Die Technologie des Internet of Things (IoT) hat unser Leben in jeder Hinsicht effizienter gemacht. Sie ist auch zu einem wesentlichen Bestandteil von Geschäftsabläufen weltweit geworden. Mit der Entwicklung eines globalen Netzes intelligenter Geräte, das immer komplexer wird, tauchen jedoch immer neue Sicherheitsprobleme auf.
Das Netzwerk der IoT-Geräte umfasst Sensoren, Software und andere Technologien. Diese Geräte sind mit dem Internet verbunden, um Anweisungen zu empfangen und zu übermitteln und um Daten mit anderen Geräten und Systemen über das Internet zu erfassen und auszutauschen.
Die Fähigkeit des IoT, die Datenverarbeitung und -analyse auf physische Geräte zu übertragen, ist sein wichtigstes Merkmal. Da vernetzte Geräte nur wenige oder gar keine menschlichen Eingriffe erfordern, können sie Unternehmen effizienter, produktiver und kostengünstiger machen.
Dieser Artikel befasst sich mit der Frage, wie IoT-Geräte die Cybersicherheit gefährden können und wie sich das Risiko durch verschiedene Sicherheitsprotokolle mindern lässt.
Was sind die Sicherheitsbedrohungen für das IoT?
Das Internet of Things (IoT) hat uns viele nützliche neue Geräte beschert und uns das Leben zu Hause und am Arbeitsplatz erleichtert. Die IoT-Technologien haben jedoch auch neuartige Sicherheitsrisiken für Unternehmen geschaffen. Das IoT umfasst viele vernetzte Geräte und Sensoren, angefangen von Smartphones, Druckern, Sicherheitskameras, Thermostaten und intelligenter Beleuchtung bis hin zu landwirtschaftlichen Geräten, Geräten für das Gesundheitswesen und vernetzten Fahrzeugen. Diese stellen eine Vielzahl möglicher Angriffsvektoren dar, so dass die Sicherheit der Geräte für die Eindämmung von Bedrohungen durch Cyberkriminalität von entscheidender Bedeutung ist. Diese Sicherheit ist auf mehreren Ebenen erforderlich, und zwar auch bei der Eingrenzung von IoT-Netzen.
Das Internet of Things erhöht die Anfälligkeit eines Unternehmens für Cyberkriminalität.
Das Internet of Things (IoT) ist ein vernetztes System von miteinander verbundenen Computergeräten, mechanischen Maschinen oder Gegenständen mit Sensoren und Software, die ohne menschliches Zutun Daten übertragen oder austauschen können. Die Verfahren und Technologien zur Verhinderung oder Abschwächung von Cyberbedrohungen für diese Geräte bezeichnen wir als IoT-Sicherheit.
IoT-Geräte bilden eine Brücke zwischen einem sicheren Netzwerk und unsicheren Geräten. Jedes Gerät, das mit einem Netzwerk verbunden ist, wird über eine Reihe von Protokollen verbunden, darunter WLAN, Bluetooth, Near Field Communication (NFC) usw. Unsichere Geräte können dabei kompromittiert werden, was zu Informationsdiebstahl oder unbefugtem Zugriff führt. Gängige Bedrohungsarten sind Distributed Denial of Service (DDoS), Firmware-Exploits, Man-in-the-Middle, das Abfangen von Daten, Brute-Force- und physische Angriffe, Ransomware, Funkstörung und unbefugter Zugriff. Und wirklich jedes dieser Szenarien kann sich negativ auf das Geschäft auswirken.
Je mehr Geräte in einem Unternehmen miteinander verbunden sind und je mehr Informationen zwischen verschiedenen Geräten ausgetauscht werden, desto höher ist die Wahrscheinlichkeit, dass ein Hacker vertrauliche Informationen stiehlt.
Welche Sicherheitsvorkehrungen gibt es?
Die Verbreitung von Sensoren und vernetzten Geräten vergrößert die Angriffsfläche von Netzwerken erheblich, was zu einer Zunahme von Bedrohungen für die Cybersicherheit führt. Das Internet of Things ist dabei besonders anfällig, da viele IoT-Geräte ohne Rücksicht auf die Sicherheit hergestellt werden – oder von Unternehmen, die mit den modernen Sicherheitsanforderungen nicht vertraut sind. Infolgedessen werden IoT-Technologien zu einer Schwachstelle im Sicherheitsgefüge eines Unternehmens.
