Alte und vergessene IoT-Geräte im industriellen Einsatz

Eset_News

Beitrag teilen

Sicherheitsfallen: Alte und vergessene IoT-Geräte im industriellen Einsatz. Sieben Jahre alte Sicherheitslücken immer noch aktuell und nicht gepatcht. Ein Kommentar von Security-Experte Thomas Uhlemann, ESET.

Das Internet der Dinge (IoT) hat sich längst in der deutschen Industrie etabliert. Einer Umfrage von Statista zufolge nutzen bereits zwei Drittel aller befragten Unternehmen Industrie 4.0-Anwendungen. Doch mit der IT-Sicherheit der Geräte scheinen es die Betreiber nicht so ernst zu nehmen: Anders kann es sich Security-Experte Thomas Uhlemann nicht erklären, dass Hacker mit dem Ausnutzen von Sicherheitslücken zum Erfolg kommen, die bereits seit sieben Jahren und mehr bekannt sind. Genau genommen befinden sich unter den ESET Top-10-Sicherheitslücken für IoT-Geräte ausnahmslos Lecks aus den Jahren 2015-2012.

Ohne Patch: uralte Lecks bei IoT

„Das Internet der Dinge bietet Unternehmen ungeahnte neue Möglichkeiten. Doch wer bekannte Schwachstellen über Jahre nicht stopft, riskiert mehr zu verlieren, als ihm lieb ist“, sagt Uhlemann, Security Specialist bei ESET Deutschland. „Hinzu kommt, dass veraltete IT-Veteranen wie Fritz!Fax immer noch in Betrieb sind, vermutlich ungepatcht. Allein in Deutschland werden noch mehr als 3 Millionen aktiv genutzt.“

Aber auch die Absicherung der Geräte lässt vielfach zu wünschen übrig. Deren Zugänge sind über die Kombination von Benutzername und Passwort zu erreichen – von moderner Multi-Faktor-Authentifizierung fehlt jede Spur. Richtig bedenklich wird es, wenn man das Who´s who der schlechtesten Authentifizierungen selbst hier antrifft:

“Vor dem Hintergrund der aktuellen Erfolge von Hackerangriffen weltweit muss Zero Trust Security das Gebot der Stunde sein. Deshalb sollte jede Schwachstelle dringend geschlossen werden, allem voran die bei den IoT-Geräten“, empfiehlt Thomas Uhlemann.

Besondere Fehlergruppen

Grundsätzlich sieht der Experte vier gravierende Fehlergruppen, die den Einsatz vom Internet der Dinge so problematisch macht:

  • Sicherheitsprobleme bereits im Design der IoT-Geräte
  • Fehlbedienungen oder Installationen durch den Menschen
  • Sicherheitstechnisch und datenschutzrechtlich fragwürdige Apps zur Bedienung
  • Ungewollte oder unbemerkte Datenübertragungen vom Device ins Internet

„Abgesehen von möglichen Sicherheitslecks werden viele IoT-Geräte in der Industrie im Laufe der Zeit zur Gefahr. Denn ihre Lebensdauer ist auf Jahre bzw. Jahrzehnte ausgelegt – und da passiert in puncto Sicherheit leider eine Menge. Insofern muss sich jedes Unternehmen gut überlegen, ob und wie es diese Geräte im aktiven Netzwerk mit dem Internet verbindet“, sagt der IT-Experte. Sein Lieblingsbeispiel ist dafür die vielfach verwendete Webcam. Diese wird zwar nicht im produktiven Großeinsatz genutzt, steht aber sinnbildlich für Geräte mit langer Einsatzdauer. Viele funken immer noch – vielleicht sogar vergessen – Live-Videos aus dem Unternehmen ins Internet. Mit einem Klick darauf gelangt man nicht selten auf die Admin-Oberfläche der Cams. Selbst wenn man sich nicht einloggen möchte, erfährt der Angreifer durchaus wertvolle Informationen: Wie etwa die öffentliche IP-Adresse oder ob und in welchem Netzwerksegment sich die Kamera befindet.

Vergessene Geräte sind Sicherheitsrisiko

Kurzum: Vergessene oder nicht inventarisierte Geräte bergen ein großes Sicherheitsrisiko. Dies passiert übrigens sehr oft, wenn Projekte abgebrochen oder Firmen verkauft werden. Dann tritt dieses Equipment in den Hintergrund und wird erst später zur tickenden Security-Bombe.

Das sollten Unternehmen im Umgang mit IoT-Geräten beachten:

  • Nutzen Sie Inventarisierungssoftware
  • Nutzen Sie Netzwerksegmente
  • Nutzen Sie sichere Zugänge
  • Sensoren, Aktoren und Co. sind genauso wichtig wie Server und PCs
  • Updates, Updates, Updates
  • Security ins Design
  • Nutzen Sie zusätzliche Schutzsoftware

Welche Gefahren ansonsten noch lauern, was Unternehmen beachten sollten und wie sie sich helfen können, beschreibt der Experte auch im Security-Blog.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Kurios: Malware-Entwickler verrät sich selbst durch Fehler

Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der ➡ Weiterlesen

NIS2-Richtlinie für die Cybersicherheit in der EU

Die Einführung der NIS2-Richtlinie der EU, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden soll, bringt ➡ Weiterlesen

Best-of-Breed für die Cybersicherheit

Geschichte wiederholt sich, auch im Bereich der Cybersicherheit. Es gibt Zyklen der Konsolidierung und der Modularisierung. Aktuell wird Konsolidierung wieder ➡ Weiterlesen

Webinar 17. September: NIS2 rechtskonform umsetzen

NIS2 Deep Dive: In einem kostenlosen, deutschsprachigem Webinar am 17. September ab 10 Uhr klärt ein Rechtsanwalt auf, wie Unternehmen ➡ Weiterlesen

Schwachstelle in der Google Cloud Platform (GCP)

Ein Unternehmen für Exposure Management, gibt bekannt, dass das Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert ➡ Weiterlesen

NIST-Standards zur Quantum-Sicherheit

Die Veröffentlichung der Post-Quantum-Standards durch das National Institute of Standards and Technology (NIST) markiert einen entscheidenden Fortschritt in der Absicherung ➡ Weiterlesen

NIS2-Richtlinie: Umsetzung mit Führungskräften kommunizieren

Ein kostenloses Whitepaper unterstützt CISOs dabei, die Sprache der Führungskräfte zu sprechen, um die Umsetzung der NIS2-Richtlinie im Unternehmen voranzubringen ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen