Suchen

Zur aktuellen Bedrohungslage IoT oder das Internet der unsicheren Dinge

| Redakteur: Jürgen Schreier

Die Sicherheitslage im IoT-Umfeld hat sich verschlechtert. Zu diesem Ergebnis kommt Palo Alto Networks in seinem IoT Threat Report 2020. Zugleich verändert sich mit der IT-Landschaft auch der Markt für Sicherheitslösungen. Der Artikel skizziert, wohin hier die Reise geht.

Bei den Geräten des Internets der medizinischen Dinge (IoMT) mit den meisten Sicherheitsproblemen handelt es sich vorwiegend um bildgebende Systeme.
Bei den Geräten des Internets der medizinischen Dinge (IoMT) mit den meisten Sicherheitsproblemen handelt es sich vorwiegend um bildgebende Systeme.
(Bild: gemeinfrei / Unsplash)

"Sad, very sad", würde wohl der Mann im Weißen Haus twittern, läse er den IoT Threat Report 2020, den Palo Alto Networks und sein Forschungsteam UNIT 42 dieser Tage vorgelegt haben. Der aktuelle Bericht zeigt auf, wo in der IoT-Bedrohungslandschaft Risiken für die Unternehmens-IT und für Gesundheitseinrichtungen auftauchen und welche IoT-Geräte am anfälligsten für Angriffe sind - nämlich eine ganze Menge.

Neue Chance, neue Bedrohungen

Das Marktforschungsunternehmen Gartner schätzte die Zahl der zum Jahresende 2019 eingesetzten IoT-Endpunkte auf 4,8 Milliarden, was einer Zunahme um 21,5 Prozent gegenüber 2018 entspricht. Während das Internet der Dinge die Tür für innovative neue Ansätze und Dienste in allen Branchen öffnet, birgt es auch neue Risiken für die Cybersicherheit.

Um den aktuellen Stand der IoT-Bedrohungslandschaft zu bewerten, analysierte das Unit 42-Team Sicherheitsvorfälle in den Jahren 2018 und 2019 mit dem IoT-Sicherheitsprodukt Zingbox von Palo Alto Networks, das 1,2 Millionen IoT-Geräte an Tausenden physischen Standorten von Unternehmen und Gesundheitseinrichtungen in den USA erfasste.

Dabei stellte die Unit 42 fest, dass sich die allgemeine Sicherheitslage bei IoT-Geräten verschlechtert hat, wodurch Unternehmen anfällig werden für neue gezielte IoT-Malware, abeer auch für ältere Angriffstechniken, die die meisten IT-Teams schon lange vergessen haben.

IoT-Geräte sind meist unverschlüsselt und ungesichert

Rund 98 Prozent des gesamten IoT-Geräteverkehrs sind unverschlüsselt, wodurch persönliche und vertrauliche Daten im Netzwerk offengelegt werden. Angreifer, denen es – meist durch Phishing-Angriffe – gelingt, die erste Verteidigungslinie erfolgreich zu umgehen, richten eine Command-and-Control-Struktur (C2) ein. Damit sind sie in der Lage, unverschlüsselten Netzwerkverkehr abzuhören, persönliche oder vertrauliche Informationen zu sammeln und diese Daten dann im Darknet gewinnbringend zu nutzen.

Die Hitparade der Bedrohungen
Die Hitparade der Bedrohungen
(Bild: Palo Alto Networks)

57 Prozent der IoT-Geräte sind anfällig für Angriffe mittlerer oder hoher Schwere, was das IoT zu einer "low hanging fruit" für Angreifer macht. Angesichts des allgemein niedrigen Patch-Levels von IoT-Geräten sind die häufigsten Angriffe Exploits über seit langem bekannte Schwachstellen und Passwortangriffe mit Standard-Gerätepasswörtern.

Auf vernetzter Medizintechnik läuft veraltete Software

Besonders erschreckend ist die Sicherheitslage im Healthcare-Bereich. So laufen auf 83 Prozent der medizinischen Bildgebungsgeräte laufen herstellerseitig nicht mehr unterstützte Betriebssystemen Dies entspricht einer Zunahme von 56 Prozent gegenüber 2018, was vor allem darauf zurückzuführen ist, dass das Betriebssystem Windows 7 das Ende seiner Lebensdauer erreicht hat.

Die allgemeine Verschlechterung der Sicherheitslage öffnet die Tür für neue Angriffe wie Cryptojacking (das von null Prozent im Jahr 2017 auf fünf Prozent im Jahr 2019 gestiegen ist) und bringt längst vergessene Angriffe wie Conficker zurück, gegen die IT-Teams zuvor lange Zeit immun waren.

Die Geräte des Internets der medizinischen Dinge (IoMT) mit den meisten Sicherheitsproblemen sind bildgebende Systeme, die einen kritischen Teil des klinischen Arbeitsablaufs darstellen. Im Gesundheitswesen entfallen 51 Prozent der Bedrohungen auf bildgebende Geräte. Diese Bedrohungen stören die Versorgungsqualität und ermöglichen es Angreifern, auf den Geräten gespeicherte Patientendaten zu exfiltrieren.

Schlechte Netzwerksicherheitshygiene im Gesundheitswesen

72 Prozent der VLANs im Gesundheitswesen vermischen IoT- und IT-Ressourcen, was die Geafahr birgt, dass sich Malware von den Computern der Benutzer auf gefährdete IoT-Geräte im selben Netzwerk verbreiten. Bei 41 Prozent der Angriffe nutzen die Akteure Schwachstellen von Geräten aus. Bei IT-gestützten Angriffen scannen sie mit dem Netzwerk verbundene Geräte und versuchen, bekannte Schwachstellen auszunutzen.

Unit 42 beobachtete eine Verlagerung von IoT-Botnets, die Denial-of-Service-Angriffe durchführen, hin zu raffinierteren Angriffen, die auf Patientendaten, Unternehmensdaten und im Falle von Ransomware auf finanziellen Gewinn durch Lösegeldzahlungen abzielen.

Cyberangriffe nehmen veraltete Protokolle ins Visier

Es gibt eine Entwicklung von Bedrohungen, die auf IoT-Geräte abzielen und neue Techniken wie Peer-to-Peer-C2-Kommunikation und wurmartige Funktionen zur Selbstverbreitung nutzen. Die Angreifer erkennen die Schwachstellen jahrzehntelang bestehender OT-Protokolle, wie z.B. DICOM, und sind in der Lage, kritische Geschäftsfunktionen zu stören.

Zu den wichtigsten Ergebnissen des neue Reports gehören:

  • IoT-Geräte sind unverschlüsselt und unsicher: 98 Prozent des gesamten IoT-Geräte-Verkehrs sind unverschlüsselt, wodurch persönliche und vertrauliche Daten im Netzwerk offengelegt werden.
  • Medizinische Geräte laufen mit veralteter Software: 83 Prozent der IoT-Geräte laufen auf nicht unterstützten Betriebssystemen, was einen Anstieg um 56 Prozent gegenüber 2018 bedeutet, da das Betriebssystem Windows 7 das Ende seiner Lebensdauer erreicht hat.
  • Einrichtungen im Gesundheitswesen weisen eine schlechte Netzwerksicherheitshygiene auf: 72 Prozent der VLANs im Gesundheitswesen vermischen IoT- und IT-Ressourcen, wodurch sich Malware von den Computern der Benutzer auf gefährdete IoT-Geräte im selben Netzwerk verbreiten kann.

Doch was tun? Diese Frage stellte sich schon der "Vater" der russischen Revolution W.I. Lenin. Die Antwort ist deshalb nicht ganz einfach, weil nach Ansicht von Egon Kando, Regional Sales Director Central & Eastern Europe beim IT-Sicherheitsunternehmen Exabeam, aktuell eine Wachablösung in der Cybersicherheit zu beobachten ist.

Sicherheitslösungen aus "uralten Zeiten"

Was für die Rahmenbedingungen in der IT-Industrie im allgemeinen gilt, nämlich sich schnell zu ändern, gilt natürlich auch für den Bereich der Cybersicherheit. Ständig tauchen neue Anbieter am Markt auf, die mit neuen Technologien Veränderungen anstoßen. Noch wird der Markt für Cybersicherheit in weiten Teilen von Unternehmen dominiert, die in einigen Fällen Jahrzehnte vor dem großen Datenboom im Jahr 2005 gegründet wurden.

Ob McAfee, Symantec, Splunk, RSA oder Check Point: Die momentanen Marktführer in den Marktsegmenten Firewall, Endpoint-Security, SIEM oder Identity-Management können durchweg zu der Gattung der ersten Generation von Sicherheitstechnologien gezählt werden.

Da sich die Bedrohungslage jedoch ständig ändert, stehen alle Hersteller in diesem Markt, egal ob alt oder neu, ständig vor der Herausforderung neue Technologien in ihre Produkte zu integrieren, um mit den Veränderungen Schritt halten zu können. Um ihre Produkte auf dem neuesten Stand zu halten, mussten sich viele Hersteller in den letzten Jahren unter anderem mit Remote-Mitarbeitern, Datenzugriffskontrolle und einer Vielzahl an immer komplexeren Cyberbedrohungen befassen.

Cloud, KI und maschinelles Lernen sind neue Schlüsseltechnologien

Und wenn es darum geht, neue, komplexere Technologien wie Cloud, KI oder maschinelles Lernen in ihre etablierten Produkte zu integrieren, haben auch viele erfahrene Hersteller Probleme. Diesen Umstand machen sich eine ganze Reihe neuer Sicherheitsanbieter zunutze und bringen seit einiger Zeit den Markt für Sicherheitstechnologien mit ihren neuen Lösungen in Bewegung. "Wenig überraschend ist, dass bei dieser Wachablösung oft die Schlüsseltechnologien Cloud, KI und maschinelles Lernen für den Erfolg entscheidend sind", so Exabeam-Manager Kando.

Doch wer sind die neuen Anbieter am Markt, die sich anschicken die Platzhirsche mit ihren moderneren Lösungen zu verdrängen oder dies bereits getan haben? Und auf welche Technologie sollten Nutzer zukünftig ein besonderes Auge haben, um die Sicherheit ihres Unternehmens zu verbessern? Dafür lohnt ein Blick in die Marktverhältnisse in den Bereichen Firewall, Endpoint-Security, SIEM und Identity Management.

Firewalls

Der Markt für Firewalls ist der größte innerhalb der Cybersicherheit. Einst wurde der Markt von der Firma Check Point dominiert, die 1993, also lange Zeit vor dem Datenboom zu Beginn des Jahrtausends, gegründet wurde. Die Wachablösung fand hier bereits 2012 statt, als Palo Alto Networks nach einem Börsengang den Markt systematisch aufrollte.

Die Marktführerschaft sicherte sich Palo Alto damals mit einer cloud-basierten Ausrichtung auf traditionelle netzwerkbasierte Firewall-Lösungen, der Check Point mit seiner veralteten Technologie nichts entgegensetzen konnte.

Endpoint-Security

Endpoint Security ist der zweitgrößte Markt innerhalb der Cybersicherheit für Unternehmen. Symantec und McAfee waren hier einst die Top-Adressen sowohl für den Consumer als auch für Unternehmen. Der Status Quo dieser bisherigen Marktführer steht nun seit prominenten Börsengängen zweier Herausforderer auf dem Spiel: Sowohl Carbon Black als auch CrowdStrike gingen in zweiten Quartal 2019 erfolgreich an die Börse.

Buchtipp

Das Fachbuch "Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert.

Mehr erfahren

Carbon Black hebt sich dadurch von den bisherigen Lösungen ab, dass es ungefilterte Unternehmensdaten von Endpunkten scannt. Wie im oben genannten Fall der Wachablösung bei Firewalls spielt auch auxh bei CrowdStrike die Cloud eine Schlüsselrolle: Das Unternehmen aus dem Silicon Valley bietet die branchenweit erste Cloud-native Lösung zur Erkennung und Reaktion von Endpunkten an..

SIEM (Security Information and Event Management)

Splunk ist als Anbieter von Protokoll- und Sicherheitsmanagement bekannt und konnte mit seiner Lösung nach seiner Gründung im Jahr 2003 als Marktführer etablieren. Da das Unternehmen jedoch vor dem Big-Data-Boom gegründet worden war, tut sich die Technologie des bisherigen Marktführers schwer, mit moderneren Lösungen mitzuhalten. Denn eine effiziente Verarbeitung der enorm gestiegenen Menge an Protokolldaten ist ohne KI und maschinelles Lernen längst nicht mehr möglich.

