23 Okt

Bitte lassen Sie Ihr IoT nicht unbeaufsichtigt!

Gebetsmühlen sind in manchen Kulturkreisen verbreitet, hierzulande aber kaum bekannt. Vielleicht zu unrecht, denn man könnte ja auch die Mantras der IT-Sicherheit anstelle der sonst üblichen Gebete darauf verewigen. Aufgestellt in Serverräumen oder Admin-Büros könnten sie die wichtigsten Security-Grundsätze durch Berührung oder leichte Drehung, ja schon beim Vorbeigehen in Erinnerung rufen.

Spaß beiseite, die Lage ist kritisch – manchmal im wahren Wortsinn. Es geht um das Hype-Thema „Internet der Dinge“ (IoT, von „Internet of Things“). Gemeint sind meist kleinere oder größere Gerätschaften des alltäglichen Bedarfs, ausgestattet mit eingebetteten Systemen (also kleinen Computern) sowie, heute praktisch unvermeidlich, Netzwerkanschluss – oft sogar realisiert über WLAN. Das kann ein IP-Telefon sein oder eine Überwachungskamera, aber auch eine Waschmaschine oder gleich eine ganze Industrieanlage. Womit wir Kritischen Infrastrukturen (KRITIS) schon gefährlich nahe kommen.

Netzwerkfähigkeit gehört in jedem Fall zum „guten Ton“, was für sich allein auch kein Problem wäre. Aber wenn das Internet in‘s Spiel kommt, wird die Sache interessant. Vor allem für Angreifer, die alles daran setzen, die diversen Komponenten zu kapern. Anwender netzwerkfähiger IoT-Devices machen es Hackern teils sehr leicht. Es fehlt an der notwendigen Abschottung vom offenen Internet. So lassen sich mit spezialisierten Suchmaschinen in Sekundenschnelle schlecht gesicherte Geräte und Einrichtungen auffinden. Für den folgenden Angriff reichen oft wenige Mausklicks.

Vorfälle gibt es täglich, nur manche ziehen größere Kreise. Etwa die Autowaschstraßen, die ohne nennenswerten Aufwand kompromittiert wurden. Oder Überwachungskameras, die mit Hintertüren ausgerüstet zu Spionagewerkzeugen mutieren. Im Wesentlichen beruht das Problem immer auf den beiden gleichen Einzelfaktoren: Erstens unreglementierte Verbindung netzwerkfähiger Geräte mit dem Internet. Zweitens mangelnder Überblick über die Aktivitäten einzelner Komponenten im eigenen Netzwerk.

IoT-Devices brauchen keinen direkten Internetzugang. Netzwerkanomalien lässt man sich am besten werkzeuggestützt melden. Das braucht man nicht auf Gebetsmühlen zu schreiben, denn es ist den meisten IT-Sicherheitsverantwortlichen völlig klar. Trotzdem kommt es immer wieder zu Havarien. Mit der Zeit, unter Stress und einer Vielzahl von Aufgaben werden naheliegende Regeln und Maßnahmen übersehen. Gelegentlich fehlt es auch an etablierten Verfahrensweisen für bestimmte Standardsituationen. So können sich Flüchtigkeitsfehler einschleichen, mit gravierenden Folgen.

An sich ist das Internet der Dinge ja etwas Gutes. Damit es aber wirklich nützt und nicht schadet, muss man den Überblick über den „Zoo“ der Geräte behalten. Systematische IT-Sicherheitsanalysen leisten hierzu einen wichtigen Beitrag und helfen, nichts zu vergessen. Schon eine relativ einfache IS-Kurzrevision nach BSI-Grundschutz genügt, um die ameisten Schwachstellen innerhalb der eigenen Infrastruktur aufzudecken. Zusammen mit den individuellen Sicherheitstipps vom Fachmann wird daraus ein rundes Sicherheitspaket. Das ist viel besser, als nur gebetsmühlenartig gute Ratschläge zu wiederholen.