fotohansel - Fotolia

Die Sicherheitsrisiken von IoT mit NAC eindämmen

Unternehmen können sich angesichts der wachsenden Zahl von IoT-Geräten nicht länger nur auf die Erkennung von Schwachstellen und Exploits verlassen.

Das Internet der Dinge (IoT) erreicht Deutschland ‑ jedenfalls laut mehrerer Studien wie dem Bundeslagebild Cybercrime des BKA.

Die Behörde rechnet damit, dass bis 2020 rund eine Billion Geräte mit dem Internet verbunden sein werden, und will Bewusstsein für die kommende Sicherheitsbedrohungen schaffen. Intelligente Geräte führen zu einem grundsätzlichen Wandel in der Informationstechnologie, und die Digitalisierung in Unternehmen erreicht nie dagewesene Ausmaße.

Um sich diesem neuen Maß an Kommunikation und Informationsaustausch anzupassen, müssen Organisationen Wege zur Absicherung sämtlicher Endpunkte finden, da die traditionellen Schutzvorkehrungen aller Wahrscheinlichkeit nach nicht greifen werden.

Das Zeitalter der explodierenden Gerätezahlen

ZK Research sieht ein Zusammenspiel von Faktoren, das die ideale Voraussetzung für den Beginn einer neuen Ära in der Informationstechnologie schafft: Die digitale Transformation von Geschäftsprozessen, sinkende Preise bei den Sensortechnologien, die nötig sind, um Geräte ins Internet zu bringen, die Umstellung von IPv4 auf IPv6 zur Standardisierung der Maschine-zu-Maschine-Kommunikation (M2M), Big-Data-Analysen sowie Cloud Computing treiben die Zunahme der IoT-Geräte voran.

Das IoT muss als Teil der Evolution der Informationstechnologie betrachtet werden. Mitte der 90er-Jahre veränderte Microsoft Windows die Bürowelt mit stationären PCs; 1995 waren rund 200 Millionen Endpunkte verbunden. Der nächste Schritt folgte 2005 mit den tragbaren Laptops, und diese steigerten die Zahl der vernetzten Geräte auf eine Milliarde. Nicht lange danach, ab etwa 2010, führten die Smartphones zu einer noch stärkeren Ausweitung der Netzwerke, und mittlerweile sind 10 Milliarden Geräte online.

Aktuell geht die Welt den nächsten Schritt – ins Zeitalter des Internets der Dinge. Gemeint sind damit alle nicht-standardmäßigen intelligenten Geräte. Das können Kühlschränke sein, Fernseher, Router, aber auch Produktionsanlagen, vernetzte Fahrzeuge und Drucker. In der Regel haben diese Endpunkte umfassende Rechenressourcen und speziell entwickelte Betriebssysteme, die auf quelloffenem Code basieren. Das BKA ist beunruhigt, weil solche Systeme derzeit über keine oder mangelhafte Sicherheitsmechanismen verfügen und leicht zum Angriffsziel werden können. Das Bewusstsein für die fehlenden Schutzmechanismen ist unzureichend, während die Zahl der Geräte wahrscheinlich weiter wachsen wird.

Laut Gartner werden bis 2019 maßgeschneiderte IoT-Geräte für bestimmte Branchen üblich werden. Die Risiken werden dadurch dramatisch steigen: Allein für 2017 wird eine IoT-Wachstumsrate von 35 Prozent erwartet, doch die Unternehmen werden weiter zu stark auf die Erkennung von Schwachstellen und Exploits fokussieren anstatt auf Segmentierung und andere langfristige Mittel zum Schutz des IoT. Aufgrund der wachsenden Zahl von Geräten und Diensten im Netzwerk sind immer mehr unkontrollierte Bereiche entstanden.

Die Risiken angehen

Die Unternehmen in Deutschland haben im Durchschnitt mehr Sicherheitsereignisse zu verzeichnen und im Hinblick auf die Cyber-Sicherheit Nachholbedarf. Frost & Sullivan befragte IT- und Sicherheitsfachleute, die in Organisationen mit mehr als 4.000 Mitarbeitern tätig sind, zu den Sicherheitsvorfällen der letzten 12 Monate. Dabei schnitten die deutschen Befragten am schlechtesten ab: 83 Prozent der deutschen Umfrageteilnehmer räumten ein, dass sich bei ihnen fünf oder mehr Sicherheitsverletzungen ereignet hatten. In den USA und Großbritannien sind die Zahlen mit 67 beziehungsweise 69 Prozent zwar ebenfalls alarmierend hoch, doch am gravierendsten ist die Situation offenbar in den deutschen Unternehmen.

Die höhere Zahl der Sicherheitsvorfälle rührt wahrscheinlich von einem Mangel an Bewusstsein her, und deshalb müssen IT-Verantwortliche Anschluss an die Entwicklung finden. Die zusätzlichen Geräte schaffen neue Angriffsvektoren, die berücksichtigt werden müssen. Jeder Endpunkt muss überprüft werden, sobald er sich im Netzwerk anzumelden versucht. Was nötig ist, ist eine Lösung zur automatisierten Erkennung und Klassifizierung von Geräten, die andere Sicherheitsprodukte in Gang setzen kann – manuelle Ansätze sind unzureichend. Und diese Lösung muss agentenlos sein, weil Geräte aus dem Internet der Dinge in der Regel keine Agenten unterstützen. Da immer mehr ungewöhnliche Geräte in die Netze kommen, reichen 802.1X-Protokolle allein nicht mehr aus. Entscheidende Voraussetzung, um die Geräte sichtbar zu machen, ist eine Kombination von Sicherheitslösungen.

