Smart, aber schutzlos Mit einem Reifegradmodell mehr Sicherheit im IoT schaffen

Anbieter zum Thema

Vogel IT-Medien GmbH

Fujitsu Technology Solutions GmbH

Insider Research

Kaspersky Labs GmbH

Von intelligenten Türverriegelungen (Smart Locks), die nur wirklich berechtigten Personen Zugang gewähren, bis hin zu Kühlschränken, die fehlende Lebensmittel automatisch nachbestellen: Mehr denn je sind wir im privaten wie beruflichen Umfeld von smarten Geräten umgeben, die sich über das Internet steuern lassen. Das weckt auch bei Cyberkriminellen neue Begehrlichkeiten. Entsprechende Schutzansätze sind gefragt.

Der Markt für Geräte, die zum Internet der Dinge (Internet of Things, IoT) gehören, wächst rasant. Einfach zu bedienende und praktische Helfer wie etwa das selbstlernende Thermostat von Nest oder der mit Alexa verbundene Lautsprecher Amazon Echo erfreuen sich großer Beliebtheit. Statista schätzt die weltweite Anzahl von IoT-Geräten im Jahr 2025 auf ca. 75 Milliarden.

Da bereits seit einigen Jahren auf jeden Bürger weltweit im Schnitt fünf internetfähige Geräte fallen, ist auch unser Zuhause für Cyberangriffe deutlich verwundbarer, als viele derzeit wahrhaben möchten. Zwar ist einer Mehrheit der Internet-Nutzer und Unternehmen die Bedeutung von Antiviren-Software für Laptops, Smartphones oder Unternehmensnetze bewusst; doch, wenn es um den Cyberschutz von Smart Locks oder von IP-Überwachungskameras geht, besteht Verbesserungsbedarf.

Denn IoT-Malware befindet sich gerade in einer Boom-Phase. Kaspersky-Experten zählten allein in der ersten Hälfte des Jahres 2019 rund 100 Millionen Angriffe auf smarte Geräte. Das belegt das wachsende Interesse von Cyberkriminellen, internetfähige Geräte anzugreifen. Laut dieser Studie vervielfachen und diversifizieren sich die Angriffe in Folge des IoT-Wachstums. Vernetzte Geräte sind anfällig für Malware, mit der Cyberkriminelle beispielsweise illegal Kryptowährungen schürfen oder die Geräte zu einem Botnetz zusammenschließen (Stichwort Mirai-Botnet) zusammenschließen. Allein das rapide Wachstum macht Cyberattacken im IoT viel zu gefährlich, um diese Entwicklung länger zu ignorieren.

Auswirkungen auf das komplette Security-Ökosystem

Angriffe auf vernetzte Geräte haben ein derart alarmierendes Niveau erreicht, dass die Cybersicherheitsbranche zweifellos reagieren muss – mit einem verbesserten Reifegradmodell (Security Maturity Model, SMM) für die IoT-Sicherheit. Ein solches Modell kann den Geräteherstellern und der gesamten IoT-Branche bei der Wahl passender Methoden für mehr Cybersicherheit ihrer Geräte und Systeme helfen. Sie können damit genau jene Maßnahmen ermitteln, die zu den jeweiligen geschäftlichen Anforderungen passen.

Ein Vorfall beim Handelsriesen Target im Jahr 2013 zeigt die Wichtigkeit eines solchen IoT SMM, mit dem die Cybersicherheit im kompletten System kontrolliert werden kann. Damals drangen Angreifer in das Unternehmensnetz von Target ein und infizierten die POS-Geräte des Kassensystems mit Malware. Auf diese Art wurden innerhalb von nur zwei Wochen rund 40 Millionen Kartendaten von Kunden abgegriffen. Die nachfolgende Untersuchung des Vorfalls ergab, dass die Täter den Zugang in die sicherheitsrelevanten Bereiche des Firmennetzes über einen Subunternehmer von Target gefunden hatten, der für die Heizungs- und Klimaanlage zuständig war.

Heute wissen wir, dass viele IoT-Geräte auch in den Produktsystemen im Bereich HLKK (Heizungs-, Lüftungs-, Klima- und Kältetechnik) Verwendung finden. Dazu gehören Regelungs- und SCADA (Supervisory Control and Data Acquisition)-Systeme, Mensch-Maschine-Schnittstellen und Kommunikations-Tools. Über Fernwartung lassen sich diese Systeme einfach patchen und anpassen, ohne vor Ort präsent sein zu müssen. Diese Bequemlichkeit bietet jedoch eine Vielzahl neuer Angriffspunkte für Bedrohungsakteure.

Der Target-Fall ist ein perfektes Beispiel für einen integrierten Industriezweig, bei der die Reifegradprüfung sämtliche Systemkomponenten einbeziehen muss. Ein Reifegradmodell kann hier den Unternehmen und ihren Sicherheitsexperten wertvolle Hinweise auf zu treffende Maßnahmen für eine hinreichende Sicherheit im kompletten Unternehmensnetzwerk einschließlich aller fernwartbaren Geräte geben. Damit lassen sich Sicherheitsprozesse optimieren, und man erhält Anhaltspunkte für den benötigten Aufwand zu deren Umsetzung – von der Ebene der Security-Domains bis hin zu einzelnen Verhaltensmaßnahmen.

