Das Internet der Dinge (IoT) hat sich längst in der deutschen Industrie etabliert. Einer Umfrage von Statista zufolge nutzen bereits zwei Drittel aller befragten Unternehmen Industrie 4.0-Anwendungen. Doch mit der IT-Sicherheit der Geräte scheinen es die Betreiber nicht so ernst zu nehmen: Anders kann es sich Security-Experte Thomas Uhlemann nicht erklären, dass Hacker mit dem Ausnutzen von Sicherheitslücken zum Erfolg kommen, die bereits seit sieben Jahren und mehr bekannt sind. Genau genommen befinden sich unter den ESET Top-10-Sicherheitslücken für IoT ausnahmslos Lecks aus den Jahren 2015-2012. Welche Gefahren ansonsten noch lauern, beschreibt der Experte im Security-Blog Welivesecurity.de.
„Das Internet der Dinge bietet Unternehmen ungeahnte neue Möglichkeiten. Doch wer bekannte Schwachstellen über Jahre nicht stopft, riskiert mehr zu verlieren, als ihm lieb ist“, sagt Uhlemann, Security Specialist bei ESET Deutschland. „Hinzu kommt, dass veraltete IT-Veteranen wie Fritz!Fax immer noch in Betrieb sind, vermutlich ungepatcht. Allein in Deutschland werden noch mehr als 3 Millionen aktiv genutzt.“
Aber auch die Absicherung der Geräte lässt vielfach zu wünschen übrig. Deren Zugänge sind über die Kombination von Benutzername und Passwort zu erreichen – von moderner Multi-Faktor-Authentifizierung fehlt jede Spur. Richtig bedenklich wird es, wenn man das Who´s who der schlechtesten Authentifizierungen selbst hier antrifft:
Die 10 am häufigsten gewählten Benutzernamen
- Admin
- Root
- Guest
- Support
- User
- 1234
- Super
- 11111
- Cisco
- tellabs
Die 10 am häufigsten gewählten Passwörter
- Admin
- Root
- 1234
- Guest
- Password
- 12345
- Support
- Admin
- Super
- x-admin
“Vor dem Hintergrund der aktuellen Erfolge von Hackerangriffen weltweit muss Zero Trust Security das Gebot der Stunde sein. Deshalb sollte jede Schwachstelle dringend geschlossen werden, allem voran die bei den IoT-Geräten“, empfiehlt Thomas Uhlemann.
Grundsätzlich sieht der Experte vier gravierende Fehlergruppen, die den Einsatz vom Internet der Dinge so problematisch macht:
- Sicherheitsprobleme bereits im Design der Geräte
- Fehlbedienungen oder -installationen durch den Menschen
- Sicherheitstechnisch und datenschutzrechtlich fragwürdige Apps zur Bedienung
- Ungewollte oder unbemerkte Datenübertragungen vom Device ins Internet
„Abgesehen von möglichen Sicherheitslecks werden viele IoT-Industriegeräte im Laufe der Zeit zur Gefahr. Denn ihre Lebensdauer ist auf Jahre bzw. Jahrzehnte ausgelegt – und da passiert in puncto Sicherheit leider eine Menge. Insofern muss sich jedes Unternehmen gut überlegen, ob und wie es diese Geräte im aktiven Netzwerk mit dem Internet verbindet“, sagt der IT-Experte. Sein Lieblingsbeispiel ist dafür die vielfach verwendete Webcam. Diese wird zwar nicht im produktiven Großeinsatz genutzt, steht aber sinnbildlich für Geräte mit langer Einsatzdauer. Viele funken immer noch – vielleicht sogar vergessen – Live-Videos aus dem Unternehmen ins Internet. Mit einem Klick darauf gelangt man nicht selten auf die Admin-Oberfläche der Cams. Selbst wenn man sich nicht einloggen möchte, erfährt der Angreifer durchaus wertvolle Informationen: Wie etwa die öffentliche IP-Adresse oder ob und in welchem Netzwerksegment sich die Kamera befindet.
