Risiko begrenzen

Risiko begrenzen

Nutzern gibt man nicht einfach Anmeldedaten und unbegrenzten Zugang zum privaten Netzwerk – wieso sollte man nicht auch die gleichen Regeln auf vernetzte Geräte anwenden? Vernünftiges Identity und Access Management (IAM) kann dabei helfen, das Risiko von Angriffen deutlich zu reduzieren.

 (Bild: @ipopba / istockphoto.com)

(Bild: @ipopba / istockphoto.com)

Man stelle sich folgendes Szenario vor. In einem Nebenraum eines nordamerikanischen Kasinos beschäftigt sich die schnelle Eingreiftruppe der Cybersicherheitsabteilung mit einem Alarm. Demzufolge arbeitet irgendwo auf dem Boden des betreffenden Kasinos ein Hacker an einem Angriff. Schnell bemerken die Fachleute, dass der Hack offensichtlich just in diesem Augenblick stattfindet, und alarmieren ihrerseits den Sicherheitsdienst des Kasinos. Man darf sich filmreif vorstellen, wie die Teams Alpha, Bravo und Charlie von verschiedenen Seiten an den Ort des Geschehens stürmen, um die Quelle der Datenschutzverletzung auszumachen. Es ist ein Aquarium. Im diesem Beispiel fehlt ein wenig die Pointe. Aber dennoch überraschend ist, dass der Vorfall sich tatsächlich so ereignet hat. Aquarien sind ganz offensichtlich nicht ganz so harmlos wie sie scheinen. Im Juli 2017 hatten Hacker die IP-Adressen des Kasinos auf der Suche nach einem Gerät gescannt, das sie übernehmen, und für ihre Zwecke nutzen könnten. Sie wurden fündig. Bei ihrem Scan stießen sie auf ein intelligentes Thermometer, also ein sogenanntes ‚Smart Device‘, das an einem großen Aquarium befestigt war. Über dieses Thermometer wurden regelmäßig betriebsrelevante Daten versendet. Um die Daten in der gewünschten Art und Weise auszutauschen, braucht dieses Thermometer eine Netzwerkverbindung. Man ahnt schon worauf es hinausläuft. Das Netzwerk, über das sich das smarte Thermometer verbunden hat, war das private Netzwerk des Kasinos. Nachdem es den Angreifern erfolgreich gelungen war, dass Gerät zu übernehmen, konnten sie darüber auf das Kasino-Netzwerk zugreifen, private Kundendaten stehlen und diese Daten auf Server in Übersee hochladen. Eine Geschichte, die zumindest geeignet ist zu belegen, warum man das IoT nicht ganz ohne Grund auch ‚Internet of Threats‘, also Internet der Gefahren nennt.

Mehr Bedrohungen als angenommen

Bedrohungen sind im wahrsten Sinne des Wortes überall um uns herum. Wir nutzen digitale Assistenten, die uns dauerhaft belauschen, Spielekonsolen mit integrierter Kamera, digitale Türalarme und etliches mehr. Man mag jetzt reflexhaft entgegnen, dass dies alles Geräte sind, die nicht in geschäftlichen Umgebungen zum Einsatz kommen und man sich darüber nicht allzu große Sorgen machen müsse. Doch greift diese Sichtweise zu kurz. Im Büro lassen sich diese Geräte nicht finden. Aber was ist mit dem WiFi-fähigen Drucker? Oder mit Sicherheitssystemen, die eine Verbindung zu externen Dritten haben? Oder eben einem smarten Thermometer am harmlosen Aquarium in der Lobby. Längst nicht jeder ist sich ausreichend bewusst, wie viele IoT-Geräte schon eingesetzt werden, die alle eine Netzwerkverbindung brauchen. IoT ist im weitesten Sinne alles innerhalb einer Domain, was möglicherweise eine Verbindung zum Internet oder sogar in Ihr Firmennetzwerk herstellt. Dadurch entsteht eine Situation, die offensichtlich nicht ganz ungefährlich ist.

Wie kommt es dazu?

