Startseite > Netzwerke & IT-Infrastruktur > Mikrosegmentierung im intelligenten Haus

Smart-Home-Security

Mikrosegmentierung im intelligenten Haus

20. Oktober 2020, 7:00 Uhr | Armin Wasicek/jos

Zwar kann es noch dauern, bis 5G und Smart Homes alltäglich sind, Netzbetreiber sollten sich jedoch zeitgerecht auf die neuen Herausforderungen einstellen.

Das Internet der Dinge (IoT) und der Mobilfunkstandard 5G treiben das Wachstum von Heimnetzwerken voran. Dies erfordert neue Sicherheitsstandards und -systeme. Denn je mehr Geräte sich in einem Netzwerk befinden, desto mehr Schwachstellen können darin auftreten. Wie sich Heimnetzwerke mit Hilfe von Mikrosegmentierung schützen lassen, haben Forscher der TU Dresden, des Karlsruher Instituts für Technologie (KIT) und von Avast, einem Hersteller von Sicherheitstechnik, getestet.

Die Marktforscher von IDC rechnen damit, dass bis 2025 weltweit ungefähr 41,6 Milliarden vernetzte Geräte im Einsatz sein werden. Im selben Jahr sollen bereits 20 Prozent der Verbindungen weltweit über den Mobilfunkstandard 5G laufen. Zu diesem Schluss kommt eine aktuelle Studie der GSM Association (GSMA). Carrier, die Cybersicherheit von Anfang an in ihre Netzwerke integrieren, werden zunächst einen Wettbewerbsvorteil haben. Über kurz oder lang werden jedoch auch alle anderen nachziehen müssen. Denn 5G bietet Potenzial für innovative Angebote, aber auch ganz neue Möglichkeiten für die Cybersicherheit.

Viele Heimnetzwerke sind aktuell hauptsächlich durch ein Gateway von Zugriffen von außen geschützt. Meist übernimmt die Aufgabe ein Router, der Firewall-Funktionen bietet. Dieser Schutz fehlt jedoch, sobald sich Geräte mit einem Backend verbinden oder mit Clouds kommunizieren. Manche Geräte überwinden den Netz-
werkrand, indem sie Port-Weiterleitungen etwa über Universal Plug and Play nutzen oder Verbindungen zu Cloud-Endpunkten offen halten – oder weil installierte mobile Anwendungen Schwachstellen haben.

Immer mehr IoT-Geräte vergrößern aktuell auch die Angriffsfläche heimischer Netzwerke. Sie sind für Hacker besonders interessant, denn sie laufen durchgängig teils auf veralteter Firmware, sind kaum überwacht, und Sicherheits-Updates – sofern überhaupt vorhanden – spielen die Anwender oft nicht zuverlässig ein. Für Angreifer reicht eine einzige Schwachstelle eines Geräts, um über diese ins Netzwerk vorzudringen. Einmal angekommen, ist das gesamte Netzwerk gefährdet. Cyberkriminelle können sich dann mit anderen Geräten verbinden, sie mit Malware infizieren, Daten ausspionieren oder die Ressourcen missbrauchen und sie zum Beispiel in Bot-Netze einbauen.

IoT-Geräte als Einfallstor

Mehr Geräte bedeuten mehr Schwachstellen und damit mehr Möglichkeiten für Cyberkriminelle, sich Zugang zu fremden Netzwerken zu verschaffen. Um herauszufinden, wie sich dies verhindern lässt, haben Forscher der TU Dresden, des KIT und von Avast getestet, wie sich granulare Netzwerksicherheitsrichtlinien in Smart Homes implementieren lassen, sodass über 5G verbundene Netzwerke vor potenziellen Bedrohungen geschützt sind, sollte ein Gerät bereits infiziert oder verwundbar sein.

Smart-Home-Lösungen voneinander abschotten

Bislang kam Mikrosegmentierung in Unternehmensnetzwerken zum Einsatz. Für das Zuhause war dieses Konzept bisher aufgrund des hohen Verwaltungsaufwands nicht interessant. 5G bringt jedoch neue Netzwerktechniken voran, zum Beispiel die Netzwerkvirtualisierung. Physische Netzwerkressourcen sind dabei in Software abstrahiert und bereitgestellt. Netzwerke lassen sich in kleinere, virtuelle Segmente aufteilen. Diese sind vom Rest des Netzwerkes getrennt und enthalten mehrere Geräte. Mit Mikrosegmentierung können Betreiber besonders kleine Netzwerksegmente einrichten.

Mikrosegmentierung läuft größtenteils automatisiert ab, sodass von Nutzern nur minimale Interaktionen und Kenntnisse erforderlich sind. Die Mikrosegmentierungslösung erstellt ein Inventar aller Geräte und ihrer Schwachstellen. Diese Informationen nutzt sie, um IoT-Geräte dynamisch nach Kategorien und funktionalen Sicherheitsgruppen Mikrosegmenten zuzuordnen und sie mit Hilfe von Sicherheitsrichtlinien auf Inter- und Intrasegment-Netzwerk-ebene voneinander zu isolieren. Die Mikrosegmente sind dabei von der zugrunde liegenden Infrastruktur entkoppelt. Zwischen ihnen findet kein Informationsaustausch statt. Das heißt, auch die Verbindungen, die Hacker für Cyberangriffe nutzen wollen, um sich im Netzwerk fortzubewegen, stehen nicht mehr zur Verfügung.