In einem Blogbeitrag für das Internetportal IoT Central benennt Sam Elliott, Director Security Product Management bei Bomgar, die Herausforderungen für die IT-Sicherheit in einer vernetzten Welt. Noch vor kurzer Zeit verfügten Unternehmen über standardisierte, kontrollierte Umgebungen mit nur einem technologischen Gerät pro Nutzer. Heute ist es die Regel, dass die meisten Mitarbeiter mehrere Endgeräte für die Verbindung mit IT-Systemen und Applikationen verwenden — und durch das Internet der Dinge wird eine ohnehin schon sehr komplexe IT-Landschaft noch komplizierter.
Der Artikel legt dar, dass es bald unmöglich sein wird, die Zahl sensibler Endpunkte mit Internetzugang in einer Organisation festzustellen. Deshalb sind Unternehmen dringend dazu angeraten, Best-Practice-Empfehlungen für die IoT-Sicherheit einzuhalten, wie zum Beispiel:
- Einfacher Zugriff. Viele der vernetzten IoT-Geräte — Küchengeräte zum Beispiel — sind keine klassischen IT-Systeme. Da sie aber über einen Internetzugang verfügen, können auch diese Haushaltsgeräte zur Gefahr werden, wenn sie in die falschen Hände geraten. So wurden eigentlich harmlose Internetgeräte für einen DDoS-Angriff (Distributed Denial of Service) auf die von der Infrastruktur-Firma Dyn verwaltete DNS-Infrastruktur gekapert, um im Oktober 2016 unzählige Internetdienste lahmzulegen. Aus diesem Grund sollten Unternehmen eine Bestandsaufnahme über alle vernetzten Endgeräte vornehmen — unabhängig davon, ob sie zur klassischen IT-Kategorie zählen oder nicht — und sicherstellen, dass Sicherheitsvorkehrungen getroffen werden.
- Unterschiedliche Angriffswege. Mit der steigenden Verbreitung vernetzter Geräte erhöht sich auch die Angriffsfläche für versierte Hacker. Zur Abwehr dieser Bedrohungen sind neue Sicherheits- und Kontrollebenen erforderlich, um die Datensicherheit im Unternehmen zu gewährleisten. Sam Elliott vergleicht die erforderlichen Maßnahmen mit gängigen Zutrittskontrollsystemen für Gebäude, die Identifizierungstechnologien nutzen. Zutrittsberechtigte Mitarbeiter weisen sich beispielsweise mit einer Ausweiskarte aus, um in geschützte Areale zu gelangen. Besucher dagegen müssen sich beim Sicherheitsdienst nach unterschiedlichen Kriterien überprüfen lassen, wenn sie zeitlich begrenzten Zutritt zu bestimmten Gebäudeteilen benötigen. Auch beim Netzwerkzugriff können Organisationen vergleichbare Technologien einsetzen, um Freigaben für bestimmte Personen samt festgelegter Arbeitszeiten zuzuweisen.
- Klare Zuordnung. Es ist nicht ungewöhnlich, dass die IT-Abteilung nicht den vollständigen Überblick über alle vernetzten Geräte im Unternehmensnetz hat. Und so kann es auch sein, dass viele IT-Teams nicht klar geregelt haben, wer für die Verwaltung und Aktualisierung der verschiedenen IoT-Technologien verantwortlich ist. Im schlimmsten Fall führt dieses Versäumnis dazu, dass bekannte Sicherheitslücken für Angriffe auf einzelne Geräte ausgenutzt werden. Das gleiche Problem stellt sich, wenn Wartung und Pflege bei einem Drittlieferanten liegen, aber beim externen Geräte- oder Systemzugriff nicht die erforderlichen Sicherheitsvorkehrungen eingehalten werden.
Der englischsprachige Artikel auf IoT Central greift noch weitere Aspekte zur IoT-Sicherheit auf. Durchlesen lohnt sich!