Firewall, Virenscanner & Co. sind nicht genug

Das Netzwerk steht bei IoT- Sicherheit in der Pflicht

| Autor / Redakteur: Bernd König / Andreas Donner

Angreifer nutzen IoT-Geräte gern als Einfallstor ins Firmennetz. Da sie selbst keinen Schutz bieten, muss das Netzwerk diese Aufgabe übernehmen.
Angreifer nutzen IoT-Geräte gern als Einfallstor ins Firmennetz. Da sie selbst keinen Schutz bieten, muss das Netzwerk diese Aufgabe übernehmen. (Bild: © whiteMocca - Shutterstock / Akamai)

Immer mehr Unternehmen setzen IoT-fähige Geräte ein. Im Digitalisierungsrausch vergessen sie dabei häufig die Sicherheit. Sensoren und IoT-Anwendungen selbst können diese nicht gewährleisten. Das einzige, was derzeit hilft: ein widerstandsfähiges, schützendes Netzwerk.

Das Mirai-Botnetz hat es gezeigt: das Internet of Things hat auch seine Schattenseiten. Die untereinander vernetzten Geräte, egal ob Sensoren oder Aktoren, lassen sich leicht über das sie verbindende IP-Protokoll versklaven und zweckentfremden. Das Mirai-Botnet konnte vor gut einem Jahr mehrere Hunderttausend Geräte kapern und den bislang größten DDoS-Sturm über das Web bringen.

Insgesamt generierten die Geräte 623 Gbit/s an Traffic, der bestimmte Webseiten überflutete und lahmlegte. Kaum ein Jahr später rollt schon wieder die nächste Mirai-Welle an, Reaper oder IoTroop genannt. Sie nutzt die Schwachstellen in IoT-Soft- und Hardware aus und hat schon über eine Million Infektionen verursacht.

Und dennoch: Das Internet der Dinge ist aus unserem Privat- und Berufsleben nicht mehr wegzudenken. Weltweit gibt es bereits mehr vernetzte Geräte als Menschen. Bis 2020 werden schätzungsweise 50 Milliarden IoT-Geräte ihren Dienst tun. Damit steigt auch die Gefahr von immer raffinierteren Angriffen. Und: mehr IoT-Geräte bedeuten außerdem eine größere Angriffsfläche.

Während Mirai noch versucht hat, Passwörter zu knacken, nutzen die Derivate bekannte Schwachstellen aus und fahren komplexe Angriffsszenarien. Außerdem: Die neue Malware verbreitet sich von Gerät zu Gerät und nicht von einer zentralen Stelle aus. Dadurch wird es immer mehr gefährdete Netzwerke geben, die mit infizierten IoT-Geräten verknüpft sind. Unternehmen müssen schnell handeln, wollen sie ihren Ruf und besonders ihre Existenz nicht aufs Spiel setzen.

IoT-Geräte selbst können Sicherheit nicht

Es gilt, sich bewusst zu machen, wie wichtig Schutzkonzepte sind. Vor lauter Digitalisierung und IoT-Hype wird die Integration von Abwehrmechanismen bei der Umsetzung eines IoT-Projekts häufig vernachlässigt. Die Geräte selbst sind keine große Hilfe. Oftmals hängen ungepatchte Versionen im Netz. Noch dazu fehlen ihnen in der Regel von Haus aus ausreichend abwehrende Sicherheitsfunktionen. Letzteres geht nämlich häufig zu Lasten des Bedienkomforts und ist daher unbeliebt.

Das bedeutet: Das Netzwerk muss die Sicherheit übernehmen. Die Herausforderungen für eine widerstandsfähige Unternehmensinfrastruktur sind dabei enorm. Zum einen gilt es, die wachsende Datenflut zu beherrschen, denn IoT-Geräte produzieren vor allem eines: Massen an Daten; und deren Integrität und Verfügbarkeit muss genauso gewährleistet sein wie die Performance. Zum anderen wollen bislang unbekannte Schwachstellen sowie neue Angriffsmuster frühzeitig erkannt und abgewehrt werden. Ausgebildetes Fachpersonal muss die komplexe Sicherheitsarchitektur überwachen und mit ausreichend Budget bei Bedarf aufrüsten können. Ganz nebenbei ist auch noch Überzeugungsarbeit zu leisten. Sicherheit im Allgemeinen und vor allem IoT-Sicherheit haben in der Architektur der meisten Infrastrukturen leider immer noch nicht oberste Priorität.

Versetzen wir uns also einmal in die Lage, dass Sicherheit das wichtigste Projekt in unserer IT-Abteilung sei: Wie müsste das Netzwerk aussehen, um für Angriffe durch IoT-Botnetze gewappnet zu sein?

Statt Sicherheit mit der Gießkanne: Individuelle Risiken bewerten

Bevor die Ersten vor dem hohen Aufgabenberg kapitulieren: Nicht jedes Unternehmen muss einen großangelegten Botnet-Angriff fürchten, sondern sollte sein individuelles Risiko analysieren. Dabei hilft die Auswertung von Bedrohungsdaten, die Aufschluss darüber geben, wer das Netzwerk in welcher Art angegriffen hat. Anhand dieser Ergebnisse können Security-Spezialisten im Unternehmen unter Beachtung von Gesetzen und branchenspezifischen Vorschriften eine individuelle Sicherheitsstrategie entwerfen. Einen hundertprozentigen Schutz vor DDoS-Attacken gibt es aber nicht. Doch wer die Sicherheit der Firmen-IT auch im Hinblick auf IoT im Griff hat, hat die besseren Chancen, ein Desaster zu verhindern.

