19. Sep. 2022

Risiken minimieren: Wie man mit IoT-Schwachstellen umgehen sollte

Im letzten halben Jahr identifizierten Sicherheitsforscher weltweit 57 Prozent mehr Schwachstellen in IoT-Produkten als im Halbjahr davor. Zu diesem Ergebnis kommt der „State of the XIoT Security“-Report von Claroty. Unsere Autorin gibt Empfehlungen, wie Unternehmen die größten Risiken reduzieren können.

Von Chen Fradkin

Es gibt immer häufiger Schwachstellen in Internet-of-Things-(IoT)-Produkten – aber was auf den ersten Blick nach einer schlechten Nachricht aussieht, kann gleichzeitig auch als positives Signal gesehen werden. Immer mehr Security-Experten widmen sich den Sicherheitslücken im Bereich des erweiterten Internet der Dinge (XIoT), das Betriebstechnik (OT), industrielle Kontrollsysteme (ICS), das Internet of Medical Things (IoMT), Gebäudemanagementsysteme und Unternehmens-IoT umfasst. Und auch bei den Herstellern steigt offenbar das Sicherheitsbewusstsein: So ist die Anzahl der von ihnen selbst offengelegten Schwachstellen um 69 Prozent gestiegen und hat damit erstmalig die Meldungen unabhängiger Sicherheitsforscher übertroffen.

Um die größten und verbreitetsten Risiken durch IoT-Schwachstellen zu adressieren, sollten Verantwortliche ihr Hauptaugenmerk vor allem auf die Bereiche Netzwerk-Segmentierung, sicherer Fernzugriff und Cloud-Risikomanagement legen.

Netzwerk-Segmentierung

Segmentierung ist mit Abstand die wichtigste Empfehlung zur Eindämmung. Historisch ist gerade im Bereich der OT die Segmentierung ein fundamentaler Bestandteil der Sicherheitsaktivitäten, um den externen und internen Zugang zu kritischen Systemen und Ressourcen zu begrenzen. Isolierte Netzwerke waren die De-Facto-Sicherheitspraxis, um Feldgeräte und Managementsysteme von externen Verbindungen fernzuhalten. Im Zuge der steigenden Vernetzung verliert sie jedoch unglücklicherweise an Bedeutung und Durchdringung. Zudem stellt gerade die Cloud-Nutzung bei der klassischen Segmentierung eine große Herausforderung dar. Deshalb sollte man die Netze virtuell segmentieren und so konfigurieren, dass sie aus der Ferne verwaltet werden können. Danach sind zonenspezifische Richtlinien zu erstellen, die auf die jeweilige Technik und andere prozessorientierte Funktionen zugeschnitten sind. Man sollte auch in der Lage sein, den Datenverkehr sowie OT- und IoT-spezifische Protokolle zu prüfen, um anomale Verhaltensweisen zu erkennen und abzuwehren.

Sicherer Fernzugriff

Die Fernadministration von XIoT-Geräten ist für interne Sicherheitsspezialisten und Netzwerkmanager, aber auch für Drittanbieter und Lieferanten mittlerweile unumgänglich. Dabei ist es jedoch von größter Bedeutung, die Berechtigungen sehr sorgfältig und zielgerichtet zu verwalten. Dies gilt insbesondere für medizinische Geräte, industrielle Kontrollsysteme wie Feldgeräte und Systeme auf den Verwaltungsebenen des Purdue-Modells sowie andere kritische XIoT-Systeme. Um Reparaturzeiten und Ausfälle zu minimieren, ist daher ein sicherer Fernzugriff unabdingbar, der den Zugriff von internen Mitarbeitern und Dritten vereinfacht, einen Zero-Trust-Ansatz für Privilegien verfolgt und Prüf- und Reaktionsfunktionen bietet. Verantwortliche sollten:

  • eine Zero-Trust-Implementierung verwenden, um Ausfallzeiten zu reduzieren und die Verfügbarkeit und Bereitstellung von Diensten sicherzustellen,
  • überprüfen, ob die VPN-Versionen gepatcht und auf dem neuesten Stand sind,
  • Remote-Verbindungen überwachen, besonders solche zu OT-Netzwerken, ICS-Geräten, kritischen medizinischen Geräten, e-PHI-Servern und kritischen IoT-Geräten sowie
  • granulare Benutzerzugriffsberechtigungen und administrative Kontrollen nach dem Least-Privilege-Prinzip durchsetzen.

Cloud-Risikomanagement

Die Vernetzung von Geräten mit dem Internet und ihre Verwaltung über die Cloud ermöglicht wesentlich effizienter Prozesse, präzisere Analysen und höhere betriebliche Effizienz und Benutzerfreundlichkeit. Gleichzeitig entstehen dadurch aber auch Risiken, die adressiert werden müssen. Im Gegensatz zu isolierten Systemen vergrößert sich die Angriffsfläche enorm und Angreifer können Schwachstellen nutzen, die durch die stetig steigende Konnektivität entstehen, um Prozesse zu stören oder sich weitreichenden Zugang zu Unternehmenssystemen zu verschaffen. Das Risikomanagement in cloudverwalteten XIoT-Netzen sollte dabei folgende Aspekte umfassen:

  • Verschlüsselung und sichere Kommunikation:
    Unternehmen sollten überprüfen, ob die XIoT-Geräte Protokolle wie MQTT oder HTTPS über Web Client/REST unterstützen. Diese werden zum Beispiel im OT-Bereich für den Datenaustausch zwischen SPS und der Cloud verwendet. Außerdem sollten sie Sicherheitsmechanismen verwenden, wie Verschlüsselung und Signierung von Daten sowie die Kommunikation mit X.509-Zertifikaten oder hardwarebasierter Verschlüsselung.
  • Authentifizierung und Identitätsmanagement:
    Hierzu gehört die Nutzung von Multi-Faktor-Authentifizierung – insgesamt sollte man auf starke Anmeldeinformationen setzen, um Remote-Verbindungen zu sichern. Diese Informationen dürfen nicht geteilt werden. Zudem ist es empfehlenswert, granulare benutzer- und rollenbasierte Zugriffsrichtlinien zu verwenden.
  • Modell der geteilten Verantwortung
    Verantwortliche müssen eine präzise Grenze zwischen den Verantwortlichkeiten eines Unternehmens und des Cloud-Anbieters festlegen. Auch müssen sie die Mitarbeiter über die geteilte Verantwortung aufklären.

Chen Fradkin ist Sicherheitsforscherin bei Claroty.

zurück