Bring Your Own Device 2.0

Private IoT-Geräte im Unternehmen

| Autor / Redakteur: Udo Schneider / Peter Schmitz

Unternehmen sollten ihre Mitarbeiter dazu verpflichten, ihre Devices bei der IT-Abteilung zu registrieren, bevor sie diese mit dem Netzwerk verbinden dürfen.
Unternehmen sollten ihre Mitarbeiter dazu verpflichten, ihre Devices bei der IT-Abteilung zu registrieren, bevor sie diese mit dem Netzwerk verbinden dürfen. (Bild: gemeinfrei / Pixabay)

Das Internet der Dinge verändert Privat- und Berufsleben. Dazu gehört auch, dass Mitarbeiter immer häufiger persönliche IoT-Geräte an ihren Arbeitsplatz mitbringen. Diese stellen jedoch ein mögliches Sicherheitsrisiko dar, auf das Security-Verantwortliche reagieren müssen.

Die Zeiten, als Angestellte entsprechend des Konzepts „Bring Your Own Device“ (BYOD) nur ihre Laptops, Tablets und Smartphones an den Arbeitsplatz mitbrachten und zu beruflichen Zwecken mit dem Büro-Netzwerk verbanden sind vorbei. Heute haben sie oftmals auch private IoT-Geräte dabei, um sie im Büro weiter zu nutzen. Zu diesen Geräten zählen neben Smartwatches und Fitness-Trackern auch Unterhaltungsgeräte wie E-Reader und portable Spielekonsolen, in manchen Fällen sogar tragbare Smart-Home-Geräte wie intelligente Kaffeemaschinen.

Diese stellen für Unternehmen – und besonders die Security-Verantwortlichen – eine neue Herausforderung dar. Nachdem sie bereits die „klassischen“ BYOD-Geräte absichern mussten, sind sie jetzt zusätzlich mit den Risiken und Bedrohungen konfrontiert, die eine große Zahl von verschiedensten Consumer-IoT-Devices im Unternehmensnetzwerk mit sich bringt. Dass diese nicht zu unterschätzen sind, haben unterschiedliche Vorfälle mit kompromittierten IoT-Geräten in der Vergangenheit bereits gezeigt.

Dementsprechend müssen die Sicherheitsmaßnahmen an die neuen Bedrohungen angepasst und die BYOD-Policies entsprechend überarbeitet werden. Im Folgenden empfehlen wir einige Best Practices, mit denen die wichtigsten Risiken durch IoT-Geräte im Unternehmensumfeld gemindert werden können.

Schwachstellen

Wie auch bei anderen Systemen versuchen Angreifer, Schwachstellen in IoT-Geräten auszunutzen. Einige der aufsehenerregendsten Sicherheitsvorfälle mit IoT-Bezug in der Vergangenheit basierten auf der Ausnutzung von Schwachstellen, obwohl für viele davon bereits Patches verfügbar waren. So ist gerade das Patch-Management ein wichtiges Thema, dem sich Unternehmen widmen sollten – besonders, da Schwachstellen in Geräten einen möglichen Eintrittspunkt in das gesamte Netzwerk darstellen können.

Best Practices: In einem Onboarding-Prozess sollten Mitarbeiter ihre Devices bei der IT-Abteilung registrieren, bevor sie diese mit dem Netzwerk verbinden dürfen. Im Rahmen dieses Prozesses sollten unter anderem alle relevanten Geräte- und Systeminformationen dokumentiert und geeignete Sicherheitseinstellungen vorgenommen werden. Zudem ist ein ständiges Awareness-Programm empfehlenswert, das Angestellte daran erinnert, regelmäßig vom Hersteller bereitgestellte Patches und Updates zu installieren.

Hacking

Mitarbeiter bringen IoT-Geräte an den Arbeitsplatz, um ständig von Funktionen zu profitieren, die sie als Mehrwert empfinden. Doch das können Hacker oftmals auch, indem sie diese Funktionen missbrauchen, um in das Firmennetz einzudringen. Dass auf den Devices oftmals kaum Schutzmechanismen vorhanden sind, erleichtert dies zusätzlich. Gelingt es Angreifern, einmal in das Netzwerk einzudringen, können sie sich dort weiter ausbreiten und beispielsweise nach anderen verwundbaren Geräten suchen, Informationen stehlen, auf Server und Systeme zugreifen oder Geräte für Botnets kapern.

Best Practices: Mitarbeiter sollten sich mit den spezifischen Eigenschaften ihrer Devices vertraut machen und sich auch über möglicherweise versteckte Funktionen informieren. Neben der Registrierung der Geräte sollte die IT-Abteilung für diese ein dediziertes Netzwerk unabhängig vom eigentlichen Unternehmensnetz einrichten. Eine mehrschichtige Sicherheitslösung kann zudem verdächtige Aktivitäten und Angriffe auf Netzwerk und Endpunkte erkennen.

Zielgerichtete Angriffe

Schon eine einfache Online-Suche zeigt eine Vielzahl von öffentlich auffindbaren, mit dem Internet verbundenen Devices wie Smartwatches und Smart Speaker und die zugehörigen Systeme. Dies ist insofern besorgniserregend, da Hacker dadurch besonders einfach zielgerichtete Angriffe auf diese Geräte, mit ihnen verbundene Systeme und ihre Schwachstellen durchführen können.

Best Practices: Unternehmen können mit Hilfe von Online-Diensten wie Shodan und WhatsMyIP ihre Netzwerke auf auffindbare Geräte, offene Ports und andere Angriffsvektoren hin untersuchen und die nötigen Sicherheitsmaßnahmen treffen. Zudem sollten sie durch Awareness-Schulungen eine „Security First“-Mentalität bei Angestellten schaffen und dabei auch die Risiken von Smart Devices thematisieren.

Verlust von Daten

So einfach eine normale Uhr verloren gehen oder gestohlen werden kann, so leicht kann eine Smartwatch dasselbe Schicksal ereilen. In diesem Fall besteht jedoch das Risiko, dass vertrauliche Informationen oder persönliche Daten nach außen gelangen – zum Beispiel aus E-Mails oder Notiz-Apps. Wenn die Smartwatch im Rahmen von BYOD eingesetzt wurde, verschärft dies das Risiko, dass Unternehmensinformationen darauf zu finden sind zudem deutlich. Deshalb sollte auch die Möglichkeit eines Geräteverlusts im Sicherheitskonzept berücksichtigt werden. Die Erfahrung zeigt, dass verlorene Geräte oftmals bei großen Datenlecks eine Rolle spielen. Dies muss nicht immer in böser Absicht geschehen, teilweise werden vertrauliche Informationen auch unbeabsichtigt veröffentlicht. Bereits 2012 ergab eine Studie von Trend Micro, dass fast die Hälfte aller Unternehmen mit BYOD-Konzept schon einmal eine Datenpanne zu beklagen hatten.

Best Practices: Es ist ratsam, die Sicherheitseinstellungen von IoT-Devices regelmäßig zu kontrollieren und gegebenenfalls anzupassen – vor allem hinsichtlich ihres Netzwerkzugriffs und der Speicherung von Daten auf dem Gerät. Dabei ist besonders auf die Einhaltung von Compliance-Vorgaben zu Datenschutz und -sicherheit zu achten. Mitarbeiter sollten angehalten werden, mitgebrachte Geräte anzumelden und vorhandene Multifaktor-Authentifizierungs- und Verschlüsselungsfunktionen ihrer Geräte zu nutzen. Zudem sollten sie die IT-Abteilung über verlorene oder gestohlene Geräte informieren. Damit können mögliche Bedrohungen und Angriffe überwacht, erkannt und abgewehrt werden, noch bevor sie Schaden anrichten. Auch ein Abfluss von Daten kann dadurch möglicherweise verhindert werden.

Insgesamt lässt sich festhalten: Ein hoher Grad an Security-Awareness ist für alle Unternehmen wichtig, in denen neben eigenen Systemen auch die privaten Geräte von Mitarbeitern zum Einsatz kommen. Dies gilt umso mehr, als immer häufiger auch Consumer-IoT-Geräte an den Arbeitsplatz mitgebracht werden. Deshalb sollten BYOD-Programme neu evaluiert und überarbeitet werden. Unternehmen und Mitarbeiter teilen sich dabei die Verantwortung für die Sicherheit dieser Devices, sodass alle Beteiligten ihren Beitrag zur sicheren Nutzung des IoT leisten müssen.

Über den Autor: Udo Schneider ist Security Evangelist bei Trend Micro.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46042018 / Recht & Sicherheit)