), über die die Informationen ins Unternehmensnetzwerk eingespeist werden, zum Absturz, können die Daten nicht mehr prozessiert oder bei Kompromittierung sogar abgegriffen bzw. manipuliert werden. Zum anderen können die vernetzten Geräte und die korrespondierenden APIs die Tür zum gesamten Unternehmensnetzwerk öffnen.

Tipps zur Prophylaxe und Gegenmaßnahmen

Nun stehen die IT-Security-Verantwortlichen im Unternehmen diesem überproportional zunehmenden Gefahrenspektrum natürlich nicht schutzlos gegenüber. Es kommt darauf an, die Bedrohungssituation ganzheitlich zu betrachten sowie Information, Vorbereitung, Kontrolle und Notfallmaßnahmen als Aspekte eines wirkungsvollen Gesamtkonzepts zu sehen und umzusetzen.

  • Mitarbeiter informieren: Die Mitarbeiter über die Gefahrenlage aufzuklären, ist sehr wichtig. Stellten zum Beispiel bisher die Schulungen zu Phishing-Attacken einen Schwerpunkt in der Prophylaxe des „Faktoren Mensch“ dar, muss nun auch im IoT- Bereich umfassend informiert und sensibilisiert werden.
  • White und Black Lists erstellen: Klare KO- und OK-Kriterien bei der Auswahl und Beschaffung von vernetzbaren Geräten sollten definiert, kommuniziert und umfassend kontrolliert werden. Als Ergebnis können resultierende White Lists und Black Lists die Mitarbeiter auch bei dem Kauf privater Devices unterstützen, bevor diese überhaupt Gelegenheit erhalten, nur in die Nähe des Unternehmensnetzwerks zu kommen.
  • Sichere Sandboxumgebung zum Testen: Angesichts der stetig zunehmenden Anzahl von Geräten, die sich mit dem Internet verbinden können, muss eine Priorisierung im Bereich Schwachstellen-Management vorgenommen werden. Klare Verantwortlichkeiten und eine gut ausgestattete Testumgebung sorgen dafür, dass in Zweifelsfällen die fraglichen Devices und Applikationen in einer sicheren Sandbox genau geprüft werden und eine verbindliche Empfehlung für das weitere Vorgehen erfolgt.
  • Klare Verteilung der Verantwortung: Sowohl in der IT-Infrastruktur selbst als auch bezüglich der Rollen- und Verantwortungsverteilung sollten klare Segmentierungen vorgenommen werden, die eben auch für IoT-Geräte gelten. Je kleiner der jeweilige Bereich, desto besser kann er überwacht werden.
  • Lückenlose Überwachung der gesamten digitalen Kommunikation: Auf gesamter Unternehmensebene muss eine leistungsfähige und engmaschige Kontrolle der Datenströme und Zugriffe etabliert werden. Die ganzheitliche Absicherung des gesamten IT-Stacks sollte auch einen API-Schutz auf Layer 7 einschließen. Auf die jeweiligen Rahmenbedingungen des Unternehmens genau abgestimmte Ausschlusskriterien und Prüfpunkte erlauben die lückenlose und feingliedrige Überwachung der gesamten digitalen Kommunikation. Parallel suchen anlassunabhängig Programme nach Viren, Spam und Phishing-Mails und ziehen diese schnell und effektiv aus dem Verkehr. Sofern DDoS-Attacken registriert werden, wird innerhalb von Sekundenbruchteilen Alarm ausgelöst.
  • Passende Notfall-Redundanz anlegen: Verantwortungsvolle Administratoren kümmern sich nicht nur um einen sehr hohen Sicherheitsstandard auf Unternehmensebene, sondern sorgen auch dafür, dass bei einer Kompromittierung eines wichtigen Systems auch die passende Notfall-Redundanz vorhanden ist. Infrastruktur-Komponenten, die bei Ausfall erheblichen Schaden verursachen können, sollten stets redundant angelegt sein.
  • Systeme immer aktuell halten: Weiterhin gilt es nicht nur, die akzeptierten IoT-Geräte auf dem neusten Stand zu halten, sondern insgesamt alle Systeme, Prozesse und Geräte regelmäßig upzudaten – oder sich konsequent von Infrastrukturelementen zu trennen, die nicht mehr weiter aktualisiert werden können.
  • IT-Sicherheit immer up to date halten: Mithilfe eines Threat Intelligence Services bleibt die IT-Sicherheit stets up to date – durch die Nutzung vertrauenswürdiger eigener und fremder Daten aktualisiert sich der Service kontinuierlich selbst und hält verdächtige und schädliche Kommunikationsversuche zuverlässig fern.

Mit der richtigen Strategie das IoT nutzen

Das IIoT – Industrial Internet of Things – erschließt Unternehmen neue Möglichkeiten zur Steuerung und Überwachung von Prozessen sowie Einspar- und Optimierungspotentiale. Weiterhin lassen sich Interaktionskanäle zu Kunden, Partnern und Lieferanten etablieren, die vor einigen Jahren noch völlig undenkbar waren. Ist man sich als IT-Verantwortlicher der Sicherheits- und Qualitätsbandbreite des stetig wachsenden Angebots bewusst, verfolgt eine klare Strategie und setzt zugleich auf umfassende Information und Prophylaxe, lassen sich die potentiellen Gefahren auch in den Griff bekommen.

Kurzprofil des Autors

(Bildquelle: Link11)

Marc Wilczek ist als Geschäftsführer bei Link11 für die strategische Geschäftsentwicklung, Wachstumsinitiativen sowie für Marketing und Vertrieb verantwortlich. Neben Managementfunktionen innerhalb des Deutsche Telekom Konzerns war er zuvor als Senior Vice President Asien-Pazifik/Lateinamerika/Naher Osten und Afrika beim E-Health-Konzern Compugroup Medical tätig und leitete u.a. das Asiengeschäft beim IT-Sicherheitsexperten Utimaco Safeware (heute Sophos).

* Marc Wilczek, Geschäftsführer Link11

(ID:46316688)