Die IoT-Herausforderung verstehen: Wie Unternehmen das Internet der Dinge nutzen können, ohne Sicherheitsrisiken einzugehen

Autor/Redakteur: Markus Auer, Regional Sales Manager DACH bei ForeScout Technologies/gg

Intelligente Stromzähler, so genannte Smart Meter, sind kürzlich in die Schlagzeilen geraten, nachdem Tests demonstriert hatten, dass sie ungenaue Messwerte liefern. Vor allem Unternehmen haben bereits intelligente Messsysteme implementiert oder sind gerade im Begriff, dies zu tun. Der Gesetzgeber schreibt allen größeren Unternehmen in Deutschland vor, bis Jahresende auf solche Systeme umzurüsten, mit dem Ziel, den Energieverbrauch und den CO2-Ausstoß zu senken.

Smart Meter sind ein gutes Beispiel für die enormen Chancen, die das Internet der Dinge (IoT) birgt: Es bringt rapiden technischen Fortschritt, der neben zahlreichen Aspekten unseres Alltags auch die Geschäftstätigkeit von Unternehmen verändert. Intelligente Messsysteme tragen dazu bei, Green IT und nachhaltige Betriebskonzepte zu realisieren, doch ihre Einführung hat Folgen, die bedacht werden müssen.

An der Lösung der Messprobleme arbeiten die Wissenschaftler bereits, doch wesentlich beunruhigender sind die fehlenden Sicherheitsvorkehrungen in Unternehmen, die Smart Meter installieren. Den IT-Verantwortlichen muss klar sein, dass die Nutzung von IP-Netzen durch das IoT Auswirkungen auf den Sicherheitsstatus des Unternehmens hat. Jeder intelligente Zähler ist ein Endpunkt im Netzwerk und muss für die IT-Abteilung sichtbar gemacht werden.

Der entscheidende Punkt ist, dass intelligente Geräte leicht angreifbar sind: Tests zeigen, wie einfach es ist, IoT-Endpunkte als Angriffsvektor zu missbrauchen, um in Netzwerke einzudringen. Durch simples Spoofing der MAC-Adresse können sich Cyberkriminelle Zugriff auf ein Gerät verschaffen und dann das Unternehmen attackieren.  Die deutschen Unternehmen müssen auf intelligente Messsysteme umstellen, gleichzeitig aber auch Wege finden, um die IoT-Geräte in ihren Netzen zu sehen und abzusichern. Andernfalls gehen sie hohe Risiken ein. Wenn die IT-Sicherheitsstrategie nicht an das IoT angepasst wird, wird es zum Türöffner für groß angelegte Netzwerkangriffe und kann den Diebstahl personenbezogener Daten ermöglichen.

Ungeschützte IoT-Geräte sind einfach aufzuspüren: Über Online-Suchmaschinen wie Shodan kann jeder Benutzer mithilfe verschiedener Filter bestimmte Arten von Geräten finden, die mit dem Internet verbunden sind. Intelligente Zähler sind nur eine Art von Geräten, die online gefunden werden können. Viele Unternehmen haben auch schon andere Geräte wie Drucker, VoIP-Telefone oder Smart TVs mit ihren Netzwerken verbunden, ohne sich ausreichend um deren Sicherheit zu kümmern. Viele dieser Geräte haben proprietäre Betriebssysteme und lassen keine Installation von Patches und keine clientbasierten Sicherheitsmaßnahmen zu.

Die Best Practice in diesem Zusammenhang besteht darin, eine agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugangskontrolle einzusetzen. Solche Lösungen erfordern keine Installation von Clients oder Agenten und eignen sich für virtuelle Infrastrukturen, ausgedehntere Netzwerkumgebungen (mit mehreren Teilnetzen) sowie standortferne und nur gelegentlich verbundene Geräte, wie etwa solche aus dem IoT.

Agentenfreie Lösungen für Sichtbarkeit, Transparenz und Zugangskontrolle befähigen Unternehmen, alle Geräte im Netzwerk zu sehen und zu überwachen. Da sie in der Lage sind, Sicherheitsaufgaben zu orchestrieren und Informationen mit bestehenden Sicherheitstools auszutauschen, können im gesamten Netzwerk Richtlinien durchgesetzt und Compliance gewährleistet werden. So bleiben Informationen in den richtigen Händen und die Gefahr von Datendiebstahl wird reduziert – auch dann, wenn Daten von IoT-Endpunkten aufgezeichnet werden.