IoT Security – Strategien zur Absicherung von unmanaged Devices

Mit Initiativen wie Industrie 4.0 und der verstärkten Digitalisierung in allen Bereichen, nicht zuletzt auch im Gesundheitswesen, kommt eine Flut von Geräten auf uns zu, die nicht in den regulären Patch-Management-Prozess eingebunden werden können. Damit stellen sie ein erhebliches Risiko dar. Mit welchen Strategien kann dieser Entwicklung begegnet werden?

Autor: Martin Buck, Head of Competence Center Security bei BNC

IoT Security benötigt einen Plan

Zahlreiche Hersteller bringen gerade neue Produkte auf den Markt, die versprechen, im weit gefassten IoT (Internet of Things) Umfeld für Sicherheit zu sorgen. Darunter sind sehr gute Werkzeuge, mit denen man das Risiko einer Infektion und Ausbreitung von Schadsoftware im Unternehmen unterbinden kann. Doch was heute oft fehlt, ist das Verständnis, wie man diese Werkzeuge so einsetzt, dass nicht nur die IT geschützt wird, sondern der Betrieb und die Wertschöpfung des Unternehmens aufrechterhalten wird. Das Ziel Produktivität muss an erster Stelle stehen, wenn ein IoT Security Projekt erfolgreich sein soll.

Vom IoT Buzzword zu konkretem Mehrwert

Unter dem Begriff IoT werden so vielfältige Gerätschaften zusammengefasst, die auf den ersten Blick nichts miteinander zu tun haben, wie ein Zutrittskontrollsystem, ein Messsensor, ein Röntgengerät, ein Drucker oder eine CNC-Fräse. Allen gemein ist der Umstand, dass diese Geräte vom Hersteller mit einem Betriebssystem ausgerüstet werden, auf das der Endanwender keinen oder nur beschränkten Zugriff hat und es nicht im regulären Patch-Management-Prozess mit regelmässigen (monatlichen) Updates versorgt werden kann. Dies kann unterschiedliche Gründe haben, von rigiden Zertifizierungs-Anforderungen bis hin zu ausgelaufenen Support-Zeiträumen oder simpel der Vernachlässigung durch den Hersteller. Im Ergebnis klaffen meist erhebliche Sicherheitslücken in diesen IoT Gerätschaften. Um deren Ausnutzung zu verhindern, werden diese Geräte oft in eigenen Netzwerkzonen isoliert und mit einer modernen Firewall mit integrierter Threat Prevention geschützt. Damit soll das Risiko von Infektionen reduziert und eine allfällige Ausbreitung erkannt und mit passenden Gegenmassnahmen verhindert werden. Aber das allein ist ein kurzsichtiges Vorgehen, denn der Blick auf die Wertschöpfungskette fehlt.

Der Weg zum Plan

Relevant ist die Aufrechterhaltung des Betriebs während einer Attacke auf oder Infektion dieser IoT-Geräte, vielleicht in reduzierter Form, bis das Problem gelöst wird. Aus IT-Sicht werden gerne gleichartige Geräte in die gleiche Zone gestellt. Das erleichtert die Anwendung von Regelwerken auf diese Gerätegruppen. So werden z.B. alle Drucker in einer Zone zusammengefasst und alle Röntgengeräte in einer anderen Zone. Aber was hat das für Auswirkungen auf Ihren Betrieb, wenn alle Drucker stillstehen oder alle CNC-Fräsen gleichzeitig infiziert wurden?
Daher ist es wichtig, als Grundlage für die Segmentierung die Betriebsabläufe zu verwenden und nicht die IT-Brille als Massstab anzulegen. Wie ein Ergebnis aussehen kann, sollen zwei Beispiele aufzeigen:
In einem Industriebetrieb macht es oft mehr Sinn, jede Produktionsstrasse in einer eigenen Zone zusammenzufassen und damit bei einem Vorfall eine Linie temporär zu verlieren, aber auf den drei anderen weiterhin produzieren zu können.

In einem Spital sind es dann beispielsweise Röntgen und MRI-Geräte, die in mehrere Gruppen aufgeteilt werden, um eine Grundversorgung der Radiologie sicherstellen zu können.

Entscheidend für den Erfolg ist also das Verständnis für die Geschäftsabläufe und deren Verfügbarkeitsanforderungen. Diese können in ein passendes Zonenkonzept integriert werden. Darauf aufbauend werden schliesslich die Regeln für diese Zonen definiert. Um diese richtig zu setzen, geben die guten IoT Lösungen aktive Hilfestellung.

Die Umsetzung mit den richtigen Werkzeugen

Oft treffen wir bei unseren Kunden ein Netz an, bei dem verschiedenste Gerätschaften gemischt betrieben werden. Und mit fortschreitender Digitalisierung werden es mehr und mehr. Daher ist es nicht mit vertretbarem Aufwand möglich, alle Regeln von Hand zu erstellen und jede Änderung nachzupflegen.
Hier entsteht der echte Mehrwert der IoT Werkzeuge, indem sie Geräte-Typen und -Modelle automatisch erkennen können und mit Zusatzinformationen den Administrator unterstützen. Dazu gehören:

  • Normales Kommunikationsverhalten
  • Bekannte Verwundbarkeiten
  • Gruppierungsvorschläge
  • Automatisierte Vorschläge zur Regelerstellung
  • Alerting bei ungewöhnlicher Kommunikation (als Hinweis auf eine Kompromittierung)

Wenn die Geräte von den Fachpersonen noch passend mit Tags zu Standort und Verfügbarkeits-Gruppe versehen werden, lassen sich damit umfangreiche Regelwerke mit wenig manuellem Aufwand der IT pflegen und das Risiko eines Produktionsausfalls oder eines Datenabflusses stark reduzieren.

Wichtig bei der Auswahl eines Produktes ist besonders:

  • die gute Integration der IoT Lösung mit der Zonierungsfirewall,
  • eine automatische Vor-Klassifizierung von für den Anbieter noch unbekannten Geräten, die eigenständig ergänzt werden kann und
  • die proaktive Erkennung von ungewöhnlichem Kommunikationsverhalten.

Mit dieser Herangehensweise kann die IT Ihrer Organisation einen entscheidenden Beitrag zur Sicherstellung der Betriebssicherheit und -verfügbarkeit leisten.

 


Martin Buck

Martin Buck ist seit über 20 Jahren als ausgesprochener IT-Security Experte im Schweizer Markt unterwegs und arbeitet bei der BNC Business Network Communications AG[1] als Head of Competence Center Security. Er berät regelmässig mittlere und grössere Unternehmen zu IT-Sicherheits-Architektur-Themen.

Referenzen:

https://www.bnc.ch/de/security/