Marktforscher von Gartner glauben, dass 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden und diese Anzahl in den darauffolgenden Jahren noch weiter wachsen wird. Angesichts der Tatsache, dass IoT eine immer bedeutendere Rolle im täglichen Leben spielt (selbstfahrende Autos, Drohnen, Sensoren überall), ist es essentiel, alla Sicherheitslücken in den IoT-Endgeräten zu schließen.
Forschungsergebnissen einer F5 Labs-Umfrage vom Juli 2018 zufolge haben Brute-Force-Angriffe auf IoT-Geräte zwischen 2016 und 2017 um den Faktor 2,5 zugenommen. Zugleich ändern die Angreifer ihre Taktik in immer kürzeren Zyklen und agieren immer vielfältiger. Aus technischer Sicht sind die derzeit verwendeten Methoden, um IoT-Geräte zu kompromittieren, oft sehr einfach und erfordern nur wenige Schritte.
- IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11. - Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss". - Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein." - David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren." - Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt. - Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller." - Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden." - Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können." - Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen." - Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design." - Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich." - Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ." - IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11. - Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss". - Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein." - David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren." - Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt. - Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller." - Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden." - Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können." - Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen." - Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design." - Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich." - Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ."
Um möglichst wenig Aufsehen zu erregen, zielen die Angreifer dem Bericht der F5 Labs zufolge auf bestimmte Ports und Protokolle sowie auf spezielle Hersteller, Gerätetypen und Modelle. Erfolgreich sind sie, weil viele Hersteller grundsätzlich unsichere IoT-Geräte auf den Markt bringen. In Unternehmen könne dies dazu führen, dass etablierte Sicherheitsvorkehrungen unterlaufen werden.
Neuer Weg für Industrial-Security-Lösungen
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier ist "Security by Design". Dazu gehört ein sicheres Betriebssystem genauso wie Maßnahmen gegen Reverse Engineering sowie Code-Prüfungen, Absicherung gegen App-Overlays oder die Vermeidung der Speicherung von Nutzernamen und Passwörtern im Klartext", fordert Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH. Er verweist dazu auf Kaspersky OS, ein Betriebssystem für Embedded-Systeme mit strikten Cybersicherheitsanforderungen.
Foto: Kaspersky
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt und erhalten während ihres Lebenszyklus nie oder selten Software- und Sicherheitsupdates", so die Erfahrung von Michael Veit, IT-Security Experte bei Sophos. Seiner Erfahrung nach werden IoT-Geräte oft in denselben Netzwerken betrieben wie Workstations, Mobilgeräte und Server: "Dadurch sind diese IoT-Geräte oft einfache Ziele für Cyberkriminelle, welche die IoT-Geräte übernehmen und für ihre Zwecke umfunktionieren können."
IoT-Geräte, die von Cyber-Kriminellen kontrolliert werden, können als Einfalls- und Verbreitungsweg für Angriffe auf das Heim- und Firmennetzwerk genutzt werden. "Im schlimmsten Fall droht dann den angegriffenen Unternehmen durch die Kompromittierung von Maschinen- oder Prozeßsteuerungen ein Produktionsstillstand", skizziert Veit ein mögliches Szenario. "Der Heimwanwender könnte seine digitale Fotosammlung unwiederbringlich verlieren", so der Sophos-Manger weiter.
Ähnlich argumentiert auch Michael Haas, Area Sales Director Central Europe bei WatchGuard: "Es gibt derzeit keinen Ansatz, IoT-Geräte sicherer zu machen. Man will lediglich das Umfeld um solche Geräte sicherer machen." Seiner Ansicht nach ist es fraglich, ob Kunden immer bereit sind, für ein IoT-Gerät auf dem Enterprise-Level das notwendige Budget freizugeben. Er vergleicht das mit Enterprise-WLAN-Access-Points, die durchaus das Zehn- oder Zwanzigfache dessen kosten können, was ein klassischer Consumer-Access-Point kostet.
"Selbst wenn heute die professionellen Geräte von der Sicherheit her besser geworden sind, ist doch nicht auszuschließen, dass ein Mitarbeiter etwa eine Kamera von zuhause mitbringt und am Netzwerk anschließt - wodurch dann wieder Fehler möglich sind", so Haas. Eine Möglichkeit, für mehr Sicherheit zu sorgen, sei die Segmentierung des Netzwerks.
Ähnlich sieht das auch Sven Janssen, Director Channel Sales DACH bei Sophos: "In Firmen gehe es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Welche Geräte zähle ich im weiteren und engeren Sinne überhaupt zu IoT, was funkt da überhaupt und wie baue ich die sicher in eine Netzwerkstruktur ein." Partner könnten Firmen bei dieser Bestandsaufnahme helfen, sie etwa darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sein können, und das Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss.