Das IoT boomt, doch viele Unternehmen sind sich der Risiken, die sie sich mit smarten und vernetzten Geräten ins Haus holen, gar nicht bewusst. Sie wählen die Geräte deshalb überwiegend nach funktionalen Gesichtspunkten aus und verzichten auf dedizierte Sicherheitsmaßnahmen. Damit gefährden sie allerdings nicht nur sich selbst, sondern auch andere, denn Cyberkriminelle schließen gekaperte IoT-Devices oft zu riesigen Botnets für DDoS-Attacken oder den Versand von Spam- und Phishing-Mails zusammen. Abgesehen davon nutzen sie die Geräte, um andere Systeme innerhalb der Infrastruktur zu kompromittieren und Unternehmensdaten zu entwenden. Kein Wunder, dass Sicherheitsexperten manchmal scherzen, die für das Internet of Things verwendete Abkürzung „IoT“ stehe eigentlich für Internet of Threats.
Was tun, damit das IoT nicht zum Internet of Threats wird?
Aber was genau macht IoT-Geräte aus Security-Sicht überhaupt so problematisch? Zum einen sind es Schwachstellen, die sich teilweise sehr leicht ausnutzen lassen, weil viele Anbieter im Wettlauf um neue Features grundlegende Security Best Practices bei der Entwicklung ignorieren. Unverschlüsselte Verbindungen, offene Ports oder fest hinterlegte Schlüssel und Login-Daten sind in der IoT-Welt keine Seltenheit, und oft liefern die Anbieter auch keine Updates, um die Schwachstellen später abzudichten. Stattdessen konzentrieren sie sich lieber auf die nächste Gerätegeneration, um Aufmerksamkeit im Markt zu generieren und neue Kunden zu gewinnen. Zum anderen lassen sich IoT-Geräte in der Regel nicht so einfach wie IT-Systeme verwalten. Unternehmen können nicht mit ihren gewohnten Systemmanagement-Tools auf sie zugreifen, keine Sicherheitssoftware auf ihnen installieren und den Gerätestatus nur unzureichend erfassen, sodass ein Security-Monitoring schwierig ist. Dadurch fallen kompromittierte Geräte meist erst spät auf – die Angreifer haben Wochen oder Monate Zeit, um die Geräte zu missbrauchen und sich weiter innerhalb der Infrastruktur auszubreiten.
Die gute Nachricht ist jedoch, dass Unternehmen den Gefahren des IoT nicht machtlos gegenüberstehen. Im Prinzip müssen sie lediglich die Sicherheitskonzepte, die sie in ihren IT-Umgebungen bereits umsetzen, auf die IoT-Welt ausweiten. Im ersten Schritt heißt das, bei der Auswahl der Geräte nicht nur auf die Funktionen – und eventuell den Preis – zu schauen, sondern sich intensiv mit den Anbietern zu befassen: Versorgen sie ihre Geräte zuverlässig und lange mit Updates? Achten sie auf Security by Design und Security by Default? Lassen sich ihre Geräte nur im Zusammenspiel mit einer Cloud nutzen oder ist es möglich, sie lokal zu verwalten und Daten auf eigenen Servern zu sammeln? Gibt es granulare Berechtigungskonzepte, um verschiedenen Nutzergruppen unterschiedliche Zugriffsrechte einzuräumen, und ist eine Integration in bestehende Benutzer- und Rechteverwaltungen möglich?
Darüber hinaus müssen Unternehmen aber auch aktive Sicherheitsmaßnahmen ergreifen, um ihre IoT-Umgebungen zu schützen. Dazu zählt unter anderem ein Schwachstellen- und Patch-Management, damit verfügbare Updates schnell eingespielt werden können und Sicherheitslücken nicht länger offenstehen als nötig. Schließlich lieben Cyberkriminelle längst bekannte, aber nicht gepatchte Lecks, da es für diese meist gut funktionierende Exploits oder sogar ausgereifte Angriffstools gibt, die es besonders einfach machen, Geräte zu infiltrieren. Mit Zero Trust lassen sich Sicherheitsrisiken im IoT dann noch weiter reduzieren – ja, mehr noch: Ohne Zero Trust ist ein sicheres IoT gar nicht möglich, denn mit nur eigenen Netzwerksegmenten für die IoT-Geräte, der Vergabe minimaler Berechtigungen und einer konsequenten Verifizierung aller Zugriffe lässt sich der Handlungsspielraum von Cyberkriminellen im IoT einschränken. Selbst wenn sie ein IoT-Gerät übernehmen, können sie kaum Schaden anrichten, weil sie mangels Rechten keinerlei Zugriff auf andere Systeme erhalten.
Um Attacken auf die IoT-Umgebung zu erkennen, müssen Unternehmen zudem den Datenverkehr der IoT-Geräte intensiv überwachen. Auf diese Weise erkennen sie ungewöhnliches Kommunikationsverhalten frühzeitig und können Angriffe schnell unterbinden, indem sie beispielsweise die betreffenden Geräte isolieren. Das Monitoring kann ein eigenes Security Operations Center (SOC) übernehmen oder ein auf Managed Detection and Response (MDR) spezialisierter Dienstleister. Ein solcher ist meist die einfachere und kostengünstigere Alternative, da der Aufbau und 24/7-Betrieb eines eigenen SOC einen enormen Aufwand bedeutet und die benötigten Security-Analysten äußerst rar sind.
Letztlich beginnt IoT-Sicherheit also beim Anbieter der Geräte, endet aber nicht dort. Auch Unternehmen stehen in der Pflicht, ihre IoT-Umgebungen abzusichern, damit die Zahl der ungeschützten Geräte nicht weiter ansteigt. Angesichts von bald 55 Milliarden vernetzten IoT-Devices bieten sich Cyberkriminellen nämlich jede Menge Angriffspunkte, und mit jedem einzelnen IoT-Device, das sie übernehmen, wächst die Macht ihrer Botnets und die Wucht ihrer Angriffe.