Der Schutz von IoT-Datenverkehr und -Geräten ist eine Aufgabe, die durch eine einzelne Sicherheitstechnologie nicht gelöst werden kann. Für die Sicherung des Internet of Things (IoT) sind keine völlig neuen und komplexen Ideen und Grundsätze erforderlich. Sie erfordert ein geplantes Vorgehen, bei dem zahlreiche Sicherheitsmaßnahmen zum Einsatz kommen. Legen Sie daher die Abwehrmaßnahmen so an, dass Daten und Geräte auch im Falle eines Verstoßes geschützt werden.
Entsprechende Strategien und Tools sollten eine Kernkomponente der IoT-Strategie eines Unternehmens sein.
Möglichkeiten zur Sicherung von IoT-Geräten im Unternehmen
Die Beherrschung von Risiken durch die Durchsetzung strenger Sicherheitsstandards und den Aufbau sicherer Infrastrukturen ist wichtiger denn je, da die digitale Transformation die Teams für Betriebstechnologie und Informationstechnologie zu größerer Unabhängigkeit zwingt. Daten, die bei einem Cyberangriff verloren gehen, können zwar meist wiederhergestellt werden, aber die verlorene Produktionszeit kann Unternehmen Millionen kosten.
Bewährte Cybersicherheitsverfahren für die IoT-Sicherheit in einem Unternehmen umfassen Folgendes:
Schützen Sie Ihre Vermögenswerte
Anstatt Serviceverträge und Garantien von zahlreichen Herstellern, die das IoT in ihre Geräte und Produkte implementiert haben, abwägen zu müssen, können IT-Administratoren nun von einem einzigen Ansprechpartner und einer optimierten Verwaltung profitieren.
Die Vermögenswerte eines Unternehmens sind, sofern sie richtig verwaltet werden, entscheidend für Wachstum und Entwicklung.
Die Empfehlung lautet daher, sich einen einheitlichen, mehrdimensionalen Überblick über alle Vermögenswerte zu verschaffen – einschließlich derer, die nicht gesehen, nicht gesichert und zu wenig verwaltet werden.
Einrichten eines Überwachungssystems
Die Implementierung eines starken IoT-Sicherheitsrahmens kann in einem komplexen Ökosystem mit zahlreichen internen und externen Parteien schwierig sein. Ein effizientes Überwachungssystem ermöglicht eine ordnungsgemäße Bestandsaufnahme, Sichtbarkeit, Identität und Kontrolle der miteinander verbundenen Geräte. Dieser Ansatz muss umfassend sein, und daher wird empfohlen, dem fünfstufigen Modell des NIST zu folgen:
-
Identify (Identifizieren)
-
Protect (Schützen)
-
Detect (Erkennen)
-
Respond (Reagieren)
-
Recover (Wiederherstellen)
Daher sollten sich die Unternehmen auf Folgendes konzentrieren
-
Schaffung eines allumfassenden IoT-Sicherheitsrahmens, der das Ökosystem umspannt und die Betriebstechnologie mit traditioneller Informationstechnologie zusammenführt
-
Einbeziehung der Risiken von Menschen, Prozessen und Unternehmensführung – und nicht nur der Technologie
-
Verstehen der Funktionen der internen und externen Komponenten des Ökosystems durch einen umfassenden Überblick über die gesamten IoT-Vermögenswerte
-
Durchsetzung von Standards unter Einbeziehung der Führungsebene.
Verschlüsseln Sie Ihre Verbindungen
Hacker haben es besonders auf IoT-Endpunkte und -Gateways abgesehen. Im Prinzip muss jedes angeschlossene Gerät damit rechnen, irgendwann angegriffen zu werden. Verschlüsselung ist eine bewährte Sicherheitspraxis für IoT-Anwendungsfälle, um Daten bei der Übertragung vom Gerät zum Back-End und im Ruhezustand zu verschlüsseln. Bei der Minimierung von Sicherheitsrisiken kommt die Kryptographie ins Spiel.
