Weltweit sind Millionen von IoT-, OT- und IT-Geräten von gravierenden Schwachstellen in vernetzten Ökosystemen betroffen. Erfahren Sie, wie ein vernetztes Aquarium zum Einfallstor in die IT wird und was US-Forscher in ihrem jüngsten Projekt «Amnesia: 33» festgestellt haben. Besonders häufig handelt es sich um anfällige Anwendungen im Regierungsbereich und bei Medizingeräten. Dieser Befund zeigt: Es lohnt sich für Hersteller und Nutzer, frühzeitig in IoT Security zu investieren.
Es sind die Fische in einem Aquarium, die ein Loch in die digitale Abwehrmauer eines Casinos bohren – und Hackern die Tore öffnen. Was wie ein schlechter Cyber-Krimi klingt, hat sich so in einem Casino in Las Vegas zugetragen. Dort wurde die eigentlich gut gesicherte Finanzabteilung des Casinos gehackt. Schuld waren die Fische – oder besser gesagt, ein Aquarium mit Internet-Anschluss. Dieses befand sich im lokalen Netzwerk des Casinos. Das Aquarium verfügte über eine Anwendung, welche per Internetverbindung die Fische füttert und die Wasserqualität überprüft. Und genau dieses System enthielt nun eine Sicherheitslücke, durch welche die Cyber-Angreifer einstiegen.
Der Fall zeigt, wie rasch eine Sicherheitslücke in einem einzigen vernetzten Gerät die Sicherheit eines gesamten Netzwerks gefährden kann. Weltweit sind Millionen von Geräten in den Bereichen IoT, OT und IT betroffen, sagen Forscher der US-Amerikanischen Sicherheitsfirma Forescout. Unter dem Namen «Amnesia: 33» haben sie die 33 häufigsten Schwachstellen identifiziert.
Die Forscher untersuchten vor allem fehlerhafte Umsetzungen des technischen Internet-Protokolls TCP / IP in vernetzten Geräten. Sie kommen zum Schluss, dass global die Produkte von mindestens 150 Anbietern von Schwachstellen betroffen sind.
Häufig betroffene Geräte sind:
Die Sicherheitslücken treffen besonders sensible Bereiche, in denen die Datensicherheit oberste Priorität hat. Wie «Amnesia: 33» aufzeigt, zählen Behörden, die Medizintechnik, der Dienstleistungssektor und die herstellende Industrie die höchste Anzahl potenziell gefährdeter Geräte. Die IoT-Risiken sind beträchtlich: Kommt es dort zu Schwachstellen, haben Angreifer ein Eintrittstor und somit der Angriffsvektor gefunden um Daten zu manipulieren und zu stehlen, Systeme zu überlasten oder die Kontrolle über betroffene Geräte zu übernehmen.
Sicherheitslücken bei IoT Devices und IoT-Plattformen sind ideale Einfallstore für Cyber-Kriminelle, um an die IT-Infrastrukturen von Unternehmen oder Produktionsanlagen zu gelangen.
Die jüngste Untersuchung zeigt die verwundbarsten Stellen von Netzwerkgeräten – insbesondere auch, wo IoT-Gefahren lauern. Und sie weckt Erinnerungen an die Sicherheitslücke «Ripple20», die vergangenen Sommer aufzeigte, dass Sicherheitsrisiken im «Internet der Dinge» nicht nur einzelne herstellerspezifische Geräte betreffen, sondern sehr viel allgemeiner und weitverbreitet sind.
Vor diesem Hintergrund stellt sich die Frage als Betreiber sowie als Hersteller: Kenne ich alle meine Geräte, welche von der Schwachstelle betroffen sind? Gibt es überhaupt Update-Möglichkeiten oder Ersatz? Werden oder wurden die Geräte aktualisiert?
Vor dem Hintergrund dieser Probleme ist es für Hersteller und Betreiber wichtig, von Anfang an in die Sicherheit zu investieren, um ihre IoT-Anwendungen gegen Cyber-Attacken zu schützen, Produkte periodisch auf Schwachstellen zu prüfen und Methoden einzubauen, welche eine sicheres Update erlauben. Experten der CyOne Security unterstützen Hersteller und Betreiber von IoT-Anwendungen mit umfassenden Lösungen für Product Cyber Security. Zudem bieten sie projektbezogen und bedarfsgerecht Unterstützung bei der Kompetenz-Erweiterung im Bereich IoT Security. Damit sparen Unternehmen Zeit und können sich auf ihr Kerngeschäft fokussieren.
Was lohnt sich für Ihr Unternehmen, wenn es um das Design und die Implementierung der Sicherheit in Ihrem IoT-Produkt geht? Der Erfolgsplan mit Checkliste «IoT Security – Make or Buy» hilft Ihnen, die richtige Entscheidung zu treffen.
Für Hersteller und Nutzer werden sogenannte «Security by Design»-Architekturen entwickelt – Lösungen für Hard- und Software, die sichere Updates ermöglichen, auditierbare Prozesse abbilden und eine starke Trennung von einzelnen Komponenten im Hard- und Softwarebereich gewährleisten. Damit lassen sich zum Beispiel die Kommunikation zwischen Komponenten sicher steuern oder regulierte Prozesse innerhalb der Supply Chain mit Bezug zur Safety untereinander trennen und dadurch einfacher managen.
Ivo Steiner
Sales Manager IoT Security
«Wir teilen mit Ihnen unser Expertenwissen und zeigen Ihnen auf, welche Erfolgsfaktoren vom Design über die Entwicklung bis hin zur Implementation Ihrer IoT-Anwendung zentral sind, um höchstmögliche und nachhaltige IoT Security zu erreichen.»