ESET Top 5 Security Threat Questions Answered


Massnahmen zum Schutz des IoT

Dieser Beitrag basiert auf einer Präsentation des AntiVirus- und Firewall-Herstellers ESET. Das Unternehmen führte unter seinen Kunden eine Umfrage durch. Dabei ging es darum, die drängensten Fragen im Umfeld der Informationssicherheit zu identifizieren. Michael Aguilar (Business Product Technical Lead bei ESET North America) nahm zu diesen Fragen Stellung und gab als Resümee konkrete Empfehlung zu den sinnvollsten IT-Security Massnahmen in 2016 ab. Seine Aussagen werden wir im Folgenden zusammenfassen und um unsere eigene IoT-spezifische Sichtweise ergänzen.

 

CIA, confidentiality, integrity, availability
Das Dreieck der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit

Top IT-Sicherheitsmassnahmen 2016

Gemäss Aussage Michael Aguilar sind die derzeit zielführensten Massnahmen:

  1. Segmentierung des Netzwerks in Layer unterschiedlicher Vertrauenswürdigkeit, die jeweils voneinander abgetrennt werden und durch eigene Sicherheitsmassnahmen geschützt werden. Dieser Ansatz wird in der IT oft als Defense-in-Depth bezeichnet. In unserer Erfahrung impliziert die Segmentierung im IoT-Umfeld vor allem eine Trennung des IoT-Netzwerks vom übrigen Business-IT-Netz. Am Übergang zwischen beiden Netzwerken wird eine Firewall platziert, welche die Kommunikation nur für erlaubte Protokolle und Ports freigibt (Whitelisting).
  2. Einsatz von Intrusion Detection und Intrusion Prevention Systemen. Diese können Angriffe anhand typischer Muster Erkennen und Unterbinden. Sie sind in der Business-IT etabliert und können dazu den Netzwerkverkehr laufend zuverlässig analysieren. Da für das breite Spektrum der IoT-System kaum in ausgereifte, standardisierte Analysemechanismen investiert wurde, stehen für IoT hierfür kaum Produkte zur Verfügung. Die wenigen bekannten Produkte sind auf der Unterseite Lösungen aufgeführt.
  3. Patching des Betriebssystem und der Applikationen. Es sollten laufend die aktuellsten Versionen der Hersteller von Betriebssystem und Anwendungen installiert werden. Dies ist in unserer Erfahrung ein Security-Aspekt, in dem IoT noch grosses Potential birgt - auf Hersteller- wie auch Anwenderseite. Zunächst müssten Hersteller ihre Produkte auf Sicherheitslücken prüfen und Patches veröffentlichen. Anwender müssten diese dann regelmässig einspielen. Beides passiert heute nur sehr lückenhaft.
  4. Nutzerrechte regelmässig prüfen. Diese Aussage basiert auf dem Prinzip des "least privilege", d.h. Nutzer sollten nur über jene Rechte verfügen, die sie für ihre Arbeit auch tatsächlich benötigen. Im Kontext des IoT arbeiten oft viele verschiedene Unternehmen und Personen an einem System. Leider haben diese oft einen viel zu weitreichenden Zugriff. Ist es beispielsweise sinnvoll, dass Unternehmen, welche Wartungsarbeiten am Videoüberwachungssystem eines Unternehmens durchführen, auch über Administratorpasswörter von Windows-Server und Videoapplikation verfügen?
  5. Schulung der Nutzer, so dass diese beispielweise typische Phishing-e-Mails erkennen können oder nicht unbedacht auf Kurz-URL-Links klicken. Was Michael Aguilar für die IT herausstreicht, gilt für IoT vermutlich noch viel mehr. Dies deshalb, da das Security-Bewusstsein bei IoT-Betreibern meist kleiner ist als beim typischen IT-Verantwortlichen. Noch dazu kommt, dass in vielen IoT-Domänen die Macht der Einkaufsabteilung sehr gross ist. Für diese kommt Sicherheit nach Preis und Funktionalität allerhöchstens an dritter Stelle. Schon ein 30-minütiges E-Learning mit konkreten Angriffsbeispielen und Erklärungen zur Funktion bewährter Sicherheitsfeatures kann diese Perspektive verändern.
Datenfluss über verschiedenen Netzwerkebenen innerhalb einer Firewall
Datenfluss über verschiedenen Netzwerkebenen innerhalb einer Firewall

Kommentar schreiben

Kommentare: 0