Anbieter der neuen Generation haben diese Probleme bereits gelöst, da ihre Plattformen in das Big-Data-Zeitalter hineingeboren und nativ dafür entwickelt wurden.dazu gehört Exabeam mit seiner SIEM-Plattform der nächsten Generation..

Identity Management

RSA dominierte viele Jahre den Markt für Identitäts- und Zugriffsmanagement und ist vor allem für sein SecurID-Produkt bekannt, das eine Zwei-Faktor-Authentifizierung für Hunderte von Technologien ermöglicht. Das Unternehmen aus Bedford (Massachusetts) wurde schon in den frühen 80ern gegründet und firmiert heute unter dem Dach des IT-Giganten Dell.

Neue Anbieter wie Okta und Duo Security kratzen jedoch an dessen Status. Anders als die auf Hardware basierten Produkte von RSA basieren die Dienste von Okta auf der AWS Cloud. Auch Duo Security, das von Cisco erworben wurde, und unter vielen anderen Kunden auch die Zwei-Faktor-Authentifizierung für Facebook bereitstellt, ist ein ernstzunehmender Gegner für RSA.

Augen auf bei der Anbieterauswahl!

Der Markt für Sicherheit ist in allen Sparten seit Jahren sehr dynamisch und hart umkämpft. "Schlüsseltechnologien wie Cloud, Künstliche Intelligenz und maschinelles Lernen werden dabei zu wichtigen Kriterien, die den Weg neuer Anbieter zum Erfolg ebnen", ist Egon Kando überzeugt. Die Wachablösung von alten zu neuen Anbieters ist sei in vollem Gange. Deshalb lohne sich für Unternehmen vor der Auswahl eines Anbieters der genaue Blick, ob sich der in der engeren Wahl befindliche Anbieter mit seiner Technologie auf dem aufsteigenden oder absteigenden Ast befindet.

Die Luft hat keine Balken

Digitale Innovationen sind für die Zukunftsfähigkeit der deutschen Luftfahrt entscheidend. Jedoch müssen die vorhandenen Sicherheitsstrategien bei dieser Entwicklung Schritt halten, denn Cyberangriffe im Luftverkehr können katastrophale Folgen haben. Wie groß die Bedrohung für die Branche ist und wie sich Unternehmen gegen solche Risiken schützen könnten, diskutierten kürzlich die Mitglieder des Aircargo Club Deutschland (ACD) bei einer Veranstaltung in Frankfurt mit Cybersecurity-Experten des FASAG, dem Bundesverband für Luftsicherheit.

Zu Cyberkriminalität zählen Straftaten, die auf Computersysteme und Netzwerke zielen. Ein wichtiges Merkmal bestehe darin, dass die Täter nahezu von jedem Ort der Welt aus agieren und ihre Spuren relativ gut verschleiern können, erklärte Marc Jobelius, Vorstandsmitglied des Federal Aviation Security Association of Germany – Bundesverband für Luftsicherheit e.V. (FASAG). Bei Angriffen auf Wirtschaftsunternehmen oder kritische Infrastruktureinrichtungen, die den Luftverkehr betreffen, ist das Schadenspotenzial besonders groß. So warnte die US-Luftfahrtbehörde Federal Aviation Administration (FAA) in der Vergangenheit davor, dass einige Computersysteme der Maschinen des Typs Boeing 747-8 und 747-8F für Angriffe von außen anfällig sein könnten.

Um solchen Angriffen vorzubeugen, soll am 31. Dezember .2020 die neue EU-Verordnung 2019/1583 in Kraft treten. Sie sieht vor, Flughafenbetreiber, Luftfahrtunternehmen und Beteiligte der sicheren Lieferkette zu verpflichten, Sicherheitsmaßnahmen in Bezug auf Cyberangriffe zu ergreifen.

Wie leicht es stellenweise ist, Computersysteme zu hacken, zeigte während der ACD-Veranstaltung Marion Steiner, Mitglied der Unternehmensleitung der IT-Security@Work GmbH, anhand anschaulicher Beispiele aus der Praxis. Insbesondere durch den Zuwachs im Bereich Cloud Computing weichen Unternehmensgrenzen immer stärker auf und die Bedrohung nehme zu, erklärte Steiner.

(ID:46419226)