Begrenztes Risiko: IAM für das Internet der Dinge

https://pixabay.com/de/

Wir geben Nutzern nicht einfach ihre Anmeldedaten und erlauben ihnen dann unbegrenzten Zugang zum Netzwerk – wieso sollten wir nicht die gleichen Regeln auf vernetzte Geräte anwenden?

 

Ich möchte Sie bitten, sich folgendes Szenario vorzustellen. In einem Nebenraum eines nordamerikanischen Kasinos beschäftigt sich die schnelle Eingreiftruppe der Cybersicherheitsabteilung mit einem Alarm. Demzufolge arbeite irgendwo auf dem Boden des betreffenden Kasinos ein Hacker an einem Angriff. Schnell bemerken die Fachleute, dass der Hack offensichtlich just in diesem Augenblick stattfindet, und alarmieren ihrerseits den Sicherheitsdienst des Kasinos. Man darf sich filmreif vorstellen wie die Teams Alpha, Bravo und Charlie von verschiedenen Seiten an den Ort des Geschehens stürmen um die Quelle der Datenschutzverletzung auszumachen. Es ist…ein Aquarium.

Sie werden mir zustimmen, dass unserem obigen Beispiel ein wenig die Pointe fehlt. Aber Sie werden vielleicht dennoch überrascht sein, dass der Vorfall sich tatsächlich so ereignet hat. Aquarien sind ganz offensichtlich nicht ganz so harmlos wie sie scheinen. Im Juli 2017 hatten Hacker die IP-Adressen des Kasinos auf der Suche nach einem Gerät gescannt, das sie übernehmen, und für ihre Zwecke nutzen könnten. Sie wurden fündig. Bei ihrem Scan stießen sie auf ein intelligentes Thermometer, also ein sogenanntes ‚Smart Device‘, das an einem großen Aquarium befestigt war. Über dieses Thermometer wurden regelmäßig betriebsrelevante Daten versendet. Um die Daten in der gewünschten Art und Weise auszutauschen, braucht dieses Thermometer eine Netzwerkverbindung. Man ahnt schon worauf es hinausläuft. Das Netzwerk, über das sich das smarte Thermometer verbunden hat, war das private Netzwerk des Kasinos. Nachdem es den Angreifern erfolgreich gelungen war, dass Gerät zu übernehmen, konnten sie darüber auf das Kasino-Netzwerk zugreifen, private Kundendaten stehlen und diese Daten auf Server in Übersee hochladen. Eine Geschichte, die zumindest geeignet ist zu belegen, warum man das IoT nicht ganz ohne Grund auch »Internet of Threats«, also Internet der Gefahren nennt.

 

Mehr Bedrohungen als angenommen

Bedrohungen sind im wahrsten Sinne des Wortes überall um uns herum. Wir nutzen digitale Assistenten, die uns dauerhaft belauschen, Spielekonsolen mit integrierter Kamera, digitale Türalarme und etliches mehr. Viele mögen jetzt reflexhaft entgegnen, dass dies ja alles Geräte sind, die nicht in geschäftlichen Umgebungen zum Einsatz kommen und man sich darüber nicht allzu große Sorgen machen müsse. Wie wir gleich sehen werden, greift diese Sichtweise zu kurz. Sie haben vielleicht keines der obigen Geräte in Ihrem Büro. Aber was ist mit dem WiFi-fähigen Drucker? Oder mit Sicherheitssystemen, die eine Verbindung zu externen Dritten haben? Oder eben einem smarten Thermometer am harmlosen Aquarium in der Lobby. Längst nicht jeder ist sich ausreichend bewusst, wie viele IoT-Geräte schon eingesetzt werden, die alle eine Netzwerkverbindung brauchen.

IoT ist im weitesten Sinne alles innerhalb einer Domain was möglicherweise eine Verbindung zum Internet oder sogar in Ihr Firmennetzwerk herstellt. Dadurch entsteht eine Situation, die offensichtlich nicht ganz ungefährlich ist.

 

Wie kommt es dazu?

Im ersten Schritt sollten wir untersuchen wie genau und warum diese Geräte eine Bedrohung darstellen. Mit all dem, was wir heutzutage über IT-Sicherheit wissen, fragt man sich vielleicht, warum es nach wie vor so vergleichsweise einfach ist solche im Netzwerk befindlichen Geräte zu hacken. Einer der wichtigsten Gründe: für viele Entwickler ist die Frage der Sicherheit nachrangig verglichen mit dem Innovationsgrad. Nehmen wir an, ein Unternehmen produziert Hundertausende von netzwerkfähigen Thermometern. Für alle diese Geräte einzigartige Schlüssel zu Verschlüsselungszwecken zu installieren und zu verwalten erscheint gleichermaßen lächerlich wie unnötig teuer. Selbst wenn der Hersteller Sicherheitsvorkehrungen getroffen hat, werden die Geräte nicht selten fehlerhaft verwaltet. Es ist ein bisschen so wie in dem altbekannten Beispiel aus der IT-Sicherheit: sämtliche Sicherheitsvorkehrungen für die Vordertür treffen und die rückwärtige Tür unverschlossen oder weit geöffnet zu lassen. Ein schönes Beispiel ist, zu Hause einen netzwerkfähigen Drucker zu installieren und dabei total außer Acht zu lassen, dass der Drucker selbst über einen WiFi-Router verfügt, den man deaktivieren sollte. Genau wie man nicht vergessen sollte, das Standardpasswort für den Zugriff zu ändern. Die Chance, dass der Drucker eine Schwachstelle aufweist, die es einem Angreifer ermöglicht die Netzwerkverbindungen auszunutzen und auf persönliche Dateien zuzugreifen ist definitiv ein zu hohes Risiko.

