IT-Sicherheitsrisiken für Mittelständler

Cyberkriminelle entdecken das Internet der Dinge

Die Verbreitung des „Internet der Dinge“ schreitet rasch voran und bringt neue Möglichkeiten hinsichtlich automatisierter Kommunikation und effizienterer Produktionsprozesse mit sich. Gleichzeitig dient die zunehmende Vernetzung von Produktionsanlagen, aber auch die von Alltagsgegenständen wie zum Beispiel Kühlschrank oder Fernseher mit dem Internet als neues Einfallstor für Cyberkriminelle. Auch mittelständische Unternehmen sind hier ein beliebtes Opfer.

 Laut IT-Sicherheitsanbietern ist allein der Einsatz von Passwörtern für alle „smarten“ Geräte wie etwa Laptops schon eine große Hürde für Angreifer und – sofern die Möglichkeit besteht – für Anwender sehr leicht umzusetzen.

Ausgelöst durch die jüngsten Überwachungsskandale hat der Schutz vor Hacker­angriffen für deutsche Unternehmen eine neue Dimension erreicht“ – lautet das Ergebnis einer aktuellen Studie, die die Nationale Intitiative für Informations- und Internet-Sicherheit e.V. (Nifis) auf der diesjährigen Cebit präsentierte. Demzufolge sehen 89 Prozent der befragten Unternehmen spezielle Sicherheitsvorkehrungen vor Hackerangriffen aus dem Internet als besonders wichtig an. Gleiches bestätigt John N. Stewart, Sicherheitsexperte bei Cisco, im Rahmen des unternehmenseigenen Security-Reports: „Cybersicherheit bleibt auch 2014 eines der wichtigsten Themen der Technologiebranche. Dies beginnt damit, die Unternehmen mit dem praktischen Wissen der sich erweiternden Angriffsflächen auszustatten.“

Ein neues Einfallstor für Cyberkriminelle stellt hierbei das sogenannte „Internet der Dinge“ dar, die Verknüpfung unterschiedlichster Geräte mit dem Web. Damit sind nicht nur – wie bisher üblich und bekannt – Computer, Smartphones, Spielekonsolen und Co. gemeint, sondern zunehmend auch Gegenstände wie Kühlschränke, Heizthermostate, Wasserzähler oder auch der Bordcomputer im Auto. So können also künftig nicht nur Laptops und Mobiltelefone, sondern beispielsweise auch Haushaltsgeräte gehackt werden, die viele Anwender allerdings noch nicht als potentielle Angriffsziele auf dem Schirm haben. Insbesondere der deutsche Mittelstand geht jeden Tag hohe Risiