Segmentierung des Netzwerks zur Absicherung der IoT-Infrastruktur
"Segmentierung und andere Maßnahmen im Netzwerk" betrachtet auch Thomas Huber, Director Channel & OEM Sales Central Europe bei Nutanix, als geeignete Maßnahmen für mehr IoT-Sicherheit. "Wir stehen noch relativ früh am Beginn der Digitalisierung. Es sind ja nicht nur die Geräte, es geht auch um die Netzwerke, etwa 5G. Stand heute ist noch alles proprietär und gibt es keine Standards."
Huber weiter: "Das Problem kann nur bewältigt werden, wenn sich die Security-Hersteller Lösungen überlegen, die einem Standard folgen. Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns zusammen als 'die Guten' verstehen und uns überlegen, wie wir gemeinsam vorgehen können."
Tim Berghoff, Security Evangelist bei G Data, stimmt der Einschätzung grundsätzlich zu, glaubt aber nicht an einen schnellen Erfolg. "Der Markt ist bei den Geräteherstellern stark fragmentiert. Mit einer Lösung für ein bestimmtes Gerät, lässt sich keine Sicherheit herstellen. Einen Standard in dem Bereich zu etablieren halte ich für sinnvoll, aber schwierig durchsetzbar."
"Versucht man für eine bereits auf breiter Front genutzte Sache, zum Beispiel im Bereich IP-Kameras, einen Standard im Nachhinein zu etablieren, endet man schließlich immer beim kleinsten gemeinsamen Nenner", begründet Berghoff seine Betrachtungsweise. Gerade im Bereich Sicherheit sieht er dadurch durchaus Potenzial für Probleme.
Lesetipp: Schutz von IP-basierten Überwachungssystemen
Zudem nütze es nichts, sich zum Beispiel zu überlegen, wie IP-Kameras sicherer werden, wenn drumherum noch 20 andere Geräteklassen zum Einsatz kommen, um die man sich auch Sorgen machen muss. "Wenn jemand versucht, im Zuge eines Angriffs ein Netzwerk zu kompromittieren, dabei eine IP-Kamera findet und feststellt, dass die in irgendeiner Form abgesichert ist, dann nimmt er halt das nächste IoT-Gerät, das keine Endpoint-Security in irgendeiner Form hat."
Michael Veit von Sophos führ hier an, dass auf den IoT-Geräten selbst in der Regel keine Endpoint-Sicherheitslösungen installiert werden können und daher dort auch keine regelmäßige Softwareupates möglich sind: "Deshalb müssen Unternehmen ihre IoT-Geräte durch Netzwerksegmentierung in einzelne kleine Netzwerkbereich 'einsperren' und den Netzwerkverkehr durch Firewall-Regeln strikt auf die notwendige Kommunikaton einschränken."
Foto: Sophos
Hier empfiehlt der Sophos-Manager, dass ledgilich die Steuerungszentrale via IP erreichbar sein sollte und zudem Sicherheitsmechanismen auf Netzwerkebene wie IPS (Intrusion Prevention Systeme) zu implementieren sind. "Im Heimbereich sollten sich die IoT-Geräte ebenfalls in einem eigenen WLAN beziehungsweise in einem abgeschotteten Netzwergbereich befinden und aus dem Internet nicht per Portweiterleitung sondern ausschließlich per sicherer VPN-Verbindung erreichbar sein", so Veit weiter.