Sicherheitsgefahr IoT

Datenabfluss-Unterbindung ist Pflicht

20.03.2017
Von 


Henning von Kielpinski ist Technical Account Manager bei der Google Germany GmbH. Zu den persönlichen thematischen Steckenpferden des studierten Informatikers zählen IT-Trends wie Cloud Computing, Big Data oder das Internet of Things - und die kritische Auseinandersetzung mit diesen.
Die Überwachung des Datenzuflusses ist nahezu in allen Unternehmen Standard, nicht aber die Unterbindung des potenziellen Datenabflusses.

Gerade im Hinblick auf die zunehmende Vernetzung im Internet der Dinge und den damit verbundenen Sicherheitsgefahren besteht dringender Handlungsbedarf. Wie gefährdet Geräte im Internet of Things (IoT) sind, hat das vergangene Jahr in aller Deutlichkeit gezeigt. So war eine erhebliche Zunahme von DDoS-Angriffen zu verzeichnen, die für die Attacke Botnetze aus IoT-Geräten nutzten. Ein so ausgeführter Angriff auf den Webdienstleister Dyn etwa führte dazu, dass Netflix, Twitter, Amazon oder Airbnb zeitweise nicht erreichbar waren. Von einem Einzelfall kann hier nicht mehr gesprochen werden, denn schon früher wurden vernetzte TV-Geräte oder intelligente Kühlschränke in Botnetze integriert.

Datenabfluss im Unternehmen? Das sollten Sie verhindern.
Datenabfluss im Unternehmen? Das sollten Sie verhindern.
Foto: Ryazantsev Dmitriy - shutterstock.com

IoT-Standards?

Doch warum sind solche Szenarien überhaupt möglich? Ganz einfach: Weil die "smarten" Geräte in aller Regel eine nicht gesicherte und nicht überwachte Internet-Anbindung haben. Und das betrifft eine Vielzahl von Geräten: den Multifunktionsdrucker mit Hersteller-Fernzugriffsmöglichkeit zu Wartungszwecken ebenso wie den Projektor oder das Smart-TV im Konferenzraum. Prinzipiell kann jedes in das Unternehmensnetz eingebundene Gerät für Angriffe genutzt werden – und damit auch Ursache eines möglichen Datenabflusses sein. Nach wie vor wird die Sicherheitsgefahr, die von vernetzten Geräten ausgeht, von vielen Unternehmen nicht ausreichend ernst genommen. Ein Indiz dafür ist zum Beispiel, dass Software-Updates kaum oder nur sehr unregelmäßig durchgeführt werden.

Das zentrale Sicherheitsdilemma besteht darin, dass zwar in fast allen Unternehmen der Datenzufluss mit zahlreichen Tools wie Firewalls, Intrusion-Detection- und Prevention-Systemen oder Antivirus-Lösungen überwacht und gegebenenfalls unterbunden wird, allerdings die Mehrheit aller Unternehmen nach verschiedenen Untersuchungen keinerlei Lösungen zur Unterbindung eines unerwünschten Datenabflusses im Einsatz hat.

Was ist also zu tun? Hat der Anwender überhaupt einen Handlungsspielraum im Hinblick auf die Always-Online-Natur moderner Geräte? Zunächst muss konstatiert werden, dass sich im Bezug auf das Internet of Things bisher keine übergreifenden Standards etabliert haben. Bei der drahtlosen Vernetzung der Geräte werden zum Beispiel nach wie vor unterschiedliche Übertragungsverfahren genutzt. An dieser Vielfalt wird sich in absehbarer Zeit nichts ändern, auch wenn es branchenweit Standardisierungsbestrebungen gibt.

Datensicherheit beginnt bei der Geräteauswahl

Dennoch sind Unternehmen den Gefahren nicht hilflos ausgeliefert. In einem ersten Schritt sollten alle Geräte dahingehend überprüft werden, ob und inwieweit eine Einschränkung der Kommunikation nach außen überhaupt möglich ist. Falls hier keine Gestaltungsfreiheit besteht, sollte von der Neuanschaffung abgesehen oder ein Geräteaustausch in Betracht gezogen werden. Generell muss bei jeder Auswahl eines Produkts darauf geachtet werden, dass es die Möglichkeit bietet, die Außenkommunikation restriktiv zu gestalten – und zwar mit einer Reduzierung auf das maximal Erforderliche.

Zudem muss hinsichtlich der Datenabfluss-Unterbindung immer der gesamte Produkt-Lebenszyklus im Blickfeld bleiben. So sind Geräte oft auch nach Ablauf eines Vertrags weiter im System vernetzt, obwohl keine Updates mehr verfügbar sind; auch wenn sie nicht genutzt werden, stellen sie eine Gefahr dar, solange sie online sind. Bei der endgültigen Außerbetriebnahme von Geräten ist auf eine fachgerechte und sichere Entsorgung zu achten. Das betrifft zum Beispiel auch die zuverlässige Datenlöschung der Speichermedien von Druckern oder Kopierern. So ist beispielsweise im Fall von Flash ein physikalisches Zerstören der Medien nötig, um Sicherheit zu gewährleisten.

IT-Sicherheits-Grundlagen

Von entscheidender Bedeutung ist aber vor allem, dass die Anwender Maßnahmen bei der Sicherung der Außenkommunikation ergreifen. Hier gibt es Standards, Best Practices und auch klar definierte Sicherheitsverfahren. Doch auch bei deren Nutzung hapert es noch. Das zeigt sich schon an der Schnittstelle zum Internet - dem Router: Erfahrungswerte belegen, dass zwar die Standard-Passwörter der Router meistens geändert werden, anschließend aber keine weitere regelmäßige Änderung der Kennwörter erfolgt. Dadurch ergibt sich schon die erste Sicherheitslücke.

Klar ist, dass für die Sicherung des Unternehmensnetzes strikte Firewall-Einstellungen vonnöten sind; es muss eindeutig festgelegt werden, wer worauf Zugriff erhält. Ebenso wichtig ist auch die Nutzung eines Data-Loss-Prevention (DLP)-Systems, mit dem der unerwünschte – auch versehentliche – Abfluss vertraulicher Daten zuverlässig zu verhindern ist. Alle Datenübertragungen müssen zudem lückenlos verschlüsselt erfolgen und zwar sowohl intern, als auch extern. Selbstverständlich sollte sein, dass sich alle genutzten Systeme immer auf dem aktuellen Stand befinden und Software-Updates regelmäßig durchgeführt werden.

Auch wenn Anwender einige grundlegende Sicherheitsrichtlinien beachten, eines darf nicht außer Acht gelassen werden: Die Sicherung der Infrastruktur weist gerade auch im Hinblick auf die Anbindung der heterogenen Gerätevielfalt eine hohe Komplexität auf. Das heißt: Es kann durchaus sinnvoll sein, auf Expertenwissen zuzugreifen. Bevor ein Unternehmen also den Weg der umfassenden Vernetzung geht, sollte es sich die Frage stellen, ob es von Vorteil ist, einen externen Dienstleister an Bord zu holen. Ein solcher kann die Bestandsanalyse durchführen und Handlungsempfehlungen aussprechen, zum Beispiel hinsichtlich einer Netzwerk-Segmentierung oder des Einsatzes eines dedizierten Update-Servers. Abgesehen von den reinen Beratungsleistungen kann er zudem die Systemimplementierung, -integration und -konfiguration sowie die anschließende Wartung und Pflege übernehmen.