Die Sicherheitslücke Internet of Things schließen

Eine IP-Kamera liefert beispielsweise kontinuierlich Video-Pakete an die Zentrale, sollte aber abgesehen von einem gelegentlichem Update keinerlei Daten von dort empfangen. Sendet sie aber plötzlich Daten nach außen oder übermittelt statt Videodaten ausführbaren Code, ist diese verdächtige Anomalie recht einfach anhand der Metadaten des Netzverkehrs zu erkennen. Eine durch künstliche Intelligenz und maschinelles Lernen geschulte NDR schlägt in diesem Fall Alarm.

Viele IoT-Systeme sind aber für die IT-Sicherheitsverantwortlichen auf ihren zentralen Dashboards nicht sichtbar oder sie können mangels Zeit, Kompetenz oder Ressourcen nicht immer angemessen auf Angriffe reagieren. Sie sollten daher auch folgende Ratschläge befolgen, um Attacken aus dem Internet of Things abzuwehren oder deren Effekte zu minimieren:

1. IoT nicht direkt in das zentrale Netz einbinden: IoT-Geräte sollten auf ein Gastnetz beschränkt sein. Der Datenverkehr an der Schnittstelle zwischen IoT- und zentralem Netz lässt sich effizient überwachen.
2. Zero Trust schließt viele Schwachstellen: Administratoren sollten zunächst jede Kontaktaufnahme aus dem Netz blocken und überprüfen. Ein wichtiger Nebeneffekt solcher per Default verschlossenen Netzwerktüren: Ein Wildwuchs von IoT-Hardware mit Zugriff aufs Netzwerk kann gar nicht erst zustande kommen. Der IT-Administrator lernt nun jede Hardware kennen, die Teil des Unternehmensnetzes ist oder es werden will.
3. Dank virtueller Patches auf der Application-Firewall-Ebene lassen sich Risiken nicht aktualisierbarer oder verwaltbarer IoT-Geräte am Perimeter abwehren.
4. Notfallmaßnahmen definieren: Ein anomaler Datenverkehr muss Abwehrmaßnahmen durch Firewalls, Antivirus, Endpoint Detection and Response oder Identitätsmanagement auslösen. Das Blocken von Systeme, Netzsegmenten oder ein automatisches Snapshot Backup verhindert Schäden vorbeugend.
5. IT-Sicherheit umfassend denken: Nicht zentral verwaltete IoT-Hardware ist ein dunkler Fleck der IT-Abwehr, da Administratoren nicht auf sie zugreifen können und den von ihnen ausgehenden Datenverkehr nur indirekt sehen. Letztlich ließe sich ein Sensor einer NDR lokal installieren, was aber zu teuer und aufwendig ist. Daher ist ein EDR-Client unerlässlich, um etwa den Homeoffice-Datenverkehr zu überwachen.
6. Der Blick zurück in die Zukunft: Hat NDR mit Hilfe anderer Technologien einen Angriff abgewehrt, kommt es auf die Analyse des Vorfalls an, um die gefundene Lücke zu schließen und Folgeangriffe zu verhindern. Dafür bleiben die Wege einer Attacke, die eine Network Detection and Response in einer Timeline der Metadaten von und nach außen sowie innerhalb des Systems in einem Spiegel des gesamten Datenverkehrs dokumentiert, sichtbar. Künstliche Intelligenz und maschinelles Lernen erstellen zudem neue Angriffsmuster des Datenverkehrs, die auf einen IoT-Angriff hindeuten können, und helfen bei der zukünftigen Abwehr.

Nicht nur für große Unternehmen

Immer, wenn IoT die Quelle für einen Angriff auf die zentrale IT-Infrastruktur mit Systemen, Applikationen und Unternehmenswissen wird, zeigt sich dies in einem neuen atypischen Datenverkehrsmuster. Eine Network Detection and Response, die basierend auf KI, ML und Threat Intelligence solche Differenzen erkennen kann, schaltet in diesem Moment die allgemeine IT-Abwehr ein. Eine solche IoT-Netzwerksicherheit ist auch für kleine und mittlere Unternehmen umsetzbar, weil sie sich nur bei wirklicher Gefahr im Verzug meldet und nicht die Verantwortlichen mit vermeintlich relevanten Alarmen überschüttet.