Kurzum: Vergessene oder nicht inventarisierte Geräte bergen ein großes Sicherheitsrisiko. Dies passiert übrigens sehr oft, wenn Projekte abgebrochen oder Firmen verkauft werden. Dann tritt dieses Equipment in den Hintergrund und wird erst später zur tickenden Security-Bombe.
Das sollten Unternehmen im Umgang mit IoT-Geräten beachten:
Nutzen Sie Inventarisierungssoftware
Diese hilft Ihnen, alle Teilnehmer des Netzwerkverkehrs aufzuzeigen – inklusive der vergessenen. Kennen Sie das Gerät nicht (mehr) oder erfüllt es keinen Zweck (mehr), entfernen Sie es umgehend aus Ihrer Infrastruktur!
Nutzen Sie Netzwerksegmente
Getrennte (Sub-)Netze für verschiedene Anwendungsbereiche helfen, mögliche Gefahren schneller einzudämmen und Sicherheitsrichtlinien schneller und einfacher anzuwenden. Eine kompromittierte Webcam wird so schwer bis gar nicht zum Einfallstor für Ransomware oder DDoS-Attacken.
Nutzen Sie sichere Zugänge
Es gibt keinen Anwendungsfall, bei dem Benutzername und/oder Passwort irgendwelchen Standards entsprechen sollte! Personenbezogene Accounts und anwendungsbezogene Passphrasen helfen, Wörterbuchattacken oder Angriffe mit Passwortlisten ins Leere laufen zu lassen. Dort wo es möglich ist, sollte auch bei internen Systemen eine Multi-Faktor-Authentifizierung zum Einsatz kommen, sodass gestohlene, wiederverwendete oder zu einfache Zugangsdaten kein Problem darstellen.
Sensoren, Aktoren und Co. sind genauso wichtig wie Server und PCs
Sobald ein Gerät vernetzt ist, gibt es keine unwichtigen Geräte mehr. Behandeln Sie die smarten Akteure mit gleicher Sorgfalt und Vorsicht wie alle anderen (digitalen) Arbeitsmittel auch. Das gilt auch insbesondere für Smart Devices, wie TV und Kühlschrank, die sich im Unternehmen befinden!
Updates, Updates, Updates
Updates dienen hauptsächlich zum Schließen von entdeckten Sicherheitslücken. Das gilt für Server und PCs wie auch für alle smarten Geräte. Selbst ein Sensor kann unter Umständen ein Update benötigen. Aktualisieren Sie zusätzlich Ihren Wissenstand – ein „Update der Brain.exe“ hilft, Updates zu planen, um diese zeitnah und möglichst unterbrechungsfrei einzuspielen und entsprechende Tools auszuwählen, die diesen Vorgang ermöglichen und eventuell automatisieren.
Security ins Design
Planen Sie eine Entwicklung im Bereich IoT? Planen Sie, fertige Lösungen einzusetzen? Planen Sie, auf 5G umzusteigen? Dann planen Sie unbedingt die Sicherheit aller Anstrengungen von vornherein mit ein! Ist der Plan aus Ihrer Sicht fertig, holen Sie am besten noch externe Schwachstellenprüfer dazu. Diese Pentester kennen die gängigen Methoden der Cybergangster und wissen um die häufigsten Fehler. Profitieren Sie von der Erfahrung der Experten, ohne aus den eigenen Fehlern lernen zu müssen. Jede Investition verhindert unnötige Ausgaben durch beispielsweise Ransomware oder durch Betriebsunterbrechungen plus Aufräumarbeiten.
Nutzen Sie zusätzliche Schutzsoftware
Dort wo es möglich ist, sollte Security-Software zum Einsatz kommen. Diese kann Schadcode aber auch Exploits erkennen und blockieren. Windows Plattformen für SCADA Systeme, Linux-Gateways und Fileserver, Geräte mit Android und natürlich alle Desktop-Systeme sollten über Softwareschutz verfügen, der sich zentral administrieren und in ein Security-Gesamtkonzept einfach integrieren lässt.