Die IoT-Welt wächst und mit ihr die Sicherheitsbedrohungen
Das Internet der Dinge (Internet of Things = IoT) verändert die Arbeitswelt. Hersteller integrieren zunehmend fortschrittliche Technologien wie Cloud Computing, Datenanalyse und maschinelles Lernen in ihre Produkte. Die potentielle Wertschöpfung durch IoT ist bereits jetzt riesig und wächst stetig weiter. McKinsey schätzt, dass die IoT-Wertschöpfungsrate bis 2030 weltweit 12,5 Milliarden US-Dollar erreichen könnte. Davon profitiert aktuell insbesondere hochspezialisierte Wirtschaftsbereiche. Von Anwendungen in der Medizintechnik, der Logistik und im Verkehr bis hin zu Lösungen für smarte Fabriken – IoT ebnet den Weg für einen umfassenderen digitalen Wandel, der riesige Datenmengen erzeugt, speichert, analysiert und über ein ständig wachsendes globales Netz überträgt.
Palo Alto Networks zufolge führt die rasche Entwicklung und Einführung von IoT-Technologie bereits zu einem Wandel der Geschäftsabläufe. IoT-Geräte machen heute wahrscheinlich schon weit mehr 30 Prozent aller Geräte in Unternehmensnetzwerken aus. Die von diesen Geräten gesammelten Daten liefern eine Fülle wertvoller Informationen, die Entscheidungsfindung in Echtzeit und die Erstellung präziser Prognosemodelle ermöglichen. Darüber hinaus ist das Internet der Dinge ein wichtiger Wegbereiter für den digitalen Wandel in Unternehmen und hat das Potenzial, die Produktivität von Angestellten, die Unternehmenseffizienz und die Rentabilität zu steigern sowie die Erfahrungen der Belegschaft insgesamt zu verbessern.
IoT-Sicherheit gewinnt an Bedeutung – auch für Cyber-Kriminelle
Die Kehrseite der Medaille: Die Verknüpfung von Produktionsanlagen (Operational Technology = OT) mit IoT-Technologien und anderen fortschrittlichen Lösungen bietet neue Angriffspunkte für Cyberangriffe. Milliarden von vernetzten Geräten schaffen schließlich jede Menge potenzieller Schwachstellen in Unternehmen. So hat sich laut McKinsey mit der zunehmenden Vernetzung die Zahl der Angriffsmöglichkeiten drastisch erhöht. Vor dem Einsatz von IoT musste ein großes Unternehmensnetzwerk möglicherweise bis zu 500.000 angreifbare Endpunkte berücksichtigen, während IoT ein IoT-Netzwerk Millionen oder sogar mehrere Millionen solcher Endpunkte umfassen kann.
Wie groß die Bedrohung durch die Nutzung von IoT-Geräten tatsächlich ausfällt, zeigt ein aktueller Bericht von Asimily mit dem Titel “IoT Device Security in 2024: The High Cost of Doing Nothing”. Er analysiert aufkommende Angriffstrends, die auf IoT-Infrastrukturen abzielen, und skizziert mögliche Konsequenzen für Unternehmen, die keine ausreichenden Schutzmaßnahmen ergreifen. Dem Bericht zufolge zählen vor allem bereits bekannte Sicherheitslücken zu den größten Problemen: 34 der 39 am häufigsten genutzten IoT-Schwachstellen sind im Durchschnitt bereits länger als drei Jahre bekannt. Router machen 75 Prozent der infizierten IoT-Geräte aus, da sie als Gateways für den Zugriff auf andere Knoten in einem Netzwerk dienen. Sicherheitskameras, digitale Beschilderungssysteme, medizinische Geräte und industrielle Kontrollsysteme gehören ebenfalls zu den am häufigsten angegriffenen Geräten.
Risiken beim Einsatz von IoT in Unternehmen
Je nach Anwendung birgt eine Sicherheitsverletzung in einer industriellen IoT-Umgebung verschiedene Risiken. Angefangen bei der Preisgabe wichtiger Informationen, die für den Betrieb des Unternehmens oder die Herstellung eines Produkts entscheidend sind, über Beschädigung industrieller Steuerungssysteme bis hin zur Kompromittierung der hergestellten Produkte. Ein Beispiel: Ein Angreifer verschafft sich Zugang zum Netzwerk eines Autozulieferers und manipuliert unbemerkt die Maschineneinstellungen eines Bremsenbauteils. Das kann dazu führen, dass die Bremsen bei Belastung plötzlich versagen. Sowohl der materielle als auch der immaterielle Schaden für das Unternehmen ist kaum zu beziffern.
IoT ist anfällig für Schwachstellen
Die industrielle IoT-Architektur bezieht sich auf die Sammlung aller IoT-Elemente in intelligenten Fabriken. Obwohl sie sich von Unternehmen zu Unternehmen unterscheidet, umfasst sie immer Geräte mit Sensoren und Aktoren, Netzwerkelemente, Datenbanken, Analysewerkzeuge und Geschäftsanwendungen. Jede Komponente birgt spezifische Sicherheitsrisiken für die gesamte Produktionsumgebung.
