IoT (Internet of Things) tauchen immer wieder in den Medien auf und sorgen für kontroverse Diskussionen. Sei es der smarte Kühlschrank oder 5G an jeder Milchkanne. Die Frage wie sinnvoll solche Geräte sind, möchte ich in diesem Blogbeitrag gar nicht erst stellen, sondern das Thema IoT aus der IT-Sicherheits-Brille betrachten. Denn letztendlich haben alle IoT-Geräte etwas gemeinsam: Sie sind Computer.

Und wie jeder Computer funktionieren auch IoT-Geräte nur mit Software. Leider hat die Softwareentwicklung  den großen Nachteil, dass diese vom Menschen gemacht ist und Menschen nun mal Fehler machen. Dementsprechend gibt es zahlreiche Sicherheitslücken, auch in der Software (z.B. dem Firefox-Browser) mit der Sie gerade diesen Beitrag lesen. Das Besondere bei IoT-Software ist, dass die Qualität in der Regel deutlich schlechter ist und somit smarte Devices mit vielen, leicht ausnutzbaren Sicherheitslücken gespickt sind. Der Grund dafür ist wirtschaftlicher Natur. Um sich preislich gegen die Konkurrenz durchsetzen zu können, sparen viele Hersteller bei der Software ihrer IoT-Geräte.

Aus der Sicht der IT-Sicherheit muss ich also vom Verwenden von den meisten IoT-Geräten abraten. Trotz dessen bieten viele der smarten Geräte nützliche Funktionen, sodass jeder Verbraucher abwägen muss, ob er das Risiko im Tausch gegen Komfort und Funktionalität eingeht.
Für ein Casino aus Nordamerika ist diese Rechnung nicht aufgegangen. Um unter anderem die Temperatur des Aquariums einstellen zu können, wurde ein smartes Thermostat verwendet. Unglücklicherweise war das Thermostat über das Internet erreichbar, sodass Hacker eine Sicherheitslücke ausnutzten und sich Zugang zu dem Netzwerk des Casinos verschaffen konnten. Somit konnten die Hacker die eigentlich gut gesicherte Finanzabteilung knacken und unter anderem sensible Daten von wohlhabenden Kunden abgreifen.

Verhindern kann man solche Angriffe, indem man nicht jedem smarten Gerät einen Zugang zum Internet bietet und vor alle Geräten eine Firewall schaltet. Eine Prüfung, ob ein Gerät aus dem Internet erreichbar sein muss, sollte nicht bei Smart Devices aufhören. Bei diesem Thema gilt das Motto: „Weniger ist mehr.“ Nur Systeme, die zwingend von außen erreichbar sein müssen, wie die eigene Homepage, sollten auch nach außen sichtbar sein. Je mehr Systeme von außerhalb erreicht werden können, desto mehr potentielle Einstiegspunkte gibt es für Cyberkriminelle. Dabei nutzen die Kriminellen die „Türen der Systeme“ (in der Fachsprache spricht man von Ports), um Zugriff auf die Systeme zu bekommen. Manche Türen, wie z.B. der Haupteigang zur Homepage, müssen offen sein, damit man die Seite überhaupt benutzen kann. Anderen Ports, wie z.B. die Tür zum Tresorraum (Datenbank mit wichtigen Informationen)  sollten nicht nach außen offen sein. Erpressungsattacken, wie z.B. WannaCry, konnten sich nur verbreiten, weil bestimmte Ports offen und die dahinterliegenden Systeme nicht gepatcht waren.

Um Systeme, die nach außen sichtbar sein müssen, ausreichend zu schützen, ist das Einspielen der aktuellen Patches dringend empfohlen.  Doch auch mit den aktuellsten Patches lässt sich das Risiko einer Cyberattacke nicht auf 0 reduzieren. Das sowohl risiko- als auch wirtschaftlich optimale Vorgehen ist der Restrisikotransfer auf einen Versicherer durch den Abschluss einer Cyberversicherung.

Auch wenn bereits eine Cyberversicherung abgeschlossen wurde, darf man als Unternehmen das Thema IT-Sicherheit nicht schleifen lassen. Um zu überprüfen, wie der IST-Stand der IT-Infrastruktur und wie gut man wirklich gegen Cyberkriminelle gewappnet ist, empfielt sich in regelmäßigen Abständen z.B. externe Risikoreporte erstellen zu lassen. Diese können Versicherer als Teil ihrer Dienstleistungen anbieten und Versicherungsnehmern gezielt Hilfestellung geben.
Tatsächlich hätte so ein Risikoreport bei dem besagten Casino geholfen und das Thermostat aufgefunden und als kritisch eingestuft!

Liebe Grüße,

Autor: Linus Töbke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

1  +  2  =  

Verwandte Artikel