Sicherheit für IoT-Geräte (Internet of Things)

IoT-Sicherheit (Internet of Things) wird zu einem immer wichtigeren Bestandteil der Cybersicherheit. Während Cybersicherheit den Schutz von mit dem Internet verbundenen Systemen vor Cyberbedrohungen betrifft, geht es bei IoT-Sicherheit darum, verbundene Geräte zu schützen.

IoT bezieht sich auf Systeme aus physischen Geräten oder Hardware, die Daten über Netzwerke ohne Eingreifen von Personen senden und/oder empfangen. Ein typisches IoT-System sendet, empfängt und analysiert Daten in einer kontinuierlichen Feedback-Schleife. Alle Geräte, die als „smart" oder intelligent bezeichnet werden, gehören in der Regel zum IoT. Gängige Use Cases bei Endverbrauchenden sind Smartphones, Smartwatches, Smarthomes und selbstfahrende Autos. IoT-Geräte sind auch im Gesundheitswesen, im Lieferkettenmanagement und in industriellen Use Cases wie Stromversorgung und Herstellung weit verbreitet. Hier werden sie als IIoT (Industrial Internet of Things) bezeichnet.  

Unternehmen haben ein großes Interesse an einer vermehrten Nutzung von IoT-Geräten, da diese ihnen Möglichkeiten zur Verfügung stellen, Daten zu erfassen und zu messen. Die Geräte bieten dabei Vorteile wie Edge Computing und Echtzeit-Insights, weshalb sie oft mit der Einführung digitaler Produkte und der Digitalisierung in Verbindung gebracht werden. Mit einem wachsenden digitalen Profil kann aber auch Ihr Risiko steigen. 

IoT-Sicherheit ist vor allem deshalb so wichtig, weil IoT-Geräte für den unberechtigten Zugriff auf Ihre Systeme missbraucht werden können. Wir denken im Alltag nicht darüber nach, dass unser IoT-Gerät gehackt werden kann. Genau das kann aber passieren. Und mit jedem gehackten IoT-Gerät, das Ihrem Netzwerk hinzugefügt wird, erhöht sich auch die potenzielle Angriffsfläche.

Hat jemand wirklich Interesse daran, Ihre Drucker, Sicherheitskameras oder Thermostate zu hacken? Leider ja. Das eigentliche Ziel ist dabei nicht das IoT-Gerät an sich. Der Plan ist, über Ihr gehacktes IoT-Gerät Zugriff auf Ihr Netzwerk zu erhalten. Ihr IoT-Gerät wird dabei als Gateway zu anderen Systemen genutzt, die oft besser gegen Angriffe von außen geschützt sind. Innerhalb der Systeme bestehen jedoch nicht unbedingt die gleichen Schutzmaßnahmen. Wenn ein IoT-Gerät erst einmal angegriffen wurde, erhöht sich daher auch das Risiko eines Angriffs auf andere Systeme.

Viele IoT-Geräte haben keine integrierte Sicherheit. Das größte Sicherheitsrisiko bei IoT-Geräten besteht darin, dass bei Design oder Entwicklung das Thema Sicherheit oft nicht priorisiert, manchmal nicht einmal bedacht wurde. Wenn Schwachstellen bei IoT-Geräten veröffentlicht werden, bleiben die verbundenen Geräte aufgrund des geringen Sicherheitsbewusstseins oft monate- oder sogar jahrelang ungeschützt im Umlauf. Beispiel:

• Um die Einrichtung zu erleichtern, werden viele Geräte mit Standardpasswörtern ausgeliefert, die nicht geändert werden müssen, wenn sie an Ihr Netzwerk angeschlossen werden. 
• Hersteller könnten unwissentlich IoT-Geräte liefern, bei denen Malware in die Firmware eingebettet ist, weil der für die Entwicklung genutzte Quellcode nicht richtig gescannt wurde. 

IoT-Geräte sind ständig mit dem Internet verbunden und bieten Remote-Zugriff. Diese Verfügbarkeit rund um die Uhr macht IoT-Geräte so attraktiv – sowohl für Nutzende mit guten als auch mit schlechten Absichten. Dass Sie sich per Remote-Zugriff mit einem IoT-Gerät verbinden können, ist zwar nützlich, bedeutet aber, dass das auch andere versuchen können. Hackerinnen und Hacker nutzen Automatisierung, um Geräte zu finden, die eine öffentlich verfügbare IP-Adresse mit einem nicht geänderten Standardpasswort haben – der Ausgangspunkt für ihren Angriff.

Die größten Herausforderungen der IoT-Sicherheit:

• Mangelndes Bewusstsein: Viele Menschen sind sich nicht bewusst, dass ihre IoT-Geräte gehackt werden können, und unternehmen daher nichts, um sie zu schützen.
• Ausbreitungsmanagement: Je mehr IoT-Geräte Sie besitzen, umso größer ist die Angriffsfläche. Die schiere Anzahl an verbundenen Geräten könnte zudem die Fähigkeit einer Organisation überfordern, ihr Sicherheitsmanagement entsprechend auszuweiten. Für den Schutz Ihrer Netzwerke, Daten und Systeme ist es wesentlich, dass Sie Ihre Kapazitäten zur Verwaltung von IoT-Geräten skalieren können.

Wie und warum könnten Hackerinnen und Hacker Schwachstellen in Ihren IoT-Geräten ausnutzen? 

Schwachstellen entstehen ständig neu und ändern sich dann mit der Zeit. Das Gleiche gilt für die Beweggründe hinter Hackerangriffen. Zu den allgemeinen Cybersicherheitsrisiken gehören Ransomware, Malware, Phishing und DDoS-Angriffe (Distributed Denial of Service). Hier einige Beispiele, wie diese über ein IoT-Gerät ausgeführt werden können:

• Ausnutzung von Geräten mit nicht geänderten Standardpasswörtern
• Suche nach IoT-Geräten mit bekannten, nicht gepatchten Malware-Schwachstellen
• Erstellung eines Botnets aus zahlreichen verbundenen Geräten zur Durchführung eines DDoS-Angriffs
• Eindringen in ein Netzwerk über ein IoT-Gerät zum Ausspionieren sensibler Daten, ggf. durch Phishing innerhalb Ihres Netzwerks

Bei der Sicherheit von IoT-Geräten sollten Sie vier Punkte berücksichtigten. 

1. Zentrale Übersicht: Verschaffen Sie sich einen ganzheitlichen Überblick über alle IoT-Geräte in Ihrem Netzwerk. 
2. Zugriffskontrolle: Gewähren Sie nur autorisierten IoT-Geräten, die Sie kennen, Zugang zu Ihrem Netzwerk und begrenzen Sie deren Zugriff. 
3. Netzwerküberwachung: Gewinnen Sie ein gutes Verständnis davon, wie „normale" Aktivität aussieht. Dadurch können Sie Ihr Netzwerk auf ungewohntes Verhalten hin überwachen, das weiter untersucht werden sollte. 
4. Automatisierung der Reaktionszeit: Reduzieren Sie die Zeit, in der Sie gefährdet sind, mithilfe von automatisierten Reaktionen. Wenn Sie beim Monitoring Schwachstellen an einem verbundenen Gerät feststellen, können Sie das Risiko eines Angriffs mit einer automatischen Maßnahme zur Eindämmung und Behebung des Problems deutlich reduzieren.

Fünf Möglichkeiten zur Verbesserung der IoT-Sicherheit:

1. Gehen Sie nie davon aus, dass Ihr IoT-Gerät sich nicht hacken lässt.
2. Verwenden Sie für jedes Gerät und jeden Service ein anderes Passwort, und behalten Sie nie das Standardpasswort bei.
3. Halten Sie Ihre verbundenen Geräte mit aktueller Firmware und Software auf dem neuesten Stand.
4. Deaktivieren Sie WLAN und Bluetooth, wenn diese Funktionen nicht benötigt werden.
5. Schaffen Sie ein eigenes Netzwerk für IoT-Geräte, das von Ihren wichtigsten Systemen getrennt ist. Sie können noch einen Schritt weitergehen und Geräte gruppieren, um je nach Sicherheitsprofil mehr als ein Netzwerk für IoT-Geräte zu nutzen.

Beim Thema Sicherheit spielen alle Beteiligten eine Rolle. Daher sollten auch alle daran beteiligt werden, die Sicherheit in Ihrer Organisation aufrechtzuerhalten – vom Sicherheitsteam bis hin zu den Endbenutzerinnen und -benutzern.

Sicherheit ist ein kontinuierlicher Prozess. Unser Schwerpunkt ist die Bereitstellung der notwendigen Tools, mit denen Sie Ihre Netzwerke, Infrastrukturen und Anwendungen kontrollieren und überwachen sowie Probleme beheben können. Red Hat bietet vollständig integrierte Sicherheitsmaßnahmen für IT-Infrastruktur, Entwicklungs-Stack und Lifecycle. Dabei können Organisationen ihre Sicherheitslage optimieren, indem sie separate Features und Funktionen unserer Produkte und Services nach Bedarf kombinieren.