IIoT, Mobilgeräte und Cloud Security im Mittelpunkt der RSAC 2017

Die RSA Conference (RSAC) ist immer ein wichtiges Highlight im Kalender von IT-Sicherheitsexperten und die diesjährige Show war da keine Ausnahme. In diesem Blog-Artikel gibt NCP engineering einen Überblick über einige der herausragenden Trends bei Machine-to-Machine (M2M), Mobile Clients und Cloud-Sicherheit im Unternehmensbereich, die Themen auf der RSAC 2017 waren. Für NCP war die Veranstaltung ein doppelter Erfolg. Unsere starke Erfolgsbilanz in der Zusammenarbeit mit US-Technologiepartnern bedeutet, das NCP bei amerikanischen Kunden und Interessenten sehr bekannt ist. Gleichzeitig bedeutet unsere Erfahrung in der Verwirklichung von Projekten in den Bereichen Industrial Internet of Things (IIoT) und Industrie 4.0 in Deutschland, dass wir jede Menge Wissen und Fachkompetenz mit potentiellen Kunden in diesem Sicherheitssegment teilen konnten – einem Segment, das in den Vereinigten Staaten noch in seinen Anfängen steckt.

Todo-Liste heute: Bitte endlich Fernzugänge sicher machen

Jedes IT-Gerät hat irgendeine Form des Managementzugangs. Heute wird dafür in der Regel der Web-Browser oder eine App verwendet. Solange der Zugang nur aus dem heimischen Netz erfolgt ist das auch kein Problem. Doch leider sind viele Geräte, vor allem Router und – ganz neu – Smart Home-Gateways, auch aus dem Internet erreichbar. Und damit fangen die Probleme an. Genau genommen haben sie nie aufgehört. Ein offener Remote-Zugang gehört zu den größten (leider unvermeidlichen) Bedrohungen, die ein IT-Gerät haben kann. Wer das Admin-Interface übernehmen kann, kontrolliert das Gerät und in der Regel wird es der Besitzer nicht merken. Im Internet sichtbare Geräte werden konstant gescannt und auf Schwachstellen abgeklopft. Darum sollte ein solcher Zugang behandelt werden wie das digitale Äquivalent einer geladenen Schusswaffe. Man kann so etwas benutzen, aber man muss genau wissen was man tut und jede nur erdenkliche Vorsichtmaßnahme treffen. Dabei ist es ganz egal, ob der Router oder das Gateway nichts Wichtigeres mit dem Internet verbindet, als einen alten Laptop und einen Tintenstrahldrucker. Für eine DDoS-Attacke und Ransomware-Erpresser sind auch solche Komponenten brauchbar.

Der Schlüssel zur Vermeidung von Cyberangriffen auf IIoT-Systeme: Vorsicht beim Verbindungsaufbau

Energieanlagen und Produktionsstätten sind von jeher vorrangige Angriffsziele, wenn es darum geht, einem Feind einen katastrophalen Verlust zuzufügen beziehungsweise ihm einen psychologischen Schlag zu versetzen. Heutzutage können erfolgreiche Angriffe gegen wichtige Infrastrukturen über das Internet gestartet werden. Im Jahr 2015 verursachte ein Cyberangriff auf ein Kraftwerk in der Ukraine einen Stromausfall, von dem 225.000 Kunden betroffen waren. Weltweit wurde dieser Vorfall zur Kenntnis genommen. In den USA hat das Department of Homeland Security (DHS) Bedenken wegen der steigenden Anzahl von Cyberangriffen auf industrielle Steuernetzwerke geäußert. Als Reaktion darauf wurden kürzlich Leitlinien veröffentlicht, um „Sicherheit zu einem strategischen Schwerpunkt zu machen und die Rahmenbedingungen für das Vertrauen zu verbessern, auf dem das IoT-System basiert.“ Das Dokument fordert einen kombinierten Ansatz. Eine durchdachte Vernetzung sowie Defense-In-Depth gehören zu den erörterten Maßnahmen. Verwaltete VPN-Verbindungen (Virtual Private Network) und Zwei-Faktor-Authentisierung können zur Absicherung wichtiger Verbindungen beitragen und für den notwendigen, umfangreichen Schutz des IIoT-Datenverkehrs sorgen.

Das IoT-Gateway von nebenan

Produkte für das Internet der Dinge sind klein, vernetzt und leider fast immer kaum oder gar nicht abgesichert. Manchmal liegt es am fehlenden Willen der Hersteller, manchmal aber auch schlicht in der Natur des Dings – klein und leicht bedeutet eben auch, dass es wenig Ressourcen für aufwändige Sicherheitsfunktionen wie Verschlüsselung oder Packet-Inspection gibt. Das führt zu Schwachstellen, zahlreichen Angriffsvektoren und im Endeffekt zu einem für fast jeden zugänglichen Bot-Zombie. Nach den letzten groß angelegten Angriffen, die vor allem IoT-Geräte als digitale Armee nutzen, werden die ersten Rufe laut, die mehr Gesetzgebung und staatlichen Vorgaben wünschen. Bei einer Anhörung vor dem Ausschuss für Energie und Handel des US-Repräsentantenhaus sagte etwa der Sicherheitsguru Bruce Schneier, dass durch die zunehmende Verbreitung unsicherer Technik im Internet „katastrophale Risiken“ entstünden.

Data-In-Motion: Schutz für virtuelle Welten voller Daten in Bewegung

IT-Abteilungen in Unternehmen plagen sich mit dem Management all der Daten, die sich mittlerweile in der Cloud befinden. Immer mehr Daten fließen ununterbrochen zwischen physischen Mobilgeräten sowie Geräten des Industrial Internet of Things (IIoT) und den virtuellen Datenspeichern in der Cloud hin und her.
Laut Aussage des Unternehmens Cisco befinden sich im Jahr 2017 69 % aller Applikationen in der Cloud.
Ein Blick auf die vom Ponemon Institute im Jahr 2016 durchgeführte Studie zur Sicherheit von Cloud-Daten mit dem Titel „The 2016 Global Cloud Data Security Study“ zeigt, dass Unternehmen immer noch viel zu tun haben, was die Datensicherheit angeht.
Der Studie zufolge finden knapp die Hälfte (49 %) der im Unternehmen genutzten Cloud-Dienste außerhalb des Bereichs der Unternehmens-IT statt. Hingegen werden rund 47 % der in Cloud-Umgebungen gespeicherten Unternehmensdaten nicht von der IT-Abteilung verwaltet.

BSI gibt Hilfestellung für das Internet der Dinge

Langsam wird zumindest den Fachleuten bewusst, was ungesicherte IoT-Geräte anrichten können. Die jüngsten Angriffe auf öffentlichkeitswirksame Ziele, bei denen Kameras und Router missbraucht wurden, haben vielerorts für Aufmerksamkeit gesorgt. Einige Sicherheitsprobleme werden sich erst abstellen lassen, wenn die Hersteller ihren Teil leisten und generell mehr Sicherheit in Systeme einbauen. Doch viele Angriffsvektoren könnten schon durch vernünftige Vorsichtmaßnahmen abgestellt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) trägt ganz aktuell seinen Teil mit einem neuen Baustein für IoT-Geräte bei. Ziel des hersteller- und funktionsneutral gehaltenen Dokuments ist es, IoT-Geräte so abzusichern, dass über diese weder die Sicherheit der Informationen und IT der eigenen Institution noch die von Außenstehenden beeinträchtigt wird. Daher sollte sowohl ein unautorisierter Datenabfluss als auch die Manipulation der Geräte verhindert werden, speziell mit Blick auf Angriffe auf Dritte.