Wie Palo Alto Networks erläutert, ist jedes vernetzte IoT-Gerät ohne robuste Sicherheitsvorkehrungen anfällig für Einbrüche, Kompromittierungen und die Kontrolle durch böswillige Akteure, die in das System eindringen, Nutzerdaten stehlen und Systeme zum Absturz bringen. Da sich immer mehr unterschiedliche IoT-Geräte mit dem Netz verbinden, vergrößert sich gleichzeitig die Angriffsfläche dramatisch. Dies hat zur Folge, dass die gesamte Netzwerksicherheit in Bezug auf die Integrität und den Schutz des am wenigsten sicheren Geräts abnimmt. Zusätzlich zu diesen Herausforderungen sind 98 Prozent des gesamten Datenverkehrs von IoT-Geräten meist unverschlüsselt, wodurch vertrauliche Daten einem hohen Risiko ausgesetzt sind.
Verschiedene Angriffe auf das industrielle IoT zielen darauf ab, die Sicherheit verschiedener Elemente des IoT-Ökosystems zu beeinträchtigen, z. B. die Netzwerkkommunikation, IoT- und OT-Software und -Anwendungen sowie physische Geräte. DDoS, Geräte-Hijacking oder Spoofing und Man in the Middle-Angriffe sind nur einige der Sicherheitsprobleme in diesem Zusammenhang. Die Folgen eines einzelnen Cyber-Angriffs sind je nach Angriffsziel unterschiedlich, doch am häufigsten und gefährlichsten ist die Offenlegung sensibler Daten. Die Tabelle zeigt die häufigsten IoT-Angriffe und ihre Auswirkungen auf OT-Fabriken.
IoT-Angriffsrisiken im Überblick
Angriffe | Auswirkungen | |
Hardware |
|
|
|
||
Software |
|
|
|
||
Kommunikation |
|
|
Sicherheit im IoT erreichen
Bei IoT-Geräten handelt es sich um zweckgebundene Produkte, die eine begrenzte Anzahl von Aktionen ausführen. Beispielsweise stellen sie eine Verbindung zu einem Netzwerk her und übertragen und empfangen Daten. Typische Beispiel für IoT-Geräte in Unternehmen sind zudem Barcode-Scanner, intelligente Glühbirnen und Sicherheitskameras sowie Mess- und Regelsensoren. IoT-Geräte unterscheiden sich von IT-Geräten wie PCs zum einen dadurch, dass sie in der Regel nur eine spezifische Aufgabe haben. Außerdem unterstützen viele keine Software-Updates und Sicherheits-Patches. Wird eine Schwachstelle in Software oder Firmware gefunden, ist es schwierig, sie vor Ausnutzung und Kompromittierung zu schützen. Ein weiterer Unterschied besteht darin, dass IoT-Geräte oft auch unbemerkt in einem Netzwerk auftauchen. Darüber hinaus ist ihr einzigartiges Netzwerkverhalten für Administratoren, die eher an die Verwaltung von Notebooks und Desktops gewöhnt sind, aufgrund ihrer speziellen Bauweise problematisch. Aus diesen Gründen ist es zwingend erforderlich, dass alle Unternehmen ihre Cyber-Sicherheitsmaßnahmen weiterentwickeln und proaktive Schritte durchführen, um dieser zunehmend komplexen IoT/OT-Bedrohungslandschaft zu begegnen.
Die wichtigsten IoT-Sicherheitsmaßnahmen
Die folgenden Maßnahmen der SITS-Checkliste für IoT-Sicherheitsmaßnahmen sind daher unerlässlich, um eine wirksame Sicherheitsstrategie zu implementieren und die mit IoT/OT-Bedrohungen verbundenen Risiken zu verringern:
- Zero-Trust-Architektur implementieren
- Überblick über alle Geräte behalten
- Schwachstellen proaktiv identifizieren
- Gesamten Datenverkehrs überprüfen
- Echtzeit-Überwachung einrichten
- Regelmäßige Updates sicherstellen
- Veraltete Geräte aufspüren
- Sicherheitsrisikobewertung durchführen
- Einrichtung einer industriellen entmilitarisierten Zone (IDMZ)
Fazit IoT Security
Die Einführung von IoT- und OT-Geräten bietet Unternehmen erhebliche Vorteile, birgt aber auch große Risiken. Ein moderner Zero-Trust-Ansatz ist erforderlich, um IoT- und OT-Geräte in großem Maßstab effizient und sicher zu verwalten. Führungskräfte müssen die Cybersicherheit darüber hinaus auf allen Organisationsebenen berücksichtigen, indem sie Sicherheitsrichtlinien einführen, Schutzmechanismen implementieren und ihre Mitarbeiter schulen. Wenn Sie auf der Suche nach einem zuverlässigen Partner sind, der Sie beim Schutz Ihrer IoT-Systeme berät und unterstützt, steht Ihnen SITS gerne zur Seite.