IoT als Problem für die Sicherheit

IoT als Problem für die Sicherheit

Beitrag teilen

Vernetzte IoT-Geräte bieten ein riesiges Potenzial für Innovationen – und können dennoch ein großes Problem für die IT darstellen: drei große Sicherheitsrisiken und Empfehlungen für konkrete Maßnahmen zur nachhaltigen Erhöhung der IoT-Sicherheit.

Der IoT-Markt wächst in vielen Bereichen dynamisch: von smarten Haushaltsgeräten über intelligente Gebäudesysteme bis hin zu sich selbst überwachenden Industrieanlagen. Die vernetzten Geräte bieten zahllose Vorteile, stellen aber auch eine große Angriffsfläche dar. Im Detail sollten Nutzer drei Sicherheitsgefahren, die das IoT mit sich bringt, immer im Blick haben: Hard-coded Credentials, die seltenen IoT-Firmware-Updates und die begrenzte IoT-Sichtbarkeit.

Hard-coded Credentials

Viele IoT-Geräte verwenden Standard-Credentials, die vom Hersteller fest codiert beziehungsweise eingebettet sind. Angreifer können diese Anmeldedaten nutzen, um auf Schwachstellen in der IoT-Systemsoftware und Firmware zuzugreifen und darüber auch in weitere Unternehmenssysteme einzudringen. Um diese Risiken zu minimieren, sollten Hard-coded-Passwörter durch starke individuelle Passwörter ersetzt werden und alle IoT-Credentials sowie Secrets immer in einem geschützten Tresor (Vault) gesichert und verwaltet werden. Zudem sollte der Zugriff auf jedes IoT-Gerät im Netzwerk konsistent gesteuert und auditiert werden.

IoT-Firmware-Updates

Bei vielen IoT-Implementierungen fehlen integrierte Funktionen für Software- und Firmware-Updates. Für Sicherheitsteams ist es so sehr schwierig, Schwachstellen rechtzeitig zu beheben; manchmal vergehen Jahre oder sogar Jahrzehnte ohne ein Update. Dies kann dazu führen, dass jedes IoT-Gerät – von Türschlössern in Hotels über lebensrettendes medizinisches Equipment bis hin zu kritischer Versorgungsinfrastruktur – anfällig für Angriffe ist. Eine der wirkungsvollsten Methoden, um solche Angriffe einzudämmen, ist die Beschränkung der Zugriffsmöglichkeiten von Geräten in einem Netzwerk. Bevor ein Zugang gewährt wird, sollte immer im Rahmen einer Identity-Security-Strategie die Identität überprüft, das Gerät validiert und der Zugriff auf das wirklich Benötigte begrenzt werden. Damit wird die mögliche Angriffsfläche reduziert, sodass ein großflächiger Schaden auf Unternehmensseite verhindert wird.

Eingeschränkte Sichtbarkeit

Ein großer Teil des IoT-Sicherheitsproblems liegt in der mangelnden Transparenz. Unternehmen haben Schwierigkeiten, alle in ihrem Netzwerk vorhandenen IoT- und OT-Geräte zu identifizieren, geschweige denn, sie über den gesamten Lebenszyklus hinweg effizient zu verwalten. Eine Automatisierungslösung kann hier die Arbeit erleichtern und für die dringend benötigte Sichtbarkeit sorgen, indem sie beispielsweise kontinuierlich nach neuen Geräten im Netzwerk sucht. Durch das automatische Ändern von Default Credentials, das Rotieren von Passwörtern und das Aktualisieren der Gerätefirmware können Sicherheitsteams wertvolle Zeit sparen und zugleich den Geräteschutz verbessern.

„IoT-Geräte bieten ein großes Potenzial für die Beschleunigung der digitalen Transformation. Aber ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken“, betont Michael Kleist, Area Vice President DACH bei CyberArk. „Wichtig ist zunächst, dass Unternehmen alle IoT- und OT-Geräte kennen, die sich mit dem Netzwerk verbinden. Zudem müssen alle Anmeldedaten gesichert und verwaltet werden. Nicht zuletzt sollten Unternehmen auch die Fernzugriffe durch externe Anbieter für Firmware-Updates oder Wartungsmaßnahmen sichern – mit einem kontrollierten Zugriff auf Systeme und Geräte, sowohl für menschliche als auch für nicht-menschliche Nutzer.“

Mehr bei Cyberark.com

 


Über CyberArk

CyberArk ist das weltweit führende Unternehmen im Bereich Identity Security. Mit dem Privileged Access Management als Kernkomponente bietet CyberArk eine umfassende Sicherheit für jede – menschliche oder nicht-menschliche – Identität über Business-Applikationen, verteilte Arbeitsumgebungen, Hybrid-Cloud-Workloads und DevOps-Lifecycles hinweg. Weltweit führende Unternehmen setzen auf CyberArk bei der Sicherung ihrer kritischsten Daten, Infrastrukturen und Anwendungen. Rund ein Drittel der DAX-30- und 20 der Euro-Stoxx-50-Unternehmen nutzen die Lösungen von CyberArk.


 

Passende Artikel zum Thema

Risikomanagement App für Microsoft 365

Die Risikomanagement App Cockpit ist eine fertige Plug & Play-Lösung, die über Desktop oder Smartphone bedient werden kann. Sie identifiziert, ➡ Weiterlesen

1 Mill. Euro Preisgelder für 58 Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Proaktiv: Investitionen in IT-Sicherheit als Geschäftsstrategie

IT-Sicherheit ist nicht nur eine Investition, die den Schutz der Unternehmenswerte gewährleistet. Sie schafft auch einen erheblichen Mehrwert für Kunden ➡ Weiterlesen

Höchste Verschlüsselung mit Quantencomputer geknackt?

Die aktuell höchste Verschlüsselung ist der RSA-2048-Schlüssel. Diesen will nun der Forscher Ed Gerck Ph.D, Physiker und Mathematiker, mit einem ➡ Weiterlesen

Passende Datensicherheit in der Industrie

Datensicherheit und Backups für Unternehmen sind theoretisch einfach zu gewährleisten, aber wie funktioniert das in Wirklichkeit? Die aktuelle Fallstudie zeigt ➡ Weiterlesen

Cyber-Resilienz: Trotz Angst vor Angriffen ungenügend vorbereitet

In einer Studie haben sich Führungskräfte aus den Bereichen Sicherheit und IT-Betrieb zur Cyber-Resilienz in ihrem Unternehmen geäußert. Die Mehrzahl ➡ Weiterlesen

Hacken lernen, um Angriffe zu verhindern

"Ethische Hacker" hacken sich in Unternehmensnetzwerke, um Sicherheitslücken zu identifizieren bevor Angreifer sie finden. In einem Kurs lässt sich das ➡ Weiterlesen