Gartner schlägt ein adaptives Sicherheitsmodell vor, bei dem Sicherheitsverletzungen mittels richtlinienbasierter, automatisierter Reaktionen auf Anfälligkeiten jederzeit adressiert werden können – und zwar nicht nur, bevor es zu einem Sicherheitsereignis kommt, sondern auch während eines Angriffs und danach. Sichtbarkeit, Transparenz und Problembehebung müssen gewährleistet werden, um die Bedrohung zu minimieren. Der Fokus liegt also nicht rein darauf, einen Angriff zu stoppen, sondern auch darauf, den möglichen Schaden durch den Angriff zu minimieren.

Nach einer Untersuchung von ZK Research haben erst 10 Prozent aller Unternehmen eine Sicherheitsstrategie für das IoT umgesetzt. 19 Prozent wollen eine solche Strategie implementieren; alle anderen untersuchen, planen oder testen andere Optionen. Dabei erklärten 68 Prozent der Teilnehmer an dieser Studie, dass Sicherheitsbedenken die größte Herausforderung im Zusammenhang mit dem IoT seien.

Ein Next-Generation NAC (Network Access Control) erfordert keine Installation von Clients oder Agenten und eignet sich für virtuelle Infrastrukturen, ausgedehntere Netzwerkumgebungen (die aus mehreren Subnetzen bestehen) sowie entfernte und nicht ständig verbundene Endpunkte, wie etwa IoT-Geräte. Auch Endpunkte mit relativ kleinem Footprint im Netzwerk können so einbezogen werden – selbst dann, wenn sie keine 802.1X-Protokolle unterstützen.

„Die zusätzlichen Geräte schaffen neue Angriffsvektoren, die berücksichtigt werden müssen. Jeder Endpunkt muss überprüft werden, sobald er sich im Netzwerk anzumelden versucht.“

Markus Auer, Forescout

Moderne NAC-Lösungen sind in der Lage, die wichtigsten Sicherheitsaufgaben zu automatisieren und die Belastungen für die IT-Sicherheitsteams zu verringern. Sie unterstützen die bi-direktionale Integration von Sicherheitslösungen von Drittanbietern und lassen sich leicht in bestehende Sicherheitsarchitekturen integrieren. Die Fähigkeit, jedes Gerät im Netzwerk zu sehen und zu überwachen, gewährleistet eine effiziente Orchestrierung von Sicherheitsaufgaben und -mechanismen und einen sicheren Übergang ins IoT-Zeitalter.

Fazit

Mit dem IoT beginnt für die Unternehmen eine neue Ära in der Evolution der Informationstechnologie. Die potenziellen Risiken, die sich für Firmen wie auch Konsumenten daraus ergeben, sind enorm, da die Zahl der vernetzten Endpunkte mit jeder Sekunde zunimmt. Die Vorteile können die Menschen tagtäglich in Form von immer neuen Innovationen erleben – Fahrzeuge, Fitnesstracker, medizinische Apparate, Steuersysteme und mehr.

Dadurch verändern sich aber auch in vielen Bereichen die Anforderungen: Die Fortschritte haben große Auswirkungen auf die IT-Infrastruktur, die Netzwerke, die IT-Sicherheit und andere Gebiete. Ransomware-Angriffe und andere Cybersicherheitsprobleme, über die die Medien laufend berichten, sind Warnsignale für das, was passieren wird, wenn die Innovationen nicht von entsprechenden Sicherheitsmaßnahmen begleitet werden.

Es bestehen bereits Sicherheitsmechanismen. Die Unternehmen müssen jedoch die richtigen Lösungen wählen, und sie sollten es bald tun. Mit NAC steht ihnen ein leicht realisierbarer Ansatz zur Verfügung, mit dem sich jedes Gerät schützen lässt. Da NAC in der Lage ist, Sicherheitsaufgaben zu orchestrieren und Informationen mit bestehenden Sicherheits-Tools auszutauschen, können Richtlinien umgesetzt und die Einhaltung von Vorschriften im gesamten Netzwerk sichergestellt werden.

Über den Autor:
Markus Auer, Regional Sales Director DACH, ist seit März 2014 bei ForeScout beschäftigt und für den Marktaufbau in Deutschland, Österreich und Schweiz verantwortlich. Der Sicherheitsanbieter hat mit CounterACT eine Next-Generation-NAC-Lösung im Angebot.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Drei Gründe für den Einsatz von NAC-Lösungen.

Network Access Control als automatisiertes Security-Response Center.

Mit NAC kontinuierlich das Netzwerk prüfen.

Zehn Mythen rund um IoT-Sicherheit.

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Network-Access-Control (NAC)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close