Mit dem Internet kam die Vernetzung der Server und später die der Clients. So konnte man endlich von einem Computer zum anderen kommunizieren. Natürlich kamen schon bald die ersten Viren und Malware auf, aber im Grossen und Ganzen fühlte man sich trotz der Vernetzung meistens sicher. In der Anfangsphase halfen Firewalls und Virenscanner sich zu schützen und später kamen IDS und IPS Systeme dazu. Aber das Internet wuchs rasant weiter und immer mehr Geräte kamen hinzu und damit nicht nur Server, PCs und Notebooks, sondern ganz viele andere – meist unscheinbare – Geräte, die auch mit dem Internet verbunden sind.
Welche Geräte gibt es denn so, die mit dem Internet verbunden sind?
Hier eine unvollständige Liste:
-
- Smart-TVs
- Multimedia-Anlagen
- Smarte Lautsprecher
- intelligente Lichtschalter
- IP-Kamera
- Kühlschränke
- Mikrowellengeräte
- Smarte Backöfen
- Smarte Uhren
-
- Activity Tracker
- Smartphones
- elektrische Zahnbürsten
- Smarte Rasierapparate
- WLAN Router
- Switches
- Drucker
Die Liste mit intelligenten, smarten IoT-Geräten könnte man endlos weiterführen. Ich verweise hier noch auf die skurrilen und lustigen IoT Devices:
-
- der smarte Kinderwagen
- die smarte Weinflasche
- die Hightech-Unterhose
- die smarte Zahnseide
www.kickstarter.com/projects/flosstime/flosstime-worlds-first-smart-floss-dispenser
Nachzulesen hier: www.industry-of-things.de/die-lustigsten-sinnlosesten-iot-devices-der-welt-a-689525/
Kurz zusammengefasst handelt es sich beim Internet of Thins (IoT) um einen Sammelbegriff für jegliche Technologien und Geräte, die mit dem Internet verbunden sind. An und für sich eine tolle Sache. Aber wie immer haben die Programmierer und die Anbieter von IoT Geräte die Security verdrängt oder vergessen zu implementieren. Möglichst rasch und kostengünstig ein Gerät auf den Markt zu bringen war und ist ihnen viel wichtiger.
Aber wo liegt denn nun das Problem mit den IoT Geräten?
Aus meiner persönlichen Sicht sind es meist coole Funktionen oder Lösungen, welche durch den Einsatz von IoT Geräten entstehen, die einem das Leben erleichtern. Aber sobald sie irgendwo installiert sind, geraten diese freundlichen Helfer rasch in Vergessenheit.
Für die Hersteller ist der Verkauf der Geräte interessant, aber die Wartung bzw. die Sicherheit ist zweitrangig. So passiert es, dass man sich nicht mehr um Updates oder Patches für diese Geräte kümmert, da es ja gar keine dafür gibt.
Spezielle IoT Suchmaschinen wie Shodan.io liefern dann interessante Einblicke in Schwachstellen und ungepatchte Systeme, welche vielleicht noch mit dem Default Username/Passwort konfiguriert sind.
Im Unternehmensumfeld sind solche Geräte noch viel kritischer, da sie potenzielle Einfallstore für Hacker sein könnten.
Ich stelle mir ein Hacker-Szenario wie folgt vor:
-
- Der IoT Hersteller hat massenweise IoT Geräte verkauft.
- Updates holt sich das IoT Device selbständig und regelmässig aus der Cloud.
- Der Hersteller wird übernommen oder geht Konkurs.
- Jemand erwirbt die URL für die Cloud Updates und stellt einen neuen Update-Server auf.
- Das IoT Gerät holt sich weiterhin die «neuesten» Updates.
- Plötzlich passieren «komische» Dinge im Netzwerk und niemand weiss warum…
Das IoT Geräte wird als «Sprungbrett» ins Firmennetzwerk verwendet und kann für East-West-Attacken missbraucht werden. Ohne spezifische Sicherheits-Massnahmen ist man so dem Angreifer ausgeliefert.
Wie kann man sich hier schützen?
Hier meine Tipps:
-
- Segmentierung der Netzwerke, sprich die IoT Geräte in ein spezifisches VLAN Segment konfigurieren und nur dedizierte und notwendige Zugriffe auf der Firewall ermöglichen.
- Möglichst IoT Geräte beschaffen, die auch langfristig gewartet werden können, bzw. auch Updates erhalten.
- Default-Passwörter ändern.
- Täglich/wöchentlich (automatisch) ein Inventar erstellen und ältere, bzw. unbenutzte Geräte regelmässig überprüfen/patchen oder erneuern/austauschen.
- Ein Schwachstellenscanner (z.B. Tenable) verwenden.
- Ein NDR (Network Detection and Response)-System (z.B. Vectra) einsetzen.
Im Internet findet man auch ganz viele Hinweise, aber wichtig ist es, etwas für die Sicherheit der IoT Geräte zu machen, denn sonst gibt’s ein böses Erwachen.
Weitere Informationen zur Absicherung von IoT oder OT Geräten findet man hier:
Massnahmen zum Schutz von IOT Geräten:
www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/massnahmen-schutz-iot.html
Massnahmen zum Schutz von ICS:
www.ncsc.admin.ch/ncsc/de/home/infos-fuer/infos-it-spezialisten/themen/massnahmen-schutz-ics.html
AVANTEC IoT-Security Lösungen:
Am besten für die Devices ein eigenes VLAN einrichten. Da die Devices meistens nur über Wifi verbunden sind, eine eigene SSID dafür verwenden. Mit der richtigen Lösung kann im Wifi dann auch eine Mikro-Segmentierung eingerichtet werden. Z.B. mit Fortinet ist dies problemlos möglich. Einfach auf der SSID die Option „Block intra-SSID traffic“ aktivieren. Die Geräte hängen dann alle im gleichen Wifi-Netz (VLAN) können aber nicht miteinander oder anderen VLANs kommunizieren.