Die Sicherheitslücke Internet of Things schließen

Autor/Redakteur: Paul Smit, Director Professional Services bei ForeNova/gg

Jedes Gerät, welches über eine Internet-Konnektivität verfügt, sendet seine vor Ort an der Edge erhobenen Daten aus dem Internet of Things (IoT) an die zentrale IT. Ein Versand in die andere Richtung ist nicht vorgesehen und damit in der Regel verdächtig. Gefahr entsteht für Unternehmen dann, wenn eine gekaperte IoT Malware-Code und Hacker-Befehle an die Zentrale weiterleitet oder abgeschöpfte Informationen nach außen sendet. Der daraus resultierende Datenverkehr ist aber im Netzwerkverkehr sichtbar. Eine Network Detection and Response (NDR) ist deshalb ein wichtiges Element einer umfassenden Cyber-Abwehr.

Basiert NDR auf einer auf Künstlicher Intelligenz gestützten und durch Machine Learning optimierten Analyse der Netzverkehrsmuster, untersucht sie den im Normalfall stattfindenden ein- wie ausgehenden Datenverkehr. Darauf aufbauend definiert NDR ein typisches Modell der legitimen Muster, Informationen oder Befehle. Bei davon abweichendem Datenverkehr schlägt sie Alarm. Im Verbund mit weiteren Abwehrtechnologien und sofern einige Grundsätzen der Abwehr auf Netzwerkebene befolgt werden, lassen sich Risiken und Gefahren aus dem Internet der Dinge minimieren.

Neue große Angriffsflächen

Mit dem Internet der Dinge wächst die Angriffsfläche einer Unternehmens-IT. Die Experten von IoT-Analytics rechnen bis 2025 mit 27 Milliarden Verbindungen, welche die IoT-Hardware knüpft. Für Hacker sind das viele potenzielle Hintertüren in Unternehmensnetze: So kapern Hacker IP-Kameras, um dann Denial-of-Service-Attacken zu starten oder sie in ein Botnetz einzugliedern. Ebenso können die privaten Router oder andere IoT-Geräte der Mitarbeiter im Homeoffice ein Weg in die jeweilige IT-Infrastruktur sein.

Es gibt mehrere Gründe, warum es sich für Hacker lohnt, Sensoren und IoT-Hardware ins Visier zu nehmen: Viele Administratoren kennen nicht jede konnektive Hardware. Aber auch Hersteller sorgen mit fehlerhaft entwickelter IoT-Hardware für Gefahr: Authentifikationsprozesse lassen sich umgehen oder stellen durch das Default-Passwort „1234“ keine Hürde dar, wenn der Angreifer etwas ausprobieren will.

Zudem nutzen viele Unternehmen und Mitarbeiter die Geräte so lange, wie sie ihren Dienst tun – und damit über die Lebensdauer der Geräte hinaus, die der Anbieter vorgesehen hatte. Wenn in dieser Zeit der Herstellersupport ausläuft, wird die Hardware zu einer Sicherheitslücke. Diese wächst mit jedem Update, welches ein Nutzer oder IT-Administrator verpasst.

Anomalien im Datenverkehr erkennen

CISOs und IT-Administratoren sind aber in der Lage, ihre Systeme, Applikationen und Daten gegen Angriffe über IoT-Hardware zu verteidigen – und das auch dann, wenn aus Kosten- und Effizienzgründen nicht jeder Router im Homeoffice einen eigentlich notwendigen Endpunkt-Schutz erhalten kann. Wer aber den durch den Austausch von Befehlen zwischen Sensor und Command-and-Control-Server bedingten Datenverkehr früh erkennen, abwehren oder im Nachgang analysieren will, benötigt den unmittelbaren Zugriff auf IoT-Geräte. Haben Geräte eine IP-Adresse und sind ein Teil des Unternehmensnetzes, kann eine NDR den Datenverkehr einer IP-Videokamera oder des Produktionssensors überwachen.

Verhält sich eine IP-Kamera im Netzwerk atypisch, bemerkt dass die Network Detection. Was ist aber für die NDR atypisch? Ganz einfach: Alles was vom Normalfall abweicht.