All About Security

Fachbeitrag ForeScout

IoT-Geräte – praktisch, riskant und immer mehr verbreitet

IoT-Geräte – praktisch, riskant und immer mehr verbreitet

Markus Auer, Regional Sales Director DACH, ForeScout Technologies

Untersuchungen zufolge verwenden schon rund ein Drittel aller Deutschen einen Fitness-Tracker oder sonstige Geräte, die zum Internet der Dinge (IoT) gehören. Seit einiger Zeit macht diese Entwicklung Schlagzeilen, weil sich die Konsumenten zunehmend Sorgen um die Informationen machen, die solche Geräte erfassen. Besorgnis weckt dabei insbesondere die Sammlung von Daten zu Bewegungsmustern und die Erfassung sensibler Gesundheitsdaten – doch das ist noch nicht alles.[1]

IoT-Geräte bergen Risiken, sofern sie nicht mit geeigneten Sicherheits-lösungen geschützt werden. Das gilt nicht nur bei den Privatanwendern, sondern auch in Unternehmen. Und das Problem reicht weit über die Gefahr von Datenverlusten hinaus. In seinem jüngsten Lagebericht zur IT-Sicherheit in Deutschland warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass es beim Internet der Dinge kein adäquates Patch-Management gibt. Selbst Sicherheitslücken, die allgemein bekannt sind, bleiben offen und können für Cyber-Angriffe missbraucht werden. [2]

Das Internet der Dinge wird Alltag

Beim IoT gibt es kein Zurück – wir müssen lernen, damit umzugehen. Unternehmen, die argumentieren, sie hätten keine solchen Endpunkte in ihren Netzwerken, wissen wahrscheinlich nur einfach nichts von ihnen. Intelligente Geräte bieten Vorteile für alle Branchen und ermöglichen die Harmonisierung von Geschäfts- und Produktionsprozessen. Daher werden künftig immer mehr solche Geräte in den Unternehmensnetzen zu finden sein, seien es nun Fitness-Tracker, IP-Kameras, VoIP-Telefone oder ICS-Systeme.

Laut Gartner [3] werden bis 2019 maßgeschneiderte IoT-Geräte für bestimmte Branchen üblich werden. Allein für 2017 wird ein Wachstum des IoT um 35 Prozent erwartet. Gleichzeitig sind jedoch die Sicherheitsmechanismen unzureichend. Tests zeigen, wie leicht Angreifer in Netzwerke eindringen können, indem sie solche Endgeräte als Angriffsvektor missbrauchen [4]. IoT-Geräte sind Türöffner für umfangreichere Attacken auf Netzwerke, und die Geräte selbst können Probleme verursachen. Die meisten von ihnen lassen sich binnen weniger Minuten knacken [5]. Danach werden sie zu einem kritischen Angriffsvektor, um Netzwerke zu kompromittieren.

Sichern Sie einfach jeden Endpunkt ab – mit  der richtigen Sicherheitsarchitektur

Die gute Nachricht ist, dass Sicherheitslösungen existieren, mit deren Hilfe die Sicherheits-architekturen Geräte richtig handhaben können, sobald sie sich mit einem Netzwerk zu verbinden versuchen. Man muss sich darüber im Klaren sein, dass klassische Methoden allein nicht mehr ausreichen, sondern Schutz für jeden Endpunkt auf der Netzwerkebene gewährleistet werden muss.

Die Best Practice zu diesem Zweck ist eine Lösung, die agentenfreie Sichtbarkeit, Transparenz und Zugriffskontrolle ermöglicht. Solche Lösungen erfordern keine Installation von Clients oder Agenten und unterstützen sowohl virtuelle Infrastrukturen als auch ausgedehntere (aus mehreren Subnetzen bestehende) Netzwerkumgebungen sowie Remote- oder nicht ständig verbundene Geräte, wie diejenigen aus dem IoT.

Die automatisierte und agentenlose Erkennung und Authentifizierung von IoT-Geräten wird künftig zu den kritischen Funktionalitäten einer Sicherheitsplattform gehören, ebenso wie die Erkennung kompromittierter IoT-Geräte und die Fähigkeit, diese aus dem Netzwerk zu entfernen oder in ein Quarantäne-Netz zu verlegen.


[1]  Tagesschau.de 2016: Gesundheit und Datenschutz – Wenn Google weiß, wie krank ich bin  http://www.tagesschau.de/inland/gesundheitsdaten-103.html 
[2] BSI 2016: „Die Lage der IT-Sicherheit in Deutschland 2016“ https://www.bsi.bund.de/DE/Publikationen/Lageberichte/bsi-lageberichte.html 
[3] Gartner 2015:  „Predicts 2016 – Securing the internet of Things“ https://www.gartner.com/doc/3316617?srcId=1-3931087981 
[4] ForeScout 2016: „Schutzwall gegen gehackte IoT-Devices“ https://forescout.de/wp-content/uploads/sites/4/2016  /10/IAIT_Test_ForeScout_CounterACT_7_IoT_ger.pdf 
[5] ForeScout 2016: „Enterprise Risk Report“ https://www.forescout.com/wp-content/uploads/2016/10/iot-enterprise-risk-report.pdf