Wie sich das IoT unternehmensgerecht sichern lässt

Viele Unternehmen wählen IoT-Geräte hauptsächlich nach ihren Funktionen aus und vernachlässigen dabei oft dedizierte Sicherheitsmaßnahmen. Dies gefährdet nicht nur die Sicherheit des Unternehmens selbst, sondern auch die anderer, da Cyberkriminelle gekaperte IoT-Geräte häufig in riesigen Botnets für DDoS-Attacken oder Spam- und Phishing-Kampagnen verwenden. Darüber hinaus nutzen sie diese Geräte, um andere Systeme in der Unternehmensinfrastruktur zu kompromittieren und sensible Daten zu stehlen. Es ist daher nicht überraschend, dass einige Sicherheitsexperten humorvoll bemerken, dass „IoT“ eigentlich für „Internet of Threats“ steht.

Aber was macht IoT-Geräte aus sicherheitstechnischer Sicht so problematisch? Einerseits gibt es erhebliche Sicherheitslücken, die oft leicht ausgenutzt werden können, da viele Hersteller bei der Entwicklung grundlegende Sicherheitspraktiken ignorieren, während sie sich auf die Einführung neuer Funktionen konzentrieren. Unverschlüsselte Verbindungen, offene Ports und vordefinierte Zugangsdaten sind in der IoT-Welt leider keine Seltenheit. Hinzu kommt, dass viele Hersteller keine Updates bereitstellen, um diese Schwachstellen zu beheben. Stattdessen legen sie den Fokus auf die Entwicklung neuer Geräte, um Marktanteile zu gewinnen.

Andererseits sind IoT-Geräte oft schwerer zu verwalten als herkömmliche IT-Systeme. Unternehmen können nicht die gewohnten Systemmanagement-Tools nutzen, Sicherheitssoftware installieren oder den Status der Geräte angemessen überwachen. Dadurch werden kompromittierte Geräte oft erst spät entdeckt, und Angreifer haben ausreichend Zeit, um Schaden anzurichten und sich innerhalb der Infrastruktur auszubreiten.

Die gute Nachricht ist, dass Unternehmen den Gefahren des IoT nicht hilflos ausgeliefert sind. Sie können die bewährten Sicherheitskonzepte, die sie bereits in ihrer IT-Umgebung anwenden, einfach auf die IoT-Welt ausdehnen. Dies beginnt mit einer sorgfältigen Auswahl der Geräte, bei der nicht nur Funktionen und Preis berücksichtigt werden, sondern auch Aspekte wie regelmäßige Updates, Sicherheit von Anfang an und die Möglichkeit zur lokalen Verwaltung und Datenspeicherung. Es ist wichtig, granulare Berechtigungskonzepte zu prüfen und zu gewährleisten, dass die Geräte in die bestehende Benutzer- und Rechteverwaltung integriert werden können.

Darüber hinaus sollten Unternehmen aktive Sicherheitsmaßnahmen ergreifen, darunter Schwachstellenmanagement und zügige Installation verfügbarer Updates, um Sicherheitslücken zu schließen. Cyberkriminelle suchen oft nach bekannten, aber ungepatchten Schwachstellen, da für diese oft effektive Exploits oder Angriffstools verfügbar sind. Mit dem Ansatz des „Zero Trust“ lassen sich Sicherheitsrisiken im IoT weiter minimieren, da er die Netzwerkeinschränkung für IoT-Geräte, minimale Berechtigungen und eine strenge Authentifizierung aller Zugriffe ermöglicht.

Um Angriffe auf IoT-Umgebungen zu erkennen, ist eine intensive Überwachung des Datenverkehrs der Geräte unerlässlich. Auf diese Weise können Unternehmen verdächtiges Kommunikationsverhalten frühzeitig erkennen und Gegenmaßnahmen ergreifen, wie beispielsweise die Isolierung betroffener Geräte. Ein eigenes Security Operations Center (SOC) oder die Beauftragung eines auf Managed Detection and Response (MDR) spezialisierten Dienstleisters sind geeignete Optionen für das Monitoring. Letztendlich beginnt die Sicherheit im IoT beim Gerätehersteller, endet jedoch nicht dort.

Unternehmen müssen ihrer Verantwortung gerecht werden, um sicherzustellen, dass ihre IoT-Umgebungen geschützt sind und die Anzahl ungesicherter Geräte nicht weiter steigt. Angesichts von bald 55 Milliarden vernetzten IoT-Geräten bieten sich Cyberkriminellen zahlreiche Angriffsmöglichkeiten, und mit jedem übernommenen IoT-Gerät wächst die Schlagkraft ihrer Botnets und die Intensität ihrer Angriffe.