Sicherheitsfallen: Alte und vergessene IoT-Geräte im industriellen Einsatz. Sieben Jahre alte Sicherheitslücken immer noch aktuell und nicht gepatcht. Ein Kommentar von Security-Experte Thomas Uhlemann, ESET.
Das Internet der Dinge (IoT) hat sich längst in der deutschen Industrie etabliert. Einer Umfrage von Statista zufolge nutzen bereits zwei Drittel aller befragten Unternehmen Industrie 4.0-Anwendungen. Doch mit der IT-Sicherheit der Geräte scheinen es die Betreiber nicht so ernst zu nehmen: Anders kann es sich Security-Experte Thomas Uhlemann nicht erklären, dass Hacker mit dem Ausnutzen von Sicherheitslücken zum Erfolg kommen, die bereits seit sieben Jahren und mehr bekannt sind. Genau genommen befinden sich unter den ESET Top-10-Sicherheitslücken für IoT-Geräte ausnahmslos Lecks aus den Jahren 2015-2012.
Ohne Patch: uralte Lecks bei IoT
„Das Internet der Dinge bietet Unternehmen ungeahnte neue Möglichkeiten. Doch wer bekannte Schwachstellen über Jahre nicht stopft, riskiert mehr zu verlieren, als ihm lieb ist“, sagt Uhlemann, Security Specialist bei ESET Deutschland. „Hinzu kommt, dass veraltete IT-Veteranen wie Fritz!Fax immer noch in Betrieb sind, vermutlich ungepatcht. Allein in Deutschland werden noch mehr als 3 Millionen aktiv genutzt.“
Aber auch die Absicherung der Geräte lässt vielfach zu wünschen übrig. Deren Zugänge sind über die Kombination von Benutzername und Passwort zu erreichen – von moderner Multi-Faktor-Authentifizierung fehlt jede Spur. Richtig bedenklich wird es, wenn man das Who´s who der schlechtesten Authentifizierungen selbst hier antrifft:
“Vor dem Hintergrund der aktuellen Erfolge von Hackerangriffen weltweit muss Zero Trust Security das Gebot der Stunde sein. Deshalb sollte jede Schwachstelle dringend geschlossen werden, allem voran die bei den IoT-Geräten“, empfiehlt Thomas Uhlemann.
Besondere Fehlergruppen
Grundsätzlich sieht der Experte vier gravierende Fehlergruppen, die den Einsatz vom Internet der Dinge so problematisch macht:
- Sicherheitsprobleme bereits im Design der IoT-Geräte
- Fehlbedienungen oder Installationen durch den Menschen
- Sicherheitstechnisch und datenschutzrechtlich fragwürdige Apps zur Bedienung
- Ungewollte oder unbemerkte Datenübertragungen vom Device ins Internet
„Abgesehen von möglichen Sicherheitslecks werden viele IoT-Geräte in der Industrie im Laufe der Zeit zur Gefahr. Denn ihre Lebensdauer ist auf Jahre bzw. Jahrzehnte ausgelegt – und da passiert in puncto Sicherheit leider eine Menge. Insofern muss sich jedes Unternehmen gut überlegen, ob und wie es diese Geräte im aktiven Netzwerk mit dem Internet verbindet“, sagt der IT-Experte. Sein Lieblingsbeispiel ist dafür die vielfach verwendete Webcam. Diese wird zwar nicht im produktiven Großeinsatz genutzt, steht aber sinnbildlich für Geräte mit langer Einsatzdauer. Viele funken immer noch – vielleicht sogar vergessen – Live-Videos aus dem Unternehmen ins Internet. Mit einem Klick darauf gelangt man nicht selten auf die Admin-Oberfläche der Cams. Selbst wenn man sich nicht einloggen möchte, erfährt der Angreifer durchaus wertvolle Informationen: Wie etwa die öffentliche IP-Adresse oder ob und in welchem Netzwerksegment sich die Kamera befindet.
Vergessene Geräte sind Sicherheitsrisiko
Kurzum: Vergessene oder nicht inventarisierte Geräte bergen ein großes Sicherheitsrisiko. Dies passiert übrigens sehr oft, wenn Projekte abgebrochen oder Firmen verkauft werden. Dann tritt dieses Equipment in den Hintergrund und wird erst später zur tickenden Security-Bombe.
Das sollten Unternehmen im Umgang mit IoT-Geräten beachten:
- Nutzen Sie Inventarisierungssoftware
- Nutzen Sie Netzwerksegmente
- Nutzen Sie sichere Zugänge
- Sensoren, Aktoren und Co. sind genauso wichtig wie Server und PCs
- Updates, Updates, Updates
- Security ins Design
- Nutzen Sie zusätzliche Schutzsoftware
Welche Gefahren ansonsten noch lauern, was Unternehmen beachten sollten und wie sie sich helfen können, beschreibt der Experte auch im Security-Blog.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.