Netzwerksicherheit
Durch Einbahnstraßen mehr Sicherheit im IoT
Fortsetzung des Artikels von Teil 1
Einbahnstraßen schaffen
Die meisten besonders erfolgreichen Angriffe auf IoT-Devices in den letzten Jahren hatten eine herausragende Gemeinsamkeit: Sie waren möglich, weil das Gerät sozusagen eine offene “Vordertür” hatte. Damit ein IoT-Gerät für seinen Server ansprechbar ist, muss wenigstens ein Port am Gateway für ankommende Datenverbindungen geöffnet sein. Diese offenen Netzwerkports sind für Cyberkriminelle leicht zu finden und stellen immer eine Schwachstelle für Angriffe dar – ohne sie ist eine Kommunikation jedoch nicht möglich. Wie kann man das Problem also lösen?
Eine Möglichkeit: Der offene Netzwerkport muss sich nicht zwangsläufig bei den Gateways draußen im Feld befinden. Wie wäre es, wenn die Kommunikation nicht vom Server ausgeht und das Gerät anspricht, sondern wenn ausschließlich die IoT-Geräte ihre Server ansprechen würden und – von den Antworten einmal abgesehen – keine ankommenden Verbindungen zulassen? Die IoT-Kommunikation ist dort eine “Einbahnstraße”, und die offenen Netzwerkports sind nicht mehr in der Peripherie des Netzwerks, sondern im Rechenzentrum. Diese Datacenter sind häufig viel stärker geschützt. Die meisten Cyberattacken auf IoT-Geräte können durch diese “Einbahnstraßenkommunikation” von vornherein ausgeschlossen werden.
Intelligente Geräte
Zum Funktionsumfang der intelligenten Devices sollte auch das präzise Erkennen und Abwenden von IT-Angriffen gehören. Entwickler müssen berücksichtigen, dass die Nutzer eines IoT-Produktes in der Regel auch Web Services, E-Mail-Systeme oder Dokumentensysteme betreiben. Jeder dieser Services ist ein zusätzliches potenzielles Einfallstor für direkte Attacken auf die Unternehmens-IT oder indirekte Attacken auf die IoT-Geräte. In diesem Fall reichen die “Einbahnstraßen” nicht aus.
Die Geräte in der Infrastruktur müssen daher in der Lage sein, Anomalien in ihren Netzwerken zu erkennen und über grundlegende “Incident Response”- und “Intrusion Detection”-Funktionalitäten verfügen. Doch diese Funktionen benötigen eine gewisse Rechenkapazität. Seit einiger Zeit entwickelt sich das IoT jedoch dahin, dass erste Datenanalysen bereits auf den Geräten – in der Peripherie des Netzwerkes – stattfinden. Das verursacht weniger Datenverkehr, entlastet die Rechenzentren und hält die Devices betriebsbereit, auch wenn die Verbindung zum Server abbricht. Dieses Vorgehen nennt sich “Edge Analytics”. Die modernen IoT-Geräte verfügen also häufig bereits über die notwendigen Kapazitäten, um erste Schritte für eine Incident Response und Intrusion Detection auch in der Peripherie laufen zu lassen.
Ein Beispiel: Eine Denial-of-Service-Attacke (DoS) wird auf den Dienst einer IT-Infrastruktur ausgeführt. Dabei verhindert der Angriff die Anmeldung an einem bestimmten Dienst durch Überlastung des Servers. Auf Basis der zahlreichen Anmeldeversuche hat der Angreifer daraufhin die Chance, Login-Daten abzufangen und sich Zugang zu dem Dienst zu verschaffen. Verfügt die Plattform aber über entsprechende Real-Time-Analytics-Funktionen, kann es den Angriff als solchen erkennen. Dann werden Nutzer, Administrator oder Hersteller beziehungsweise Internet Service Provider automatisch informiert und sie können weitere Gegenmaßnahmen einleiten.
Dieses Vorgehen schützt aber nicht nur den Endanwender des einzelnen Gerätes. Die Devices stehen zu Hundertausenden in Haushalten und Firmen. Zusammen bilden sie eine Art Frühwarnsystem, ein Netzwerk von digitalen Stolperfallen: Cyberkriminelle, die einen neuartigen Angriff anwenden und in ein Netzwerk eindringen, werden von Plattformen entdeckt. Das Gerät meldet den Angriff mit allen relevanten Informationen sofort an den Hersteller. Dieser kann den Angriff analysieren und die Schwachstelle patchen, bevor es zu einem Flächenbrand wie bei WannaCry oder NotPetya kommt.
- Durch Einbahnstraßen mehr Sicherheit im IoT
- Einbahnstraßen schaffen
- Drei Maßnahmen
Lesen Sie mehr zum Thema
