Dr. Michael Rademacher, Experte im Bereich IoT-Sicherheit

Gegen Cyberangriffe im Internet of Things wappnen

Cyberangriffe, die Schäden in Millionenhöhe verursachen können, stellen ein hohes Risiko für viele Unternehmen dar. Ein Einfallstor dabei können IoT-Geräte sein – denn mit der Vernetzung von Maschinen, mit vernetzten Systemen und mit smarten Devices zu Hause entstehen neue Ansatzpunkte für Hacker. Auch im privaten Umfeld werden Gefahren oft unterschätzt oder gänzlich nicht beachtet. In der hybriden Arbeitswelt können daraus auch Risiken für Unternehmen entstehen. Deshalb sollten Unternehmen auf Weiterbildungsprogramme setzen, um sowohl bei den Spezialteams als auch in der Breite der Belegschaft das notwendige Know-how sicherzustellen.

Immer mehr Geräte sind smart und verbinden sich mit dem Netzwerk der Nutzer*innen sowie mit der Cloud des Herstellers – und eröffnen so den Zugang zu vertraulichen Informationen, sei es aus dem Privatleben oder dem Unternehmensbereich. Der Markt für solche Funktionen und Geräte ist riesig, sehr viele Unternehmen möchten Teil dieses Trends sein. Dabei fehlt es häufig an Wissen, Zeit und Geld, um diese Produkte sicher gegen Angriffe zu machen.

Vor der Anschaffung smarter Geräte sollten daher folgende Punkte beachtet werden:

  • Informationen über das konkrete Produkt sammeln: Sind bereits Angriffe bekannt geworden? Hat der Hersteller das Problem inzwischen behoben?
  • Funktioniert das Produkt auch ohne die Cloud des Herstellers? Einige Unternehmen haben sich übernommen und müssen nun ihre Cloud-Dienste aus Kostengründen abschalten
  • Es empfiehlt sich, smarte Geräte vom restlichen Netzwerk zu trennen oder ihren Zugang deutlich einzuschränken. Ein Gastzugang kann hier hilfreich sein. Selbst wenn das smarte Gerät Opfer eines Cyberangriffs wird, ist der Computer weiterhin sicher.
  • Wohin kommunizieren die Geräte? Alle Daten, die in die Cloud hochgeladen werden, können möglicherweise unbemerkt ausgewertet, verkauft oder durch ein Datenleck veröffentlicht werden. Selbst bei einem vertrauenswürdigen Unternehmen ist nicht immer klar, welche Personen (Kriminelle, Staaten und Geheimdienste) beabsichtigt oder unbeabsichtigt Zugriff auf die Daten erhalten.

Mit Schulungen gegen Angriffe wappnen

Mit Blick auf diese Risiken sollten Unternehmen darauf achten, ihre Mitarbeitenden zu befähigen, damit diese Sicherheitsrisiken erkennen und die Umgebung entsprechend schützen können. Denn wenn neue Anschaffungen vernetzte Funktionen haben, gilt es auch in ihrem Einsatzfeld, entsprechende Sicherheitsmaßnahmen sicherzustellen. Das erhöht die Anforderungen an die eigenen IT- und OT-Verantwortlichen: Maßgebliche Aspekte sind hierbei, die Funktionsweise der verschiedenen Sicherheitsmechanismen zu verstehen, aus Sicherheitsperspektive zu bewerten und praktisch anzuwenden. Dazu zählen beispielsweise die Firmwareanalyse, die Sicherheit in drahtlosen Netzwerken sowie sichere und zuverlässige Protokolle. Zudem sollte der Aufbau einer IoT-Kommunikationsarchitektur bekannt sein, um Bedrohungen für IoT richtig einschätzen und abwehren zu können, Sicherheitslücken gezielt aufzuspüren und in der Lage zu sein, sie zu beseitigen. Auch hier kann mit gezielten Schulungen der passende Boden bereitet werden. Im Zweifel empfiehlt es sich, komplexe IoT-Strukturen individuell zu bewerten und entsprechend abzusichern. Expert*innen können mit gezieltem Rat unterstützen.

Denn das Spektrum möglicher Angriffsszenarien ist sehr groß. Bei Ransomware etwa sind Unternehmensdaten in Gefahr. Sie verschlüsselt Daten und gibt diese erst gegen ein Lösegeld wieder frei. Grundlegende Sicherheitsmaßnahmen sollten deshalb Standard sein, um sich vor großangelegten, automatisierten Angriffen auf Basisniveau zu schützen. Hier sind auch Mitarbeitende außerhalb der IT gefragt, wenn es um die eigene Passwortdisziplin oder die Absicherung im Homeoffice geht.

Generelle Empfehlungen:

  • Die Software auf den Geräten aktuell halten und verfügbare Updates umgehend einspielen. Das gilt besonders dann, wenn das Update laut Beschreibung des Herstellers eine Sicherheitslücke schließt.
  • Besonders wichtig ist eine aktuelle Software auf dem Router, da dieser direkt mit dem Internet verbunden ist. Wird der Router nicht mehr mit Updates versorgt, muss er ausgewechselt werden.
  • Keine Konfiguration des Routers über das Internet erlauben, sondern nur aus dem lokalen Netzwerk.
  • Sichere Passwörter auswählen, die keine Wörter, personenbezogene Informationen, einfache Zahlenfolgen oder Ähnliches beinhalten und eine ausreichende Länge aufweisen Es existieren einfache Tricks, um sich solche Passwörter einzuprägen. Auch Passwort-Manager erleichtern den Umgang mit vielen und komplizierten Passwörtern.
  • Alle Standardpasswörter eines Geräts ändern, bevor es in Betrieb genommen wird.
  • Die 2-Faktor-Authentifizierung einsetzen, wenn diese angeboten wird.

Ob zuhause oder am Arbeitsplatz – das IoT birgt nicht nur beträchtliche Chancen, sondern auch einige Gefahren für die IT-Sicherheit. Ein grundlegendes Verständnis für die Funktionsweise und die Risiken ist in jedem Fall unerlässlich. Um im beruflichen Kontext schwerwiegende Schäden zu vermeiden, sollten Unternehmen ihre Mitarbeitenden entsprechen weiterbilden.

Mehrwert-Infos für den Leser aus der Fraunhofer-Cybersicherheit-Welt:

Inhouse-Schulungen (fraunhofer.de)

Mehr zum Thema IoT-Sicherheit (fraunhofer.de) beim Lernlabor Cybersicherheit

Unter Experte im Interview: 

Poträt Dr. Michael Rademacher

Dr. Michael Rademacher
IT-Sicherheitsforscher am Fraunhofer FKIE

 

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert