IoT als Problem für die Sicherheit

IoT als Problem für die Sicherheit

Beitrag teilen

Vernetzte IoT-Geräte bieten ein riesiges Potenzial für Innovationen – und können dennoch ein großes Problem für die IT darstellen: drei große Sicherheitsrisiken und Empfehlungen für konkrete Maßnahmen zur nachhaltigen Erhöhung der IoT-Sicherheit.

Der IoT-Markt wächst in vielen Bereichen dynamisch: von smarten Haushaltsgeräten über intelligente Gebäudesysteme bis hin zu sich selbst überwachenden Industrieanlagen. Die vernetzten Geräte bieten zahllose Vorteile, stellen aber auch eine große Angriffsfläche dar. Im Detail sollten Nutzer drei Sicherheitsgefahren, die das IoT mit sich bringt, immer im Blick haben: Hard-coded Credentials, die seltenen IoT-Firmware-Updates und die begrenzte IoT-Sichtbarkeit.

Hard-coded Credentials

Viele IoT-Geräte verwenden Standard-Credentials, die vom Hersteller fest codiert beziehungsweise eingebettet sind. Angreifer können diese Anmeldedaten nutzen, um auf Schwachstellen in der IoT-Systemsoftware und Firmware zuzugreifen und darüber auch in weitere Unternehmenssysteme einzudringen. Um diese Risiken zu minimieren, sollten Hard-coded-Passwörter durch starke individuelle Passwörter ersetzt werden und alle IoT-Credentials sowie Secrets immer in einem geschützten Tresor (Vault) gesichert und verwaltet werden. Zudem sollte der Zugriff auf jedes IoT-Gerät im Netzwerk konsistent gesteuert und auditiert werden.

IoT-Firmware-Updates

Bei vielen IoT-Implementierungen fehlen integrierte Funktionen für Software- und Firmware-Updates. Für Sicherheitsteams ist es so sehr schwierig, Schwachstellen rechtzeitig zu beheben; manchmal vergehen Jahre oder sogar Jahrzehnte ohne ein Update. Dies kann dazu führen, dass jedes IoT-Gerät – von Türschlössern in Hotels über lebensrettendes medizinisches Equipment bis hin zu kritischer Versorgungsinfrastruktur – anfällig für Angriffe ist. Eine der wirkungsvollsten Methoden, um solche Angriffe einzudämmen, ist die Beschränkung der Zugriffsmöglichkeiten von Geräten in einem Netzwerk. Bevor ein Zugang gewährt wird, sollte immer im Rahmen einer Identity-Security-Strategie die Identität überprüft, das Gerät validiert und der Zugriff auf das wirklich Benötigte begrenzt werden. Damit wird die mögliche Angriffsfläche reduziert, sodass ein großflächiger Schaden auf Unternehmensseite verhindert wird.

Eingeschränkte Sichtbarkeit

Ein großer Teil des IoT-Sicherheitsproblems liegt in der mangelnden Transparenz. Unternehmen haben Schwierigkeiten, alle in ihrem Netzwerk vorhandenen IoT- und OT-Geräte zu identifizieren, geschweige denn, sie über den gesamten Lebenszyklus hinweg effizient zu verwalten. Eine Automatisierungslösung kann hier die Arbeit erleichtern und für die dringend benötigte Sichtbarkeit sorgen, indem sie beispielsweise kontinuierlich nach neuen Geräten im Netzwerk sucht. Durch das automatische Ändern von Default Credentials, das Rotieren von Passwörtern und das Aktualisieren der Gerätefirmware können Sicherheitsteams wertvolle Zeit sparen und zugleich den Geräteschutz verbessern.

„IoT-Geräte bieten ein großes Potenzial für die Beschleunigung der digitalen Transformation. Aber ohne ein konsistentes Konzept für das Management der Geräte birgt das IoT erhebliche Cybersicherheitsrisiken“, betont Michael Kleist, Area Vice President DACH bei CyberArk. „Wichtig ist zunächst, dass Unternehmen alle IoT- und OT-Geräte kennen, die sich mit dem Netzwerk verbinden. Zudem müssen alle Anmeldedaten gesichert und verwaltet werden. Nicht zuletzt sollten Unternehmen auch die Fernzugriffe durch externe Anbieter für Firmware-Updates oder Wartungsmaßnahmen sichern – mit einem kontrollierten Zugriff auf Systeme und Geräte, sowohl für menschliche als auch für nicht-menschliche Nutzer.“

Mehr bei Cyberark.com

 


Über CyberArk

CyberArk ist das weltweit führende Unternehmen im Bereich Identity Security. Mit dem Privileged Access Management als Kernkomponente bietet CyberArk eine umfassende Sicherheit für jede – menschliche oder nicht-menschliche – Identität über Business-Applikationen, verteilte Arbeitsumgebungen, Hybrid-Cloud-Workloads und DevOps-Lifecycles hinweg. Weltweit führende Unternehmen setzen auf CyberArk bei der Sicherung ihrer kritischsten Daten, Infrastrukturen und Anwendungen. Rund ein Drittel der DAX-30- und 20 der Euro-Stoxx-50-Unternehmen nutzen die Lösungen von CyberArk.


 

Passende Artikel zum Thema

Robotik, KI oder Firmenwagen – wo Manager Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu ➡ Weiterlesen

Ohne Notfallplan ist der Datenverlust vorprogrammiert

In der Umfrage des Uptime Institute geben 60 Prozent der Unternehmen an, dass sie in den letzten drei Jahren einen ➡ Weiterlesen

Win 11 Copilot+ Recall: Microsoft baut auf Druck IT-Security ein

Kurz nachdem Microsoft Chef Satya Nadella Copilot+ Recall für Windows 11 vorgestellt hatte, haben Experten in Sachen IT-Security vernichtende Urteile ➡ Weiterlesen

CISOs unter Druck: Sollen Cyberrisiken herunterspielen

Die Studienergebnisse zum Umgang mit Cyberrisiken in Unternehmen haben es in sich. Die Trend Micro-Studie zeigt: Drei Viertel der deutschen ➡ Weiterlesen

APT-Gruppen: Viele Router als Teil riesiger Botnetze 

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und ➡ Weiterlesen

Microsofts Copilot+ Recall: Gefährliche Totalüberwachung?

Microsoft sieht es als Superservice, Security-Experten als Super-GAU: Microsofts Copilot+ Recall für Windows 11 zeichnet alle 5 Sekunden die Tätigkeiten ➡ Weiterlesen

Cyberversicherungen: Was hilft gegen steigende Kosten?

Cyberversicherungen sichern Unternehmen finanziell bei Cyberangriffen ab. Mit der Zunahme der Bedrohungslage erhöhen die Versicherungen die Kosten für Jahresprämien. Unternehmen, ➡ Weiterlesen

Ransomware: 97 Prozent der Betroffen sucht Rat bei Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass ➡ Weiterlesen