IoT-Prozesse sind fast überall anzutreffen, stellen aber trotzdem oft eine Schwachstelle im Sicherheitskonzept vieler Unternehmen dar. Für Organisationen ist es daher höchste Zeit, IoT-Technologien und -Prozesse als Teil ihrer zentralen Endpunkt- und Edge-Sicherheitsstrategie zu berücksichtigen. In diesem Blogbeitrag erfahren Sie mehr über Best-Practice-Konzepte zur Härtung von IoT-Umgebungen und Reduzierung häufiger Risiken.
Die wachsende IoT-Bedrohungslandschaft
Das Internet der Dinge (IoT, Internet of Things) bezeichnet das wachsende Netzwerk an physischen Geräten, Fahrzeugen und Haushaltsgeräten, die permanent mit dem Internet verbunden sind. Diese Geräte sammeln und teilen Informationen, um Unternehmen und Verbrauchern gleichermaßen neue technische Möglichkeiten zu verschaffen. Auch Edge-Computing-Netzwerke werden über IoT-Prozesse angetrieben und profitieren beispielsweise von einer ortsnahen Bereitstellung von Daten. Das wirkt sich auf zahlreiche Technologien aus — von selbstfahrenden Autos bis zur OT-Fernüberwachung (Operational Technology).
IoT und IIoT (Industrial IoT) sind indes von zahlreichen Sicherheitsrisiken betroffen. Im Laufe der Jahre waren wir Zeugen verheerender Botnet-Angriffe (Mirai, Meris usw.), bei denen unzureichend gesicherte IoT-Endpunkte für massive Hackerattacken zweckentfremdet wurden und weltweit Schäden verursachten. Wir haben auch gesehen, dass sensible IoT-Bestandteile industrieller Steuerungssysteme kompromittiert wurden und sogar Leben gefährdeten. Und wir kennen unterschiedliche Berichte über gruselige, IoT-vernetzte Puppen und andere Kinderspielzeuge, die von Angreifern für Ausspähversuche im privaten Umfeld gekapert wurden.
Die wachsende IoT-Nutzung in Verbindung mit moderner 5G-Netzanbindung bedeutet, dass solche IoT-Risiken in den nächsten Jahren aller Voraussicht weiter steigen werden. 5G-Netze bieten Nutzern einen viel höheren Datendurchsatz im Internet sowie eine höhere Erreichbarkeit und zuverlässigere Anbindung als zuvor. Die damit verbundenen 5G-Sicherheitsrisiken gilt es ebenfalls zu berücksichtigen. Einer der Vorteile von 5G besteht darin, dass mehr Geräte mit dem Internet verbunden werden können. Für Cyberkriminelle bieten sich damit zugleich mehr Möglichkeiten, IoT-Geräte ins Visier zu nehmen und potenziell deutlich größere IoT-Botnetze aufzubauen.
Die größten IoT-Sicherheitsrisiken und -Schwachstellen
Werfen wir einen Blick auf einige der größten IoT-Sicherheitslücken: Wie lassen sich eingesetzte Geräte härten, um Risiken vorzubeugen oder zu mildern?
1. Unsichere Kommunikationswege
Zu den größten Risiken beim Einsatz von IoT-Technologien zählen die unsicheren Kommunikationswege. Datenübertragungen zwischen einzelnen IoT-Geräten sind anfällig für Abhörversuche durch Dritte. Bedrohungsakteure könnten dadurch Zugriff auf vertrauliche Informationen wie Benutzerkennwörter oder Kreditkartennummern bekommen.
Sicherheitsmaßnahmen: Setzen Sie Verschlüsselungsverfahren ein, um die Daten während einer Übertragung zu schützen. Ist die Datenverschlüsselung während einer Übertragung technisch nicht möglich, sollten Sie zumindest das Netzwerk isolieren, in dem sich ein Gerät befindet. Eine solche Segmentierung trägt dazu bei, die gerätespezifischen Angriffsvektoren zu reduzieren. Unternehmen können dafür BeyondTrust Privileged Remote Access einsetzen, um Zugriffe auf segmentierte Netzwerke (blick)sicher abzuschirmen.
2. Fehlende IoT-Sicherheits-Updates
Nach der Auslieferung eines Gerätes liegt es am Hersteller, regelmäßig Updates bereitzustellen, um neu entdeckte Sicherheitslücken zu schließen. Einige IoT/IIoT-Hersteller aktualisieren jedoch ihre Produkte nicht rechtzeitig. Andere Hersteller stellen die geforderten Aktualisierungen ab einem bestimmten Zeitpunkt sogar überhaupt nicht mehr zur Verfügung. Deshalb sind diese IoT-Geräte mit ihren dokumentierten Sicherheitslücken dann weiterhin anfällig für Angriffe.
Sicherheitsmaßnahmen: Als Sicherheitsvorkehrung sollten Unternehmen nur Geräte von Herstellern verwenden, die bekannt dafür sind, Updates zuverlässig und rechtzeitig zu veröffentlichen. Zur Risikominimierung ist es wichtig, dass Ihr Schwachstellenmanagementsystem alle IoT-Geräte scannen kann. Stellen Sie also sicher, dass die Liste erfasster Geräte stets auf dem neuesten Stand ist. Lässt sich das Patchen nicht automatisieren, sollten die betroffenen Geräte zumindest durch biometrische Zugangsverfahren gesichert werden. Selbst wenn Sie den passenden Patch also nicht zeitnah installieren können, kennen Sie zumindest die potenziellen Schwachstellen eines Gerätes. Dann können Sie andere Sicherheitsmaßnahmen zur Schadensbegrenzung ergreifen.
3. Unzureichende Authentifikation und Passwort-Hygiene
Unzureichend eingesetzte Authentifizierungsverfahren haben zur Folge, dass ein Gerät nicht über die passenden Maßnahmen verfügt, um die Echtheit von Benutzern zu überprüfen. Externe Angreifer und Insider-Bedrohungsakteure gleichermaßen hätten dann die Möglichkeit, unberechtigt auf IoT-Endpunkte und -Systeme zuzugreifen.
Sicherheitsmaßnahmen: Zur Abwehr solcher Bedrohungen sollten Unternehmen starke Authentifizierungsmethoden wie Zwei-Faktor-Authentifikation oder Biometrie verwenden. Darüber hinaus können Sie den Zugriff auf IoT-Geräte über eine sichere und zentrale Infrastrukturzugriffslösung wie Privileged Remote Access schützen. Folgende Maßnahmen sollten Sie ebenfalls ergreifen:
a) Erfassung neuer IoT-Geräte, wenn sie Ihrem Netzwerk hinzugefügt werden
b) Rotation der Kennwörter, die den Gerätekonten zugeordnet sind
Als Bestandteil des Betriebssystems verfügen fast alle Geräte über ein oder mehrere privilegierte Konten. Durch Einsatz einer Lösung wie BeyondTrust Password Safe lassen sich die dabei verwendeten Passwörter erfassen, integrieren und systematisch verwalten.
In der Regel nutzen IoT-Geräte sehr schlanke Betriebssysteme, welche die Installation eines Software-Agenten zur Durchsetzung von Account-Sicherheitsrichtlinien auf dem Gerät nicht ermöglichen. Sie müssen also einen anderen Weg zum Schutz von IoT-Geräten wählen — beispielsweise durch Netzwerksegmentierung und gute Passwort-Hygiene.
Best-Practice-Empfehlungen für die Härtung Ihrer IoT-Sicherheit
IoT revolutioniert die Art und Weise, wie Unternehmen arbeiten und Verbraucher ihren Lebensalltag gestalten. Das Internet der Dinge ist ein wichtiger Teil der digitalen Transformation, die von den Unternehmen vorangetrieben wird. Viele Organisationen haben jedoch immer noch nicht ausreichend darüber nachgedacht, wie sie IoT als Teil ihrer gesamten Cybersicherheitsstrategie schützen können.
Dieser Blogbeitrag stellt einige der größten IoT-Schwachstellen heraus und benennt Maßnahmen, die Sie zum Schutz ergreifen können. Setzen Sie diese Vorsichtsmaßnahmen durch und stellen Sie sicher, dass Ihr Unternehmen gegen die häufigsten Angriffsvektoren geschützt ist.
Wenn Sie weitere Fragen zu IoT-Sicherheitslücken oder zum Thema OT-Sicherheit haben, hilft Ihnen das BeyondTrust-Expertenteam gerne weiter. Kontaktieren Sie uns.

Tal Guest, Principal Product Manager
As principal product manager, Tal is responsible for the strategy and direction of the PAM product. He has more 15 years of experience in information security, ITSM, network and IT operations management experience. He also is a seasoned expert in the areas of cyber-security, cloud services, security frameworks, network security, and ITSM. Tal has a Bachelor of Business Information Systems from Mississippi State University and is certified in Pragmatic Marketing. He resides Mississippi and can be found on twitter @talguest.