Es werden jeden Tag neue IoT-Geschäftsanwendungen entwickelt, die vernetzte Geräte und Sensoren nutzen, um alle Arten von Prozessen und Umgebungen effizienter oder intelligenter zu überwachen und zu steuern. Viele Unternehmen verlassen sich heute auf IoT-Lösungen, um ihre Räumlichkeiten intelligent zu verwalten. Dabei werden Sensoren eingesetzt, die alles – von der Temperatur und der Luftfeuchtigkeit bis hin zur Anzahl und dem Fluss von Personen und Gütern wie Autos – erfassen.
Doch so praktisch IoT-Lösungen auch sein mögen, sie bergen auch neue Sicherheitsrisiken. Es gibt nicht nur immer mehr Geräte, sondern diese sind auch zunehmend dem Risiko eines konkreten physischen Zugriffs ausgesetzt. Dies bedeutet, dass die Grenze zwischen virtueller und physischer Sicherheit verschwindet. Um diese Risiken bestmöglich zu bewältigen, müssen wir traditionelles Sicherheitsmanagement und Überwachung durch innovative Ansätze zur Prävention, Erkennung von Anomalien und automatische Reaktion verstärken und erweitern.
Erneuter Schwerpunkt auf der Prävention
Bei vielen IoT-Anwendungen sind Geräte wie z. B. Sensoren in großer Zahl an einem Standort konzentriert und bieten so ein Einfallstor für Hacker. Nehmen wir das Beispiel der Echtzeit-Überwachung der Bürobelegung, bei der Sensoren die Anzahl und den Fluss der Personen in jedem Raum messen und diese Daten über das lokale Wifi-Netzwerk zur Verarbeitung an eine zentrale Plattform weiterleiten. Durch das Ausnutzen einer Schwachstelle in einem einzelnen Sensor könnte ein Angreifer Zugriff auf das Wifi-Netzwerk erhalten, um an sensible Unternehmensdaten zu gelangen oder den Sensor für eigene Zwecke zu missbrauchen.
Da identische IoT-Geräte dieselbe Firmware verwenden können, könnte ein Hacker, wenn er sich Zugang zu einem Gerät verschafft, außerdem auf Daten von Hunderten, Tausenden oder sogar Millionen von Geräten zugreifen, indem er deren gemeinsame Sicherheitslücke ausnutzt. Auch wenn mit einem einzigen Gerät nicht viel Schaden angerichtet werden kann, können Hacker durch die Nutzung von Millionen von Geräten beispielsweise extrem leistungsfähige Botnetze aufbauen, um groß angelegte DDoS-Angriffe durchzuführen. Das Risiko dieser Art von Angriffen kann jedoch durch standardmäßige Präventivmaßnahmen wie eine sorgfältige Überprüfung neuer Geräte vor deren Inbetriebnahme, die Aktualisierung der Firmware und regelmäßige Sicherheitsprüfungen minimiert werden. Im Idealfall werden diese Maßnahmen als Teil eines automatisierten Prozesses durchgeführt, damit die große Anzahl von Geräten effizient verwaltet werden kann.
Übergang von der Geräteüberwachung zur Anomalie-Erkennung
Die Sicherheitsrisiken der IoT-Infrastruktur beschränken sich nicht auf kompromittierte Hardware, sondern können auch den Kommunikationspfad der Daten vom Gerät zum Backend betreffen, d. h. die Datenbank selbst, in der alle IoT-Daten gespeichert sind, sowie die Darstellungsschicht, d. h. die Benutzeroberfläche. Es ist klar, dass eine genaue Sicherheitsüberwachung erforderlich ist, aber angesichts der begrenzten Möglichkeiten von IoT-Geräten ist die Standardmethode in Form der Überwachung von CPU, Speichernutzung und spezifischen Prozessen nicht mehr praktikabel. Wenn es um das Internet der Dinge geht, ist es wichtig, einen umfassenden und kontextbezogenen Überblick über das gesamte Netzwerk zu haben, und hier können Lösungen zur Erkennung von Anomalien dabei helfen, Sicherheitsrisiken überall genau im Auge zu behalten.
