Nach Berechnungen von Gartner wächst das Internet of Things (IoT) jeden Tag um 5,5 Millionen Geräte. Ende 2016 sollen bereits mehr als 6,4 Milliarden Geräte mit dem Internet verbunden gewesen sein. Zum größten Teil sind es Produkte, die früher nur wenig mit dem Internet zu tun hatten wie Thermostate, Aquarien, Stromzähler, Babyphone und sogar komplette Produktionsanlagen. Nicht selten sind sie jedoch nur mangelhaft abgesichert.
So kam es in den vergangenen Monaten und Jahren immer wieder zu teilweise schwerwiegenden Angriffen auf IoT-Geräte und -Infrastrukturen. Manchmal wurden sie benutzt, um DDoS-Angriffe (Distributed Denial of Service) auf missliebige Server durchzuführen, manchmal wurden nicht gepatchte Sicherheitslücken verwendet, um darüber in Netzwerke einzudringen und um Daten auszuspionieren oder um anderweitigen Schaden anzurichten.
In dieser Situation stellt sich die Frage, wie renommierte Security-Hersteller und IT-Systemhäuser die Lage einschätzen, welche Gefahren sie im IoT sehen und welche Tipps sie zur Absicherung geben? Im Folgenden finden Sie die Antworten aus Sicht von Herstellern und Anbietern. In einem zweiten Teil gehen wir die auf die Ratschläge von Systemhäusern, Distributoren und IT-Dienstleistern ein.
Groß angelegte Netzwerkangriffe durch IoT-Botnetze
Wie anfällig das Internet of Things ist, hat nach Ansicht von Holger Suhl, General Manager bei Kaspersky Lab Deutschland, vor allem das Mirai-Botnetz im vergangenen Jahr gezeigt. Mirai ist eine Malware, die vernetzte Geräte in Bots verwandelt, so dass sie in groß angelegten Netzwerkangriffen verwendet werden können. Teilweise sollen mehrere hunderttausend Systeme in gigantischen Mirai-Botnetzen zusammengeschlossen gewesen sein. Um künftige Schadwellen dieser Größe zu vermeiden, fordert Suhl, dass "Cyber-Sicherheit für IoT-Geräte von Beginn an implementiert wird, da hier die Patch-Zyklen länger sind als beispielsweise auf einem Arbeitsrechner".
Das Problem liegt laut Michael Veit, Security Evangelist bei Sophos, auch in der Art wie IoT-Geräte derzeit auf den Markt kommen. Sie würden heute meist mit dem Fokus auf Funktion und nicht auf Sicherheit entwickelt. "Dadurch können sie als Einfalls- und Verbreitungsweg für Bedrohungen ins Netzwerk dienen." Dabei lasse sich das Internet der Dinge im industriellen Umfeld durch moderne Security-Lösungen sehr gut schützen. Mehr Augenmerk sollte seiner Ansicht nach auf private Haushalte gelegt werden, da sie "mittlerweile IT-Umgebungen (Stichwort "Smart Home") haben, die kleinen Unternehmen in nichts nachstehen".
Risiken durch Smart Homes
Schutz im Smart Home könne zum Beispiel durch die Bildung von kleinen, voneinander abgeschirmten Netzwerkbereichen erreicht werden. Als Beispiele nennt Veit je ein Segment für das Home-Office, das Gäste-WLAN, die Unterhaltungselektronik und die Energie-/Sicherheitstechnik, die voneinander abgetrennt und durch eine Firewall separat geschützt werden sollten. Eine Segmentierung der Netze empfiehlt auch Thomas Uhlemann, Security Specialist bei Eset Deutschland. Außerdem sollten regelmäßige Firmware-Updates der Geräte und stark gesicherte Zugänge eingesetzt werden. "Mit einem klassischem lokalen Ansatz ist nicht viel zu retten", so Uhlemann.
Richard Werner, Business Consultant bei Trend Micro, rechnet damit, dass es über kurz oder lang zu einem staatlichen Eingriff bei der IoT-Sicherheit kommen wird. Bislang könne man sagen, dass "je billiger ein Artikel wird, umso weniger werde in Sicherheit investiert". Mittelfristig werde deswegen "eine Art CE-Prüfsiegel die Konsequenz sein".
Bis es soweit ist, werden wir aber noch viele DDoS-Attacken mithilfe von IoT-Botnetzen sehen, prognostiziert Candid Wüest, Principal Security Engineer bei Symantec. Der Fokus sollte seiner Ansicht nach deswegen vermehrt auf "Privacy by Design" liegen. "Die Geräte müssen ab Werk mit Schutzmechanismen ausgestattet sein, um Missbrauch durch Cyber-Kriminelle zu verhindern", fordert Wüest. Dazu gehören seiner Meinung nach eine sichere Grundkonfiguration sowie ein funktionierendes Update-Konzept.
Reibungsloser Austausch von Bedrohungsdaten
Eine übergreifende Sicherheitsarchitektur schlägt Sascha Plathen, Director Channel Sales bei McAfee vor. "Jedes vernetzte Endgerät ist dann in der Lage, nicht autorisierte Zugriffe zu erkennen und das Ausbreiten zu anderen Endpoints zu verhindern." Darüber hinaus sei ein reibungsloser Austausch von Bedrohungsdaten unabdingbar. Informationen über neue Angriffsmuster müssten so schnell wie möglich geteilt werden, um andere Zugriffspunkte vorzubereiten.
Nach Aussage von Henning Ogberg, Senior Vice President Sales & Marketing bei Rohde & Schwarz Cybersecurity, kommen "in der Industrie zum Teil völlig veraltete IT-Systeme zum Einsatz, die im Zuge von Industrie 4.0 mit dem Internet vernetzt werden". Hacker hätten dadurch ein "leichtes Spiel, die Produktion lahmzulegen, Daten zu entwenden und Unternehmen zu erpressen". Ogberg empfiehlt mehrstufige Sicherheitskonzepte mit Analyse- und Reporting-Tools sowie einer "Firewall, die nur das durchlässt, was auch wirklich zugelassen ist".
Auch die IoT-Nutzer sind gefordert
Die Anwender bezieht Carsten Böckelmann, Regional Sales Director DACH-NL bei Bitdefender, mit ein. Er empfiehlt ihnen, sich vor dem Kauf über die Update-Richtlinien und die Häufigkeit von Security-Updates durch den Hersteller zu erkundigen. Passwörter und Zugangsdaten sollten zudem niemals in den Standardeinstellungen verbleiben. Das Verbinden mit einem separat eingerichteten Netzwerk verringere zudem die Gefahr, dass Angreifer die Kontrolle über andere Geräte erhalten können. Sonst könnten IoT-Geräte zu einer "starken Waffe" umgewandelt werden.
Auch Tim Berghoff, Security Evangelist bei G Data, stuft das IoT nicht mehr nur als Angriffsziel für Cyber-Kriminelle ein, sondern auch als "Tatwerkzeug". Berghoff: "Kriminellen kommt die Tatsache zugute, dass bei vielen Herstellern der Sicherheitsaspekt bei der Entwicklung der smarten Geräte vernachlässigt wird." Angreifer könnten aus diesem Grund relativ einfach auf die Suche nach Schwachstellen gehen und diese für ihre Attacken ausnutzen.
Don’t panic
Zu etwas mehr Ruhe in der Diskussion um IoT-Sicherheit rät Christian Bücker, Geschäftsführer von Macmon Secure. "Das Internet der Dinge wird an vielen Stellen etwas zu heiß diskutiert." Natürlich seien die Unmengen an nicht verwalteten und unkontrollierbaren Geräten eine massiv wachsende Gefahr. Sie lasse sich jedoch in großen Teilen gut beherrschen.
"Der einfachste Weg liegt in der Netzwerksegmentierung und der granularen Steuerung der Kommunikationsmöglichkeiten innerhalb eines Netzwerkes." Das könne man manuell durch Switch- und Router-Konfigurationen oder auch automatisiert mittels einer Network-Access-Control-Lösung erreichen. Bückers Fazit: "So lässt sich steuern, wer mit wem und wer nach Hause telefonieren darf."