Persönliche Daten und Unternehmensmarken sind zu wertvoll, um sie aufs Spiel zu setzen. Wir werden nicht umhin kommen alles zu tun um IoT-fähige Geräte wirklich sicher zu machen. Und es gibt einige Methoden, die dazu beitragen, die bestehenden Sicherheitslücken zu schließen.

 

Mit dem Internet of Threats umgehen

Gut informiert zu sein ist oft die halbe Miete – das trifft auch hier zu. Ein verändertes Bewusstsein hinsichtlich möglicher Bedrohungen verändert den Blick auf die Interaktionen mit Abteilungen, externen dritten Partnern und mit potenziell gefährlichen Geräten, die sich mit dem Netzwerk verbinden. Es ist empfehlenswert, Herstellern von IoT-Geräten Fragen rund um die IT-Sicherheit ihrer Geräte zu stellen. Beispielweise könnte man den Hersteller von Wifi-fähigen Druckern fragen, welche Netzwerkfähigkeiten dieses Gerät hat und ob man nicht benötigte Funktionen deaktivieren kann. Zudem kann man sich nach umfassenderen Sicherheitsfunktionen für die betreffenden Geräte erkundigen. Eine Möglichkeit ist, dass sich der Benutzer für den Zugriff auf das Gerät über ein signiertes Zertifikat legitimiert. Die meisten aktuellen Druckermodelle unterstützen bereits zertifikatsbasierte Authentifizierung.

Sie haben ein Thermometer in der Lobby installiert, das Temperaturdaten für den Gebäudeverwalter sammelt? Erwägen Sie ein öffentliches Netzwerk einzurichten, das speziell für Gäste und Geräte reserviert ist, die keinen Zugriff auf interne Unternehmensdaten und Werte haben sollen.

Inwieweit ein bestimmtes IoT-Gerät zu einer Schwachstelle im Netzwerk wird ist natürlich nicht ganz einfach zu prognostizieren. Aber würde man ein derart unkalkulierbares Risiko für ein Unternehmensnetzwerk eingehen wollen? Eher nicht.

Und was vielleicht noch interessanter ist. Inzwischen beginnt man zu verstehen, dass Netzwerkgeräte und Benutzer eine Menge gemeinsam haben. Tatsächlich hat sich ein ganzer Industriezweig um die Idee eines Identity und Access Managements für das Internet der Dinge gebildet.

Demnach hat die Lebenspanne eines IoT-Gerätes innerhalb einer Domain viel mit den grundlegenden Prinzipien des Identity und Access Managements gemein:

 

  • Ein individuelles Gerät kann innerhalb eines IAM-Systems provisioniert und seine Aktivitäten nachvollzogen werden.
  • Ein Gerät ist oftmals an einem bestimmten Account oder an bestimmte Anmeldeinformationen gebunden, um einen bestimmten Zugriff zu erlangen.
  • Die Anmeldeinformationen sollten dahingehend eingeschränkt werden, worauf das Gerät im Netzwerk zugreifen darf und worauf nicht.
  • Konten mit erweiterten Zugriffsberechtigungen sollten engmaschig und mit Methoden der Verhaltensanalyse hinsichtlich abweichender Verhaltensmuster überwacht werden.
  • Auf jeden Fall sollte es auch per Fernzugriff möglich sein, den Netzwerkzugriff eines Geräts zu unterbinden, ohne es physisch vom Netzwerk trennen zu müssen.

 

Diese, wenn auch unvollständige Liste zeigt, dass niemand seinen Benutzern mit den Anmeldeinformationen gleichzeitig unbegrenzten Netzwerkzugriff geben würde. Warum also sollte man nicht analoge Regelungen für netzwerkfähige Geräte umsetzen? Wenn Sie keinerlei Transparenz darüber haben, was genau ein Gerät tut und wie es das tut, sollten Sie vielleicht lieber den Anbieter wechseln oder doch wenigstens die betreffenden Geräte isoliert und nur in einem Whitelist-Netzwerk betreiben.

 

Um es einfach zu sagen, gut informiert zu sein ist oft schon die halbe Miete. Schon viel zu lange haben Benutzer nahezu blindlings Geräte in praktisch jedem Netzwerk angeschlossen, ohne sich auch nur im Entferntesten darüber bewusst zu sein welche Konsequenzen damit verbunden sein könnten. Oder wer hätte vor wenigen Jahren geahnt, dass ein Aquarium-Thermometer die Ursache für eine schwerwiegende Datenschutzverletzung sein würde?

Diese Zeiten sind allerdings lange vorbei. Inzwischen hat so gut wie jeder einen netzwerkfähigen Drucker, eine Sicherheitskamera und vermutlich noch wesentlich mehr Geräte, die sich mit einem Netzwerk verbinden (können und müssen). Es ist definitiv an der Zeit dafür zu sorgen, dass diese Geräte entsprechend gesichert und verwaltet werden.

Joe Campbell, Principal Security Advisor bei One Identity

 


 

Investitionen in die Cybersicherheit

500 Millionen Datensätze bei Marriott ausgecheckt

Verstärkter Einsatz von Cloud Solutions, IoT und Datenanalyse – das sind die Trends im Identitäts-Management für 2018

IAM als Schlüssel für die digitale Transformation

Das Internet der Dinge und IAM

Unternehmen sollten auf veränderte Bedrohungslandschaft reagieren

Cybersicherheit: 1.440 einmalige Schwachstellen pro Unternehmen

Weitere Artikel zu