Die Marktzahlen für das IoT sind glänzend. Doch der Erfolg lockt auch Cyberkriminelle an. Entsprechenden Security-Lösungen zur Abwehr gibt es bereits. Nun müssen Geräte, Anwendungen und Schnittstellen ausreichend abgesichert werden – und zwar bis an die Edge.

Laut Gartner waren bereits 2017 8,4 Milliarden IoT-Geräte im Einsatz. Diese Zahl soll bis 2020 auf 20,4 Milliarden steigen. IHS prognostiziert bis dahin sogar 30 Milliarden, SoftBank spricht von einer Billion IoT-Geräte in 2035. Doch mit dem Erfolg steigen auch die Gefahren, insbesondere da Maßnahmen zur Cybersicherheit oft erst nachträglich implementiert werden. Das ist gefährlich. So sind laut des Hunt for IoT Threat Intelligence Reports IoT-Geräte heute das Hauptziel von Hackern.

Vorsicht vor den Dingen!

IoT-Geräte werden dann häufig zu Thingbots umfunktioniert und Teil eines Botnetzes aus vernetzten Dingen. Laut der Studie wurden allein in der ersten Hälfte des Jahres 2018 13 Thingbots entdeckt. Zum Vergleich: Nur sechs waren es im gesamten Jahr 2017 und neun im Jahr 2016. 74 Prozent der bekannten Thingbots wurden in den letzten zwei Jahren entwickelt. Deutlich wird außerdem, dass Angreifer immer häufiger einfach zu mietende Malware nutzen, die sich für verschiedene Zwecke einsetzen lässt.

Auf der anderen Seite vergrößert sich die Bedrohungsoberfläche ständig, da Hersteller und Dienstleister weiterhin schwache Standard-Anmeldeinformationen verwenden. Gemäß der Studie hatten bei den 50 am häufigsten angegriffenen Systemen 88 Prozent der Zugangsdaten jeweils den gleichen Benutzernamen und Passwort. Dazu gehören ‚root:root‘, ‚admin:admin,‘ und ‚user:user‘. Dies erleichtert den Zugriff durch Hacker, wobei diese nur Zugang zu einem einzigen vernetzten Gerät benötigen, um weit verzweigte Schäden anzurichten.

Starke, häufig geänderte Passwörter erscheinen als schnelle Lösung, aber nur auf den ersten Blick. Denn bei einer großen Anzahl von angeschlossenen Geräten lässt sich der Aufwand für das Passwort-Management kaum bewältigen. Daher müssen Unternehmen andere Identifikationsmethoden einsetzen, zum Beispiel SIM-basierte Verifikation und Gerätezertifikate oder Zwei-Faktor-Authentifizierung.

Herausforderungen durch Edge Computing

IoT-Geräte sind in der Regel an ein zentrales Netzwerk angeschlossen, wobei die Datenübertragung zeitaufwändig sein kann. Edge Computing soll dies beheben, indem die Datenverarbeitung näher an das Gerät – das sich sozusagen am Rand des Netzwerks befindet – rückt.

Obwohl die Technologie klare Vorteile wie reduzierte Netzwerklatenz, erhöhte Bandbreite und deutlich schnellere Reaktionszeiten aufweist, kann es schwierig sein, die über viele und unterschiedliche Quellen verteilten Daten angemessen zu überwachen und zu schützen. Damit dies funktioniert, sollten Unternehmen ihre Dienste durch Netzwerk-Security-Kontrollen wie Firewalls sowie Sicherheitsgeräte auf Anwendungsebene wie Web Application Firewalls (WAF) umfassend schützen. Dabei muss die Bereitstellung von Sicherheitsrichtlinien konsistent und automatisiert sein.

Manchmal übersehen Unternehmen die Tatsache, dass ein Dienst selbst offen ist für Missbrauch. Zum Beispiel kann ein Benutzer die SIM-Karte eines Mobilgeräts in anderen Geräten einsetzen, um etwa kostenlos zu surfen. Daher sind neue Kontrollen für die Netzwerksicherheit erforderlich. Dabei ist sicherzustellen, dass ein IoT-Gerät nur auf die Dienste und Netzwerke zugreifen kann, für die es bestimmt ist.

Mögliche Sicherheitsmaßnahmen

Ein häufiger Fehler bei der Absicherung von Edge Computing ist die Annahme, dass traditionelle Sicherheitskontrollen wie Firewalls ausreichen würden. Beim Edge Computing sind die Anwendungen und ihre Daten über mehrere Standorte verteilt. Dies führt zu einer deutlichen Erhöhung der potenziellen Angriffsfläche. Edge-Knoten sind auch nicht mehr unbedingt nur an sicheren, zentralen Standorten installiert. Da sie sich am Rand des Netzwerks befinden, sind sie anfälliger für physischen Zugriff.

Neben Stateful Network Firewalls erfordert Edge Computing daher zwangsläufig eine robuste Sicherheit auf Anwendungsebene, beispielsweise durch eine Web Application Firewall. Dabei ist es entscheidend, die geeigneten Schutzmodelle für alle Anwendungen bereitzustellen.
Grundsätzlich kann Edge Computing das Sicherheitsmanagement sogar vereinfachen, da es mehr Transparenz darüber bietet, woher die Daten stammen und wohin sie gesendet werden.

Traditionell landen die Daten in einem zentralen Rechenzentrum oder Cloud-System. Dort ist es schwieriger, die Daten zu überwachen und zu schützen, wenn das Verkehrsaufkommen steigt. Edge Server hingegen können angeschlossene Geräte von Rechenaufgaben entlasten, indem sie Informationen wie eine Private Cloud zwischenspeichern. Damit lässt sich lokal auf die Daten zugreifen.

Automatisierung nötig

Zusätzlich zu den Sicherheitslösungen auf Anwendungsebene ist es unerlässlich, Automatisierung einzusetzen. Sonst lässt sich in einer verteilten Edge-Computing-Architektur nicht gewährleisten, dass konsistente Sicherheitsrichtlinien flächendeckend durchgesetzt werden. Wenn beispielsweise eine Anwendung an einem Edge-Computing-Standort bereitgestellt oder gelöscht wird, lassen sich die entsprechenden Netzwerk- und Sicherheitskontrollen automatisch bereitstellen. Aufgrund der verteilten Automatisierung müssen Unternehmen und Dienstleister, die Netzwerk- und Computer-Infrastrukturen betreiben, aber auch ihre Steuerungsschnittstellen mit den richtigen API-Sicherheitslösungen schützen.

Es ist leicht, sich von den neuesten Technologien blenden zu lassen und Innovationen um der Innovationen willen zu entwickeln. Doch Unternehmen und Dienstleister müssen sich auf Qualität, Konsistenz und Sicherheit der Anwendungen konzentrieren. Die Möglichkeiten des IoT sind immens, aber es könnte wie ein Kartenhaus schnell in sich zusammenfallen, wenn es nicht mit einer soliden sicherheitstechnischen Grundlage aufgebaut wird. Denn Nutzer und Kunden werden bald jeden Anbieter meiden, der für Sicherheitsvorfälle oder schlechte Performance anfällig ist. Die Werkzeuge und Lösungen für die Absicherung des Internet of Things gibt es bereits – doch sie müssen gezielt eingesetzt werden.

Autor: Ralf Sydekum

(c)2019
Vogel Communications Group

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.

Vogel Communications Group