Was bedeutet das? Anstatt einzelne Geräte zu überwachen, können Technologien zur Erkennung von Anomalien Probleme identifizieren, indem sie maschinelles Lernen oder Deep Learning mit fortschrittlicher Datenklassifizierung nutzen, um Veränderungen im Verhalten der Elemente innerhalb der IoT-Umgebung zu erkennen. Es geht darum, seltene oder verdächtige Ereignisse zu identifizieren, die von den meisten oder den erwarteten Ereignissen abweichen. Wenn z. B. ein Sensor normalerweise alle zehn Sekunden Daten an das Backend sendet, dieses Muster aber unverhofft ändert, oder wenn ein intelligentes Heizungsventil plötzlich eine Verbindung zu einem E-Mail-Server herstellt, könnte dies auf Hackeraktivitäten hindeuten. Das Gleiche gilt für die Backend-Überwachung. Wenn die Menge der eingehenden Daten plötzlich schwankt, könnte dies entweder bedeuten, dass ein außergewöhnliches Ereignis eingetreten ist oder dass gerade böswillige Aktivitäten durchgeführt werden. Durch die bloße Überwachung von Protokollen ohne Verständnis des zugrundeliegenden Verhaltens wäre es unmöglich, solche Aktivitäten zu erkennen.
Schnelle Reaktion und Eindämmung durch Automatisierung
Sobald eine Anomalie entdeckt und als verdächtig eingestuft wurde, sind eine schnelle Analyse und Reaktion erforderlich, um sicherzustellen, dass die Sicherheitsverletzung wirksam eingedämmt wird. An dieser Stelle wird Automatisierung unverzichtbar, da es den Sicherheitsteams nicht möglich ist, Tausende oder Millionen von Geräten und Indikatoren für eine Gefährdung gleichzeitig manuell zu prüfen. Die Herausforderung besteht darin, sofort zu erfassen und zu erkennen, welche Informationen im gegebenen Kontext relevant sind, um bestmöglich zu reagieren und die Auswirkungen eines Angriffs auf ein Minimum zu beschränken. SOAR-Lösungen (Security Orchestration, Automation and Response) können die technische Basis für solche Aufgaben bieten.
Im jeweiligen Kontext muss eine SOAR-Lösung zwei Funktionen erfüllen. Zunächst muss sie alle relevanten Informationen sammeln, damit der Sicherheitsanalytiker sich ein Bild von der Situation machen kann, oder damit sie selbst automatisch eine Reaktion einleiten kann. Zweitens muss sie nahtlos mit den wichtigsten Sicherheitstechnologien des Unternehmens interagieren, z. B. dem SIEM-System (Security Incident and Event Management), Firewalls und Infrastrukturelementen wie Switches oder Routern. Ziel ist es, beispielsweise ein einzelnes Gerät schnell unter Quarantäne zu stellen, das Netzwerk automatisch neu zu konfigurieren, um zu verhindern, dass sich ein Angreifer seitlich durch das Unternehmen bewegt, und alle Beteiligten über das Problem zu informieren.
Nutzung der Vorteile neuer IoT-Lösungen durch ein solides Sicherheitskonzept
Obwohl IoT-Lösungen eine weitere Komplexitätsebene für das Security Operations Center und das Computer Security Incident Response Team darstellen, können Sie den Herausforderungen, die das IoT mit sich bringt, mit größerer Zuversicht begegnen und sich auf die leistungsstarken neuen Vorteile und Annehmlichkeiten konzentrieren, die diese neue Technologie bietet. Dazu muss jedoch sichergestellt werden, dass beide Teams ihr Instrumentarium und ihre Abläufe auf diesen dreistufigen Ansatz abgestimmt haben.
