Wie man IoT-Umgebungen schützt
Die Fabrik als Angriffswerkzeug
Die DDoS-Angriffe (Distributed Denial of Service) über das Botnet Mirai haben Ende 2016 die Fachwelt aufgeschreckt. Denn Mirai war das erste große Botnet aus IoT-Geräten (Internet of Things) - und die Anzahl solcher vernetzter Geräte steigt unaufhörlich, insbesondere im B2B-Umfeld. Unternehmen müssen ihre IoT-Umgebungen schützen, damit Cyberkriminelle sie nicht kapern können.
Mitte Oktober 2016 waren Dienste wie Twitter, Amazon und Netflix stundenlang nicht erreichbar. Der IT-Dienstleister Dyn, der für diese Kunden das Domain Name System (DNS) bereitstellt, war Opfer eines DDoS-Angriffs geworden. In diesem Fall bestand das Botnet aber nicht wie üblich aus Geräten mit hohem Speichervolumen und leistungsfähigen Prozessoren wie PCs: Mirai nutzte typische IoT-Geräte wie IP-Kameras, Router, Drucker, Festplatten-Receiver und sogar Babyfones. Diese sind zwar wenig leistungsfähig, doch aufgrund der großen Menge an solchen Devices schaffte das Botnet sogar neue Rekorde mit einer Angriffsbandbreite von bis zu 1,2 TBit/s. Darauf war nicht einmal der erfahrene Dienstleister Dyn vorbereitet. Zum Vergleich: Im deutschsprachigen Raum lag damals die durchschnittliche DDoS-Angriffsstärke bei 1,3 GB/s.
Bedrohungslage verschärft sich
Wie war diese Steigerung möglich? Mirai bestand zu diesem Zeitpunkt aus schätzungsweise 500.000 IoT-Geräten weltweit. Diese Anzahl an gekaperten Geräten war nur möglich, weil die meisten IoT-Devices nur unzureichende Schutzvorkehrungen aufweisen. Aufgrund ihrer geringen Leistungsfähigkeit und Speicherressourcen lassen sich keine funktionsreichen Sicherheitslösungen installieren. Der Zugriffsschutz erfolgt meist über ein einfaches Passwort. Da viele Nutzer das voreingestellte Standardpasswort nicht ändern, haben Kriminelle leichtes Spiel: Sie können Malware aufspielen, die aufgrund der Masse auch mit jeweils kleinen Datenmengen eine regelrechte Lawine erzeugt.
In Zukunft sind dabei noch größere und zerstörerischere Angriffe zu erwarten. Dies liegt erstens an immer neuen Angriffsmethoden. So hat zum Beispiel der aktuelle Cisco Midyear Cybersecurity Report (MCR) in Bezug auf DDoS neuartige Destruction-of-Service-Angriffe (DeOS) identifiziert. Diese können Backups und Sicherheitsnetze von Unternehmen zerstören, die zur Wiederherstellung von Systemen und Daten nach einem Angriff erforderlich sind. Den Unternehmen bleibt dann keine Möglichkeit zur Wiederherstellung ihrer Daten.
Zweitens bietet gerade das Internet der Dinge aufgrund von Sicherheitslücken einige Angriffsflächen. Der aktuelle IoT-Boom öffnet so manches Einfallstor im B2B-Umfeld. Je stärker IT und Betriebstechnik im IoT zusammenwachsen, desto eher können Kriminelle die im Rahmen von Industrie 4.0 genutzten Produktionsmaschinen und Roboter mit Malware infizieren. Malware verursacht dann entweder Fehlverhalten der Maschine oder gliedert sie in ein Botnet ein. Im letzteren Fall dienen die Maschinen dann als Teil eines DDoS-Angriffs auf Server anderer Unternehmen oder gar der eigenen Firma.
Drittens liegt die weitere Steigerung der Angriffsintensität an der rasanten Verbreitung von IoT-Geräten. Laut dem aktuellen Cisco Visual Networking Index (VNI) werden im Jahr 2021 M2M-Verbindungen (Machine-to-Machine) 29 Prozent (3,3 Milliarden) aller mobilen Vernetzungen ausmachen - 2016 waren es noch fünf Prozent (780 Millionen). In Deutschland erhöht sich der M2M-Datenverkehr im gleichen Zeitraum auf das Zwölffache. Laut Gartner wird die weltweite Anzahl der IoT-Geräte von 2017 bis 2020 von 8,4 auf 20 Milliarden steigen. Durch dieses Wachstum lassen sich in Zukunft noch größere IoT-Botnets erstellen, die noch intensivere Angriffe durchführen können.
IoT-Netze absichern
Aus diesen Gründen müssen Unternehmen ihre IoT-Netze umfassend absichern. Der erste Schritt hierfür besteht in der genauen Betrachtung der verwendeten Infrastruktur. Die Grundlage für die zunehmende Vernetzung bilden Cloud und Edge Computing. Insbesondere die limitierten Datenverarbeitungskapazitäten der Geräte am Rand (Edge) des IoT stellen hier eine Herausforderung dar: Die Geräte besitzen zwar ausreichend Ressourcen für IoT-Prozesse, aber meist nicht genügend für zuverlässige Sicherheitsvorkehrungen.
Da Produktionsnetze früher von IT-Netzwerken und dem Internet abgekoppelt waren, erforderten sie keine Sicherungsmaßnahmen gegen Angriffe von außerhalb des Firmengeländes. Dies hat sich durch die Vernetzung nun geändert, da Cyberkriminelle über das Internet letztlich auf die Produktionsgeräte zugreifen können.
Einzelmaßnahmen verfehlen ihr Ziel
Um einen solchen Zugang auf die Systeme von außen durch berechtigte Nutzer wie Wartungstechniker zu erlauben, aber gleichzeitig Kriminellen den Zugriff zu verwehren, ist eine Zwei-Faktor-Authentifizierung ratsam. Falls das IoT-Gerät und der für die Internetverbindung genutzte Router selbst keine ausreichenden Kapazitäten dafür besitzen, sollte man eine entsprechende IAM-Lösung (Identity- und Access-Management) auf einem vorgeschalteten System wie einer Security-Appliance installieren. Diese kann auch weitere Sicherheitsfunktionen wie eine Firewall oder ein Intrusion-Prevention-System umfassen.
Die Absicherung jedes einzelnen Geräts reicht jedoch nicht aus. Häufig sind mehrere IoT-Geräte in einer Art lokalem Netzwerk zusammengeschlossen. Das Netzwerk besitzt an einer zentralen Stelle einen Übergang zum unternehmenseigenen IT-Netzwerk oder sogar direkt zum Internet. Auch dieser Übergang ist mit entsprechenden Sicherungssystemen zu schützen. Und selbst innerhalb des lokalen Netzes sollten übliche Ansätze wie Netzwerksegmentierung zum Einsatz kommen, um die Verbreitung von Malware zu begrenzen, zusammen mit Whitelists zur Freigabe bestimmter Anwendungen. Zudem sollte man diese lokalen Netzwerke selbst zu einem Security-Sensor erweitern, um auf Basis verhaltensbasierter Analysen zur Erhöhung des Sicherkeitsniveaus beizutragen.
Um einen umfassenden Schutz zu gewährleisten, sind auch die Übertragungswege über das Internet und die Eingabegeräte zu sichern. Für die Datenübertragung bieten sich VPN-Tunnels oder gar MPLS-Netze an. Auch das Smartphone oder Tablet des aus der Ferne arbeitenden Technikers sollte mit Sicherheitsmechanismen wie Advanced Malware Protection für Endgeräte und Zwei-Faktor-Authentifizierung ausgestattet sein. Darüber hinaus sollte die Internet-Kommunikation durch einen entsprechenden Schutz auf DNS-Ebene abgesichert sein.
Bei der Konzeption einer Sicherheitslösung sollten Unternehmen nicht den Fehler begehen, sich auf Einzellösungen für die jeweiligen Geräte und Bereiche zu beschränken. Dadurch entstehen meist Lücken zwischen den Einzellösungen, die Kriminelle ausnutzen können. Daher lohnt es sich, vor der Konzeption die Brille eines Angreifers aufzusetzen.
Mit der Brille des Angreifers
Dieser versucht heute meist, über im Internet erhältliche Software angreifbare Geräte zu finden, die entweder nur mit Standard-Passwörtern gesichert sind oder bekannte Schwachstellen aufweisen. Dies reicht bei IoT-Geräten heute meist schon aus. Ist das Ziel lohnend genug, suchen Kriminelle im IT- und künftig wohl auch im IoT-Bereich zudem unbekannte Schwachstellen, die sie über Zero-Day-Exploits ausnutzen. Bei mobilen Devices setzen sie in der Regel Phishing ein, die dem Nutzer zum Klicken eines Anhangs verleiten und das Gerät mit Malware infizieren.
Bei IoT-Geräten besteht heute die größte Gefahr darin, dass sie in ein Botnet eingegliedert werden. Die IoT-Netze selbst sind zumindest heute noch nicht verstärkt Ziel von DDoS-Angriffen. Denn ein Aufzug läuft zum Beispiel meist auch dann problemlos weiter, wenn die Internetverbindung zur Fernwartung ausfällt. Auch direkt vernetzte Babyfones übertragen weiterhin Töne, Kameras leiten ihre Bilder auf einen direkt vernetzten PC weiter.
Eine Hauptgefahr besteht in der Manipulation der IoT-Geräte, insbesondere bei kritischen Infrastrukturen, vernetzten Autos oder der Produktion. Damit lässt sich deutlich größerer Schaden anrichten, zum Beispiel ein Ausfall von Stromnetzen, nicht mehr funktionierende Elektronik beim Auto oder mangelhaft hergestellte Produkte. Doch selbstverständlich kann man nicht ausschließen, dass Angreifer diese Szenarien in Zukunft auch mit Ransomware oder DDoS kombinieren, um den Effekt zu maximieren.
IoT-Anwendungen umfassend schützen
Zumindest beim IoT-Gerät selbst lässt sich aber die Gefahr schnell eingrenzen, dass es zum Werkzeug eines DDoS-Angriffs wird. So lässt sich zum Beispiel bei einem vernetzten Auto die Anzahl der zu bearbeitenden Auftragseingänge limitieren. Ein Auto oder eine vernetzte Produktionmaschine muss deutlich mehr Daten senden als empfangen und verarbeiten. Daher kann man festlegen, dass das Device nur eine bestimmte Anzahl von Anfragen pro Minute verarbeitet und den Rest an zentrale Server weiterleitet.
Damit aber die vernetzten Autos, Smart Meter und Produktionsmaschinen nicht zu einem Teil eines Botnets werden, sind zentrale, leistungsfähige Systeme zur Perimetersicherheit vorzuschalten, die einen ganzheitlichen Schutz bieten. Dazu gehören verhaltensbasierte Ansätze, Next-Generation Firewalls oder Next-Generation Intrusion Prevention. Diese sind mit den anderen Sicherheitslösungen für PCs und Smartphones, Server und Netzwerk zu integrieren. Denn nur wenn diese ganzheitliche Sicherheitsarchitektur vor, während und nach einem Angriff wirkt, bleiben Unternehmen auch im IoT-Zeitalter geschützt.
Lesen Sie mehr zum Thema
