Zscaler, ein Anbieter von unter anderem Cloud- und Web-Sicherheit, hat die Ergebnisse seines Reports „IoT in the Enterprise: An Analysis of Traffic and Threats 2019“ vorgestellt. Dazu hat das Unternehmen 56 Millionen Transaktionen von 270 verschiedenen IoT-Gerätetypen von 153  Herstellern über einen Zeitraum von 30 Tagen in seiner Cloud analysiert. Für die Analyse hat Zscaler nach eigenen Angaben die Art der kommunizierenden Geräte, die verwendeten Protokolle, die Standorte der Server, mit denen die Geräte kommunizierten, und die Häufigkeit der ein- und ausgehenden Kommunikation herangezogen, um das von IoT-Geräten ausgehende Gefahrenpotenzial zu erfassen.

Die Untersuchung hat unter anderem ergeben, dass mehr als 1.000 Unternehmen über mindestens ein IoT-Gerät verfügen, das Daten aus dem Unternehmensnetz über die herstellereigene Cloud-Plattform ins Internet überträgt. Am häufigsten fanden sich IP-Kameras, Smart-Uhren, Drucker, smarte TVs, Set-Top-Boxen, IP-Telefone sowie medizinische Geräte und Datenerfassungsterminals.

Zscaler weist jedoch darauf hin, dass angesichts des wachsenden Einsatzes von IoT-Technik  die Mechanismen zum Schutz dieser Geräte und ihrer Nutzer nicht vernachlässigt werden dürfen. Die größten IoT-Sicherheitsbedenken sind nach Meinung der Sicherheitsforscher schwache Standard-Anmeldeinformationen, Klartext-HTTP-Kommunikation zu einem Server für Firmware- oder Paket-Updates, Klartext-HTTP-Authentifizierung und die Nutzung veralteter Bibliotheken.

Im Zuge der Untersuchung hat Zscaler festgestellt, dass über 90 Prozent der IoT-Prozesse über Klartext erfolgen, was diese Geräte und die Unternehmen wiederum anfällig für spezifische Angriffe macht, etwa Malware oder Exploits. Ein weiteres Problem sei, dass eine große Zahl der IoT-Geräte Mitarbeitern gehören, die damit die Sicherheit im Unternehmen gefährden. Der Sicherheitsanbieter rät Organisationen daher, ihren IoT-Footprint zu bewerten, um das Risiko von Cyberangriffen durch den wachsenden Einsatz von IoT-Geräten zu mindern.

Darüber hinaus nennen die Sicherheitsforscher einige Maßnahmen, mit denen Unternehmen die IoT-Sicherheit erhöhen können:

  • Änderung der Standard-Anmeldeinformationen. Dabei sollten auch Mitarbeiter in die Pflicht genommen werden, die Standardeinstellungen bei von ihnen mitgebrachten Geräten zu ändern.
  • IoT-Geräte sollten in isolierten Netzwerken mit eingeschränktem Zugriff auf den internen und externen Netzwerk-Traffic installiert werden.
  • Außerdem rät Zscaler dazu, den Zugriff auf IoT-Geräte von externen Netzwerken aus zu beschränken und nicht benötigte Ports für den externen Zugang zu blockieren
  • zur regelmäßigen Durchführung von Sicherheits- und Firmware-Updates auf IoT-Geräten und
  • zur Implementierung einer Sicherheitslösung, die unrechtmäßige, bereits im Netzwerk befindliche IoT-Geräte (Schatten-IT) aufspüren kann.

Weitere Informationen finden sich unter www.zscaler.com. Den Report gibt es gegen Angabe von Kontaktinformationen unter info.zscaler.com/resources-white-papers-iot-in-the-enterprise-2019.

Timo Scheibe ist Redakteur bei der LANline.