Support: +49 (0)209 38642-22        Supportfall melden

Unsichere IoT-Geräte

IoT, das Internet of Things, hat in fast alle Bereiche des Lebens Einzug gehalten. Besonders in Unternehmen sind vernetzte Geräte und Maschinen nicht mehr wegzudenken. Doch diese wachsende Vernetzung, besonders wenn sie über das firmeninterne Netz hinaus ins öffentliche Internet reicht, birgt einige Gefahren.

Das ist den meisten Systemadministratoren natürlich bewusst, doch konzentrieren Sie sich oft zunächst auf die Geräte mit einem offensichtlichen Gefahrenpotential. Häufig werden dabei unverwaltete IoT-Geräte außer Acht gelassen. Eine aktuelle Studie von Forescout zeigt, dass besonders Geräte aus den Bereichen Medizin, Gebäudesteuerung, Netzwerk und IP-Telefonie ein hohes Risiko für die IT-Sicherheit darstellen. Dabei hat Forescout eine Liste der zehn unsichersten Geräte-Typen aus verschiedenen Unternehmensbereichen zusammengestellt und jedem Gerät einen individuellen Risiko-Score zugeordnet. IT-Administratoren gibt das die Möglichkeit, die Sicherung der Geräte nach dem von ihnen ausgehenden Sicherheitsrisiko zu priorisieren.

In der ursprünglichen Form reichte eine einfache Einblendung eines Hinweises. Der Benutzer war informiert und stimmte der Speicherung seiner Daten durch seine weitere Nutzung der Seite stillschweigend zu. Aktuell ist das nicht mehr zulässig. Betreiber einer Website benötigen nun die aktive Einwilligung des Besuchers, bevor jegliche Cookies gesetzt werden dürfen. Auch vorangekreuzte Zustimmungen, die durch den Nutzer nur noch bestätigt werden müssen, sind nicht mehr erlaubt. Das haben sowohl der Europäische Gerichtshof als auch der Bundesgerichtshof seither mit Urteilen
untermauert.

Zum Beispiel gehören bei den Smart Building-Geräten HVAC-Systeme, IP-Kameras, physische Zugangskontrolle, Notfall-Kommunikationssysteme und Beleuchtung zu den potentiellen Einfallstoren für eine Cyber-Attacke. Bei betriebstechnischen Geräten führen unter anderem Geräte zur Einlasskontrolle, speicherprogrammierbare Steuerungen (SPS) und USVs (Geräte zur unterbrechungsfreien Stromversorgung) die Liste an. Auch im Bereich Medizin und HLK (Heizung, Lüftung und Klimatechnik) werden etliche Geräte aufgeführt.

Forescout hat unter Berücksichtigung des Risiko-Scores eine Liste der zehn gefährlichsten Geräte aufgestellt:

  1. Physikalische Einlasskontrolle
  2. HVAC (Heizung, Lüftung, und Klimatechnik)
  3. IP Kameras
  4. SPS (Speicherprogrammierbare Steuerung)
  5. Strahlentherapiesysteme
  6. Out of Band Controller (Schnittstelle zur Verwaltung von Server-Hardware)
  7. Radiologie-Workstations
  8. Bildarchivierungs- und Kommunikationssysteme (PACS)
  9. Drahtlose Zugangspunkte
  10. Netzwerkmanagement-Systeme

Um sich einen Überblick über alle potentiellen Sicherheits-Risiken zu verschaffen, sollten IT-Administratoren zunächst eine Aufstellung aller im Netzwerk befindlichen Geräte anfertigen. Dabei sollte ein besonderes Augenmerk auf den unverwalteten Geräten liegen. Anschließend sollte eine Risikobewertung stattfinden, bei der mögliche Absicherungen identifiziert und eine lückenlose Update-Strategie erstellt werden sollte. Dabei ist auf die richtige Priorisierung zu achten. Denn Geräte, bei denen bereits Sicherheitslücken bekannt sind, können jederzeit Ziel einer Attacke werden. Da es sich dabei je nach Unternehmensgröße und Branche um einen längeren Prozess handelt, kann auf diese Weise die IT-Sicherheit eines Unternehmens Schritt für Schritt optimiert werden. Wir unterstützen Sie gerne bei dieser Optimierung. Kommen Sie auf uns zu.