Eine Aufgabe mit hohem Anspruch

Die Ausarbeitung einer geschlossenen Strategie zum Schutz vor Cybergefahren ist in Zusammenhang mit dem Internet der Dinge eine echte Herausforderung, da ein breites Spektrum von Branchen und Geräten abgedeckt werden muss. Im IoT Security Maturity Model von Kaspersky reicht die Bandbreite von der Integration von Abfüllanlagen in der Getränkeindustrie über ein Gateway zum Update der elektronischen Steuerung einer Firmware im Automobilbereich bis zu häuslichen Überwachungskameras. Sie alle müssen durch ein ausgereiftes Sicherheitssystem unterstützt werden.

Wählen die Hersteller von IoT-Geräten dank des Modells die passenden Tools und Services für mehr Sicherheit aus, lösen sie damit im Idealfall die äußerst anspruchsvolle Aufgabe, Unternehmensressourcen und Geschäftsentwicklung in Einklang zu bringen. Doch selbst wenn sich die Sicherheitsrisiken zweier Unternehmen gleichen, können die Auswirkungen eines möglichen Vorfalls je nach Branche höchst unterschiedlich ausfallen.

Letztlich sorgt das IoT SMM dafür, dass in der vollständigen Produktionskette alle Maßnahmen zum Schutz vor Cybergefahren zu den jeweiligen Geschäftsanforderungen passen. Ziel des Reifegradmodells ist die Definition eines hinreichenden Schutzstatus für jedes System, die Identifikation der geeigneten Schutzmaßnahmen und die Gewährung von Hilfestellung bei deren Umsetzung durch die Sicherheitsverantwortlichen.

So schafft das Security Maturity Model Sicherheit

Der Kern des SMM besteht in einer hierarchischen Gliederung der Sicherheitsmaßnahmen, die umgesetzt werden müssen, um ein hinreichendes Schutzniveau zu erreichen. Dazu gehören die Implementierung von Zugriffskontrollen, der Schutz gespeicherter und übertragener Daten und das Management von Sicherheitsupdates. Diese Maßnahmen werden derzeit oft noch sehr individuell betrachtet. Mit dem ausgereifteren und systematischeren Ansatz des SMM werden sie in drei grundlegende Felder gegliedert:

• Organisatorisches Sicherheitsmanagement (Governance)

• Security by Design, also die Einbeziehung sicherheitsrelevanter Aspekte bereits in der Planungsphase (Enablement)

• Verstärkung der Sicherheitsmaßnahmen (Hardening)

Ein umfassender Ansatz lässt eine Einschätzung zu, wie gut das Sicherheitsmodell implementiert ist, die Anwendungen systematisiert wurden und wie weit die Anpassung in den genannten Feldern bereits fortgeschritten ist. Die Basis für einen minimalen Reifegrad legt dabei das Monitoring allgemeiner Angriffsformen wie den Diebstahl von Zugangsdaten, Brute Force Attacken zum Knacken von Passwörtern und Distributed Denial of Service (DDoS)-Angriffe. In einem umfassenderen Modell werden auch Betriebsszenarien von Anwendungen kontrolliert, oder sogar eine OWASP (Open Web Application Security Project), Top 10 Attack Systematization‘ und das STRIDE-Modell zur Identifikation von Bedrohungen eingesetzt. Ein vollständig integratives und ausgereiftes IoT- Sicherheitssystem umfasst zusätzlich die systematische und periodische Evaluierung der Bedrohungen und ihrer Abwehrmaßnahmen.

Doch Vollständigkeit allein ist noch kein genügendes Kriterium für hinreichende Sicherheit. Wesentlich dafür ist zudem die Anpassungsfähigkeit des Modells an die spezifischen Anforderungen der jeweiligen Branche oder sogar der einzelnen Systeme. Da Geräte des IoT alle häuslichen und gewerblichen Bereiche abdecken, muss bei der Auswahl des besten Sicherheitsmodells der Fokus vor allem auf den jeweiligen Einsatzbereich gelegt werden.

Malware-Bedrohungen für IoT-Geräte sind auf dem Vormarsch und nur ein passendes SMM zur IoT-Sicherheit kann angemessenen Schutz gegen Angriffe von Cyberkriminellen im häuslichen Umfeld, am Arbeitsplatz, gegen Unternehmen oder auf unsere Gesundheitsdaten gewähren. Ein wirklich adäquates Sicherheitsmodell zu definieren ist alles andere als trivial. Branchenexperten müssen die umfassenden Sicherheitsprozesse an die jeweiligen Spezifika ihres Einsatzbereichs anpassen.

IoT-Geräte finden in so unterschiedlichen Unternehmen, Systemen und Einzellösungen Verwendung, dass jeder spezifische Einsatz bei der Bestimmung des Reifegrads einzeln betrachtet werden muss. Nur wenn Sicherheitsexperten das SMM individuell für jeden Anwendungsbereich innerhalb ihrer Infrastruktur anpassen, können sie sicher sein, die bestmögliche Verteidigungsstrategie für Angriffe auf das vollständige IoT-Ökosystem zu haben. Sie dabei zu unterstützen macht unser privates wie berufliches Leben sicherer – jetzt gleich und auch in Zukunft.

Über den Autor: Ekaterina Rudina ist System Analysts Team Lead bei Kaspersky.

(ID:46831406)