Im ersten Schritt gilt es zu untersuchen wie genau und warum diese Geräte eine Bedrohung darstellen. Mit all dem, was heutzutage über IT-Sicherheit bekannt ist, fragt man sich vielleicht, warum es nach wie vor so vergleichsweise einfach ist, solche im Netzwerk befindlichen Geräte zu hacken. Einer der wichtigsten Gründe: für viele Entwickler ist die Frage der Sicherheit nachrangig verglichen mit dem Innovationsgrad. Angenommen, ein Unternehmen produziert Hundertausende von netzwerkfähigen Thermometern. Für alle diese Geräte einzigartige Schlüssel zu Verschlüsselungszwecken zu installieren und zu verwalten erscheint gleichermaßen lächerlich wie unnötig teuer. Selbst wenn der Hersteller Sicherheitsvorkehrungen getroffen hat, werden die Geräte nicht selten fehlerhaft verwaltet. Es ist ein bisschen so wie in dem altbekannten Beispiel aus der IT-Sicherheit: sämtliche Sicherheitsvorkehrungen für die Vordertür treffen und die rückwärtige Tür unverschlossen oder weit geöffnet zu lassen. Ein schönes Beispiel ist, zu Hause einen netzwerkfähigen Drucker zu installieren und dabei total außer Acht zu lassen, dass der Drucker selbst über einen WiFi-Router verfügt, den man deaktivieren sollte. Genau wie man nicht vergessen sollte, das Standardpasswort für den Zugriff zu ändern. Die Chance, dass der Drucker eine Schwachstelle aufweist, die es einem Angreifer ermöglicht die Netzwerkverbindungen auszunutzen und auf persönliche Dateien zuzugreifen ist definitiv ein zu hohes Risiko. Persönliche Daten und Unternehmensmarken sind zu wertvoll, um sie aufs Spiel zu setzen. Man wird nicht umhin kommen alles zu tun, um IoT-fähige Geräte wirklich sicher zu machen. Und es gibt einige Methoden, die dazu beitragen, die bestehenden Sicherheitslücken zu schließen.

Mit dem Internet of Threats umgehen

Gut informiert zu sein ist oft die halbe Miete – das trifft auch hier zu. Ein verändertes Bewusstsein hinsichtlich möglicher Bedrohungen verändert den Blick auf die Interaktionen mit Abteilungen, externen dritten Partnern und mit potenziell gefährlichen Geräten, die sich mit dem Netzwerk verbinden. Es ist empfehlenswert, Herstellern von IoT-Geräten Fragen rund um die IT-Sicherheit Ihrer Geräte zu stellen. Beispielweise könnte man den Hersteller von WiFi-fähigen Druckern fragen, welche Netzwerkfähigkeiten dieses Gerät hat und ob man nicht benötigte Funktionen deaktivieren kann. Zudem kann man sich nach umfassenderen Sicherheitsfunktionen für die betreffenden Geräte erkundigen. Eine Möglichkeit ist, dass sich der Benutzer für den Zugriff auf das Gerät über ein signiertes Zertifikat legitimiert. Die meisten aktuellen Druckermodelle unterstützen bereits zertifikatsbasierte Authentifizierung. Existiert ein Thermometer in der Lobby, das Temperaturdaten für den Gebäudeverwalter sammelt? So könnte ein öffentliches Netzwerk eingerichtet werden, das speziell für Gäste und Geräte reserviert ist, die keinen Zugriff auf interne Unternehmensdaten und Werte haben sollen. Inwieweit ein bestimmtes IoT-Gerät zu einer Schwachstelle im Netzwerk wird, ist natürlich nicht ganz einfach zu prognostizieren. Aber würde man ein derart unkalkulierbares Risiko für ein Unternehmensnetzwerk eingehen wollen? Eher nicht. Was vielleicht noch interessanter ist: Inzwischen beginnt man zu verstehen, dass Netzwerkgeräte und Benutzer eine Menge gemeinsam haben. Tatsächlich hat sich ein ganzer Industriezweig um die Idee eines Identity und Access Managements für das Internet der Dinge gebildet. Demnach hat die Lebenspanne eines IoT-Gerätes innerhalb einer Domain viel mit den grundlegenden Prinzipien des Identity und Access Managements gemein:

– Ein individuelles Gerät kann innerhalb eines IAM-Systems provisioniert und seine Aktivitäten nachvollzogen werden.

– Ein Gerät ist oftmals an einem bestimmten Account oder an bestimmte Anmeldeinformationen gebunden, um einen bestimmten Zugriff zu erlangen.

– Die Anmeldeinformationen sollten dahingehend eingeschränkt werden, worauf das Gerät im Netzwerk zugreifen darf und worauf nicht.

– Konten mit erweiterten Zugriffsberechtigungen sollten engmaschig und mit Methoden der Verhaltensanalyse hinsichtlich abweichender Verhaltensmuster überwacht werden.

– Auf jeden Fall sollte es auch per Fernzugriff möglich sein, den Netzwerkzugriff eines Gerätes zu unterbinden, ohne es physisch vom Netzwerk trennen zu müssen.

Diese, wenn auch unvollständige Liste zeigt, dass niemand seinen Benutzern mit den Anmeldeinformationen gleichzeitig unbegrenzten Netzwerkzugriff geben würde. Warum also sollte man nicht analoge Regelungen für netzwerkfähige Geräte umsetzen? Wenn keinerlei Transparenz darüber besteht, was genau ein Gerät tut und wie es das tut, sollte vielleicht lieber der Anbieter gewechselt oder doch wenigstens die betreffenden Geräte isoliert und nur in einem Whitelist-Netzwerk betrieben werden.

www.oneidentity.com

Das könnte Sie auch Interessieren