Public Key Infrastructure (PKI) ist eine hervorragende Methode zur Sicherung von Client-Server-Verbindungen zwischen verschiedenen vernetzten Geräten. PKI kann die Ver- und Entschlüsselung privater Nachrichten und Interaktionen durch digitale Zertifikate und einen asymmetrischen Zwei-Schlüssel-Kryptosystem erleichtern.
Überwachen Sie IoT-Geräte aktiv
Jedes Gerät in einem IoT-Ökosystem benötigt eine Identität, und die Bereitstellung dieser eindeutigen Identitäten für alle Geräte aktiviert Vertrauen in das Ökosystem. Sie ermöglicht die gegenseitige Authentifizierung zwischen Geräten und Systemen, verhindert Spoofing- oder Betrüger-Geräte und schützt die Kommunikation vor Belauschen oder Manipulation.
Differenzieren Sie Ihr Produkt
Die Nutzung und Verwaltung der enormen Menge an neuen (und oft sensiblen) Daten, die vernetzte IoT-Produkte erzeugen, können die Beziehungen zu traditionellen Geschäftspartnern neu definieren und die Rolle der Unternehmen bei der Ausweitung der Branchengrenzen neu definieren – all das führt zu neuen strategischen Optionen. So lassen sich beispielsweise mehrere Geräte mit vielen anderen Produkttypen und auch mit externen Datenquellen verbinden, so dass die Konnektivität einen doppelten Zweck erfüllt.
Überwachung, Kontrolle, Optimierung und Autonomie sind die vier Kategorien, die genutzt werden können, um neue Produktfunktionen und -fähigkeiten zu ermöglichen, die durch Intelligenz und Vernetzung möglich werden. Die Grundlage für Produktkontrolle, -optimierung und -autonomie sind zum Beispiel Überwachungsfunktionen. Ein Unternehmen muss sich selbst definieren, indem es die Fähigkeiten auswählt, die dem Kunden Mehrwert bieten, und indem es seine Wettbewerbsposition festlegt.
Multi-Faktor-Authentifizierung nutzen
IoT-Sicherheit ist ein Bereich, der für den Schutz vernetzter Geräte berücksichtigt werden muss. Das Hauptproblem ist dabei, dass diese Sicherheit bei der Entwicklung der Geräte meist noch nicht berücksichtigt wird, was zu einem unzureichenden Datenschutz führen könnte. Für eine sichere Umgebung muss jedes IoT-Gerät eine eindeutige Identität besitzen. Das gewährleistet eine ordnungsgemäße Authentifizierung, wenn sich ein Gerät mit dem Internet verbindet, sowie eine zuverlässige verschlüsselte Kommunikation mit anderen Geräten, Anwendungen und Diensten.
Dies ist mit Hilfe der Multi-Faktor-Authentifizierung (MFA) erreichbar. Benutzer, die versuchen, eine Verbindung zu einem IoT-Gerät herzustellen, sollten dieses Gerät zuerst authentifizieren, bevor die erfolgreiche Verbindung dieses Gerät über ein Netzwerk hergestellt wird.
Die Multi-Faktor-Authentifizierung bietet neben dem Passwort eine weitere Sicherheitsebene und verringert die Risiken für wertvolle Anwendungen, Geräte und Daten. Bei dieser Authentifizierungsmethode muss der ein Benutzer mehr als eine Verifizierung bestehen, um Zugang zu einem System zu erhalten, z. B. ein Passwort zusammen mit einem zusätzlichen Element. Abgesehen von der Authentifizierung werden auch alle Daten verschlüsselt, um die Sicherheit zu erhöhen.
Diese „Elemente“ für die Verifizierung werden häufig in drei Kategorien eingeteilt:
-
Wissensbasiert: Etwas, das der Benutzer kennt, z. B. ein Passwort oder eine PIN;
-
Biometrisch: Dinge, die ein Teil des Benutzers sind, wie Fingerabdrücke, Netzhaut oder Stimmerkennung; und
-
Besitztümer: Dinge, über die nur die Benutzer verfügen, z. B. eine Chipkarte oder ein Telefon.
Die MFA fügt dem Faktor „Besitz“ eine zusätzliche Sicherheitsebene hinzu. Es reicht dann nicht aus, etwas zu wissen – man muss auch etwas haben. In der Regel geschieht dies über ein Smartphone. Die MFA macht es deutlich schwieriger, Cyberangriffe zu starten, da viele der häufigsten Angriffsmethoden darauf beruhen, dass böswillige Akteure die Anmeldedaten eines Benutzers erlangen.
Führen Sie eine sichere Passwortpraxis ein
Unternehmen müssen sicherstellen, dass sie das Standardpasswort auf allen Geräten ändern, die mit ihrem Netzwerk verbunden sind. Der erste Schritt zur Sicherung von IoT-Geräten und zum Schutz der Privatsphäre besteht darin, neue Zugangsdaten anzulegen.
Unternehmen sollten starke Passwörter bereitstellen, die für Hacker mit Hilfe von Wörterbuchangriffen oder anderen passiven Internetangriffen schwer zu erraten sind, um die mit dem Offline-Knacken von Passwörtern verbundenen Gefahren zu verringern.
Halten Sie Benutzernamen und Passwörter eindeutig. Um die Sicherheit noch weiter zu erhöhen, kann eine Cybersicherheitslösung automatisch ein komplexes Passwort generieren. Die meisten Passwort-Manager-Anwendungen können zufällige Passwörter erzeugen, die vom Benutzer sicher gespeichert werden können.
Für den Schutz von IoT-Geräten ist eine Verwaltung der Passwörter unerlässlich. Die Verwendung von Passwörtern zur Authentifizierung, Autorisierung und Konfiguration ist eine der vielen Herausforderungen im Bereich der IoT-Cybersicherheit.
Setzen Sie Patches und Firmware-Updates um
Firmware-Updates sind beim Lebenszyklusmanagement von IoT-Geräten für die physische Sicherheit von entscheidender Bedeutung. Das gilt insbesondere, wenn die Geräte eine lange Lebensdauer haben oder an abgelegenen Standorten eingesetzt werden, wo manuelle Eingriffe sich als schwierig, zeitaufwändig und teuer erweisen.
Das bedeutet, dass IoT-Geräte jedes Mal aktualisiert werden müssen, wenn ein Hersteller einen Patch für eine Sicherheitslücke oder ein Software-Update veröffentlicht. Diese Updates beseitigen Sicherheitslücken, die Angreifer sonst ausnutzen könnten. Wenn ein Gerät nicht mit der neuesten Software ausgestattet ist, kann es anfälliger für Angriffe sein.
Die Aufrechterhaltung der Betriebsfunktionalität, die Verringerung von Cybersicherheitsrisiken und die Beseitigung von Compliance-Hindernissen erfordern die ständige Aktualisierung der Firmware von IoT-Geräten. Unternehmen verlassen sich zunehmend auf IoT-Geräte, um die physische Sicherheit ihrer Vermögenswerte zu schützen. Wenn IoT-Geräte aber nicht aktualisiert werden, kann dies schwerwiegende Folgen für das gesamte Unternehmen haben. Zu wissen, welche Anwendungen die mit dem Netzwerk verbundenen IoT-Geräte nutzen und wie viele Geräte sie nutzen, kann äußerst nützlich sein, insbesondere wenn es darum geht, sich gegen eine bestimmte Bedrohung zu schützen.
Fazit
Intelligente, vernetzte IoT-Geräte können letztendlich völlig autonom funktionieren. Die menschliche Interaktion ist jedoch unerlässlich, um die Sicherheit zu erhöhen und die Leistung zu überwachen. Viele Cybersicherheitsvorfälle, die in den Schlagzeilen waren, betrafen IoT-Geräte – was bedeutet, dass Cybersicherheit sowohl für Verbraucher als auch für Unternehmen höchste Priorität haben sollte.
Der Einsatz einer Identitätslösung für IoT-Geräte bietet vollständige Transparenz und Sicherheit für alle Geräte, Daten und für die Kommunikation. So kann ein Unternehmen IoT-Geräte-Identitäten während ihres gesamten Lebenszyklus verwalten und sie gleichzeitig vor Cybersicherheitsbedrohungen schützen.