Die kürzlich entdeckten IoT-Sicherheitslücken, zusammenfassend „Ripple20“ genannt, die Millionen Geräte weltweit betreffen, beweisen eindrucksvoll: Viele IoT-Hersteller und -Geräte haben noch nicht die nötige Reife erreicht, um als sicher und stabil zu gelten. 98 Prozent dieser Systeme sind beispielsweise noch nicht ausreichend auf verschlüsselte Kommunikation ausgelegt.[1]

Nachfolgend stellen wir Ihnen drei grundsätzliche Herangehensweisen vor, die Sie dabei unterstützen, für die Sicherheit und Stabilität Ihrer Unternehmensumgebung vorzusorgen:

Tipp1: Best Security Practices mit den 20 CIS-Controls

Das Center for Internet Security (CIS) pflegt eine Liste mit 20 ständig weiterentwickelten, praktisch orientierten Richtlinien und Maßnahmen.[2] Damit soll die gesamte IT- und Betriebssicherheit nachhaltig verbessert werden. Zusätzliche Empfehlungen für eine sichere Grundkonfiguration einer ausgereiften Prozesslandschaft sehen z.B. die lückenlose Erfassung aller vorhandenen IoT- und OT-Systeme im Unternehmen vor:

• Vollständiges Inventar über alle vorhandenen Systeme
• Vollständiges Inventar über die verwendete Software auf den Systemen
• Regelmäßiges, automatisiertes Schwachstellenmanagement über den eingesetzten Bestand

Kein System soll im Unternehmen unentdeckt oder unerkannt bleiben. Nur aktives Management des vollständigen Bestandes ermöglicht es, rechtzeitig potenzielle Sicherheitsprobleme zu erkennen und dementsprechend zu handeln. Das Erfassen aller eingesetzten IoT/OT-Systeme ist eine Herausforderung, die sich lohnt!

Tipp2: Richtlinien für Beschaffung und Zulieferung einfordern

Oft sind unsichere Systeme schlicht deshalb in Verwendung, weil bei der Beschaffung keine entsprechenden Standards festgelegt und eingefordert wurden. Bei den recht jungen IoT-Systemen fehlt es noch an eindeutigen und einheitlichen Richtlinien. Daher obliegt es den Unternehmen selbst, für die Umsetzung von Mindeststandards zu sorgen. Ein erster Schritt ist es, inzwischen gut bekannte Schwachstellen zu vermeiden und die Hersteller bzw. Zulieferer auf die Erfüllung einiger Best-Practices zu verpflichten.

Die zehn wichtigsten Anforderungen sind der OWASP (Open Web Application Security Project) IoT Top 10 zusammengefasst.[3] Nummer 1 dieser Liste: Es sollen keine schwachen oder auch Standard-Passwörter verwendet werden! Viele Angriffe und Zwischenfälle hätten dadurch im Keim erstickt werden können, z.B. das Mirai-Botnet.[4] Noch sind diese Maßnahmen nicht selbstverständlich und dürfen daher in keinem Auftrag oder Pflichtenheft fehlen.

Tipp3: Kommunikation auf IoT-/OT-Systeme aktiv überwachen

Was tun, wenn die beiden ersten Tipps mit den vorhandenen Ressourcen nicht zeitgerecht umgesetzt werden können oder Erfahrungen fehlen? Oft ist es nachträglich auch zu aufwändig, bestehende Landschaften detailliert zu erfassen. Allein schon das Erkennen verschiedener Aktoren und Sensoren von Nischenherstellern anhand der Netzwerkkommunikation ist eine immense Aufgabe. Die nächste Herausforderung liegt darin, die Meldungen und Gefahren für sämtliche Systeme zu beobachten und zuzuordnen. Zusatzsysteme und Services, die speziell auf IoT-/OT-Gefahren zugeschnitten wurden, schaffen Abhilfe. Damit wird ein Großteil der Schritte automatisiert und optimiert – oft der einzig gangbare Weg, um auf neue Schwachstellen wie z.B. die Ripple20-Bugs rasch reagieren zu können.

IKARUS managed.defense vereint die Stärken von Nozomi Networks, FireEye und IKARUS in einer modularen Sicherheitsplattform. Erfassen und überwachen Sie Operational Technologies und Industrial Control Systems – und darüber hinaus Endpoints, Netzwerke und E-Mail Gateways. Sie gewinnen tiefe Systemkenntnis, mehr Visibilität, frühzeitige Gefahrenerkennung sowie schnelle Reaktionsfähigkeit. Sämtliche notwendige Technologien der Partnerunternehmen FireEye und NOZOMI Networks sind im IKARUS Rechenzentrum in Wien integriert, Daten werden nach EU-DSGVO verarbeitet.

Linktipps:

IKARUS und Nozomi

IKARUS und FireEye

[1] https://threatpost.com/half-iot-devices-vulnerable-severe-attacks/153609/

[2] https://www.cisecurity.org/controls/cis-controls-list/

[3] https://sectigostore.com/blog/owasp-iot-top-10-iot-vulnerabilities/

[4] https://www.cloudflare.com/de-de/learning/ddos/glossary/mirai-botnet/