Beiträge für ein sichereres IoT
Risiken der Konnektivität einschränken
Die Anbindung der lokalen IT an das Internet verdichtet sich immer mehr. Smarte Hardware und Sensoren sind zunehmend Teil von Unternehmensnetzen, was die Angriffsfläche unübersichtlicher und damit fehleranfälliger macht. Hersteller und Anwender stehen zunächst in der Pflicht, für Sicherheit zu sorgen. IT-Administratoren dürfen die Kontrolle über die neuen Anschlüsse an das Internet der Dinge (Internet of Things, IoT) nicht verlieren oder müssen sie erst erlangen.
Neben Videokameras oder anderer Hardware öffnet auch das Remote-Office neue Risiken. Mitarbeitende, die von zu Hause aus arbeiten, eröffnen unter Umständen neue Schwachstellen, indem sie ihre IoT-Hardware über ihr PC-System unbewusst und damit unkontrolliert an ein Unternehmensnetzwerk anbinden. Geräte mit Internetanschluss in den verschiedensten Branchen – etwa in den Bereichen Industrie oder im Gesundheitswesen – sorgen für mehr Berührungspunkte an das Internet und damit für neue potenzielle Hintertüren ins Netz. Auch wenn IoT und IT noch nicht völlig verschmelzen, steigt das Risiko für den Anwender.
Selbst wenn der Trend sich etwas abschwächt – die Zeichen stehen weiter auf Expansion: 2021 wuchs laut den Experten von IOT Analytics Index die Zahl der IoT-Geräte um acht Prozent auf 12,2 Milliarden weltweit. Laut dem 2022 Mobile Security Index von Verizon gaben 31 Prozent der befragten Verantwortlichen für den Einkauf, das Management und das Sichern von IoT-Geräten zu, dass Hacker ihre IoT kompromittiert hatten. Bei zwei Dritteln davon kam es zu größeren Folgen: 59 Prozent beklagten einen Ausfall der Systeme, 56 Prozent einen Datenverlust und 29 Prozent mussten Compliance-Bußgelder bezahlen. 41 Prozent der Befragten gaben zu, IoT-Sicherheitsbelange zu opfern, um ihre Aufgaben erledigen zu können.
Für die Sicherheit der IoT-Geräte sind verschiedene Beteiligte zuständig, wie etwa Fachverbände, Behörden und nationale Regierungen. Eine Hauptverantwortung liegt jedoch bei Herstellern und Anwendern.
Was können Hersteller tun?
Um IoT-Funktionen sicherer zu gestalten, bedarf es oft nur weniger Vorkehrungen, denn viele Risiken sind auf Nachlässigkeit und Intransparenz in der Entwicklung zurückzuführen. Wenn Hersteller undokumentierte User mit Default-Passwörtern anlegen, sind diese dem Anwender nicht bekannt. Mit der Zeit vergessen, sind sie dennoch voll funktionsfähig und verfügen oft über umfangreiche Rechte. Hacker machen sich dies zu Nutze und suchen mit automatisierten Tools nach Schwachstellen. Deshalb müssen Hersteller diese Konten offenlegen, damit die Anwender sie deaktivieren oder mit eigenen Zugangsdaten versehen können. IT-Administratoren müssen damit rechnen, dass Cyberkriminelle die Rechte unbekannter Nutzer eskalieren.
Außerdem sollten Hersteller das Ändern des Passwortes beim Einrichten standardmäßig vorschreiben, um die Anwender zu einem besseren und bewussteren Umgang mit den eigenen Passwörtern zu erziehen. Dies schafft einfach und sehr effektiv mehr Sicherheit. Zudem schützt es auch IoT-Identitäten, die sich dann von einer Identitäts-Management-Lösung überwachen lassen.
Da der Anwender meist zu bequem dazu ist, Aktualisierungen vorzunehmen, oder dies ganz einfach vergisst, sollten Hersteller diese Aufgabe selbst übernehmen und automatisierte Updates anbieten. Denn es ist wichtig, die Software bei IoT-Produkten immer auf dem neuesten Stand zu halten. Anwender erwarten das Einhalten des Plug-and-Play-Versprechens oder haben schlicht keine Zeit für den IoT-Administrationsaufwand. Die Verantwortung, aktuelle Software anzubieten, liegt im Internet der Dinge in noch höherem Maße beim Hersteller als in der klassischen IT.
Laut Bitdefender-Angaben verursachen proprietäre Betriebssysteme 96 Prozent aller entdeckten Sicherheitslücken und das, obwohl ihr Anteil an den beobachteten Geräten lediglich 34 Prozent ausmacht. Daher sollten Standardbetriebssysteme ein Einkaufskriterium bei der Wahl für eine IoT-Hardware sein.
Genauso wichtig ist die Zusammenarbeit der Hersteller mit IT-Sicherheitsexperten, welche oft auch gut funktioniert. Es gibt jedoch immer noch Hersteller von IoT-Hardware, die keinen Sicherheitsansprechpartner nennen. Dies verzögert das gemeinsame Beheben von Verwundbarkeiten zum Schaden der Anwender. IT-Administratoren sollten die Kommunikation des IoT-Hardware-Herstellers ihrer Wahl verfolgen, um sich über eventuell entdeckte Zero-Day-Lücken zu informieren.
- Risiken der Konnektivität einschränken
- Was können Anwender tun?
Lesen Sie mehr zum Thema