Skalierbarkeit und Know-how sind das A und O

Wer IoT-Geräte in die Unternehmensinfrastruktur einbinden will, sollte das Sicherheitskonzept an die neuen Gegebenheiten anpassen. Nicht nur IoT selbst produziert Unmengen an Daten, die Firmennetze schnell an ihre Grenzen bringen. Kommt es zu einem DDoS-Angriff, beispielsweise, weil IoT-Geräte zu einem kriminellen Botnet zusammengeschlossen wurden, muss das Netzwerk ausreichend skalierbar sein, um nicht unter der plötzlichen Datenlast zusammenzubrechen.

Das heißt, Kapazitäten müssen schnell erweitert und die Performance-Leistung muss stabil gehalten werden können, um die Attacke abzufedern und Ausfallzeiten sowie Datendiebstahl möglichst zu verhindern.

Spätestens jetzt sind Fachkräfte und Know-how gefragt. Ihre Aufgabe ist es, die Infrastruktur entsprechend aufzusetzen. Dabei geht es nicht nur darum, auf Compliance und allgemeingültige Branchenstandards zu achten. Vielmehr müssen die Verantwortlichen wissen, welche Bedrohungen relevant werden und wo Schwachstellen am ehesten ausgenutzt werden können. Darüber hinaus müssen sie Lücken kontinuierlich identifizieren, schließen und die Sicherheitsstruktur up-to-date halten können. Neue IoT-Geräte dürfen nicht einfach nur funktionieren. Deren Gefahrenpotenzial ist hoch. Fortwährende Analysen und Patch-Routinen können verhindern, dass Lücken unentdeckt bleiben und gnadenlos ausgenutzt werden.

So sicher wie nur möglich mit einer breit angelegten Verteidigungsstrategie

Je früher ein Problem für die Infrastruktur erkannt wird, desto besser kann man darauf reagieren. Zur Verteidigungsstrategie gehört also erst einmal, neue Anwendungen zuvor auf ihr Gefährdungspotenzial zu analysieren – was vor allem im Bereich IoT besonders hoch ist. Außerdem muss das IT-Security-Konzept eine Struktur vorgeben, die aus mehreren Verteidigungslinien besteht und Prävention, Analyse sowie im Idealfall automatisierte Reaktion abdeckt, und zwar vom äußersten Rand des Netzwerks bis zum Endpunkt.

Frühe Verteidigungslinien am Netzwerkrand nutzen innovative Detektionsmethoden wie beispielsweise die Anomaliedetektion. Dabei erkennen Algorithmen unter anderem Portscans, mit denen Angreifer herausfinden wollen, welche Ports aktiv sind und, damit verbunden, welche Dienste es gibt. Dieses äußerst frühe Erkennungsstadium erfordert Know-how beim IT-Personal, denn die größte Intelligenzleistung passiert im Vorfeld durch die Analyse und Definition der Algorithmen und anschließend bei der Bewertung der automatisierten Alarme.

Im Laufe der Jahre und durch die veränderte Bedrohungslage ist man außerdem dazu übergegangen, sich nicht mehr allein auf Firewall oder Virenfilter am Netzwerkrand zu verlassen. „Verteidigung in der Tiefe“ lautet die Strategie, die nicht nur die Netzwerk-Außengrenzen betrachtet, sondern alle Ebenen, Schichten und Vektoren miteinbezieht. Auf diese Weise erreicht man ein signifikant höheres Sicherheitsniveau, weil wesentlich mehr relevante Bereiche des Netzwerks kontinuierlich überwacht und analysiert werden und dadurch abwehrbereit sind.

Sicherheit muss schneller sein als der Angreifer

All die Sorgen um Datendiebstahl und existenzbedrohende Ausfallzeiten nehmen zu – und sie sind berechtigt. Denn ein erfolgreicher Verteidiger muss schneller sein als der Angreifer, um Attacken auf die Infrastruktur zu verhindern. Doch das ist nahezu unmöglich. Und prädiktive Arbeit allein erscheint wenig sinnvoll, kann aber hilfreich ergänzen.

Dank immer neuer Detektionsmethoden gibt es aber Möglichkeiten, durch umfangreiche Analysen korrelierte Indikatoren zu nutzen und somit die Bedrohungen aus dem Internet früh zu identifizieren und zu blockieren. Diesen Ansatz hat Akamai gewählt.

Bernd König.
Bernd König. (Bild: Akamai)

Unternehmen, die Web-Anwendungen oder Unternehmensinhalte an die Akamai Intelligent Platform auslagern, profitieren von neuesten Detektionsmethoden und globalen Sicherheitsteams, die rund um die Uhr datenbasierte Informationen über aktuelle oder zu erwartende Bedrohungslagen durch die von ihnen entwickelten Algorithmen und korrespondierenden State-of-the-Art-Sicherheitsmaßnahmen in wirksamen Schutz für ihre Kunden umwandeln.

Merke: Hoffnung ist keine Strategie!

Über den Autor

Bernd König ist Director Product Line Security EMEA bei Akamai Technologies und verantwortet das Security Product Management für EMEA. Er unterstützt Unternehmen mit Strategien im Bereich Datensicherheit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45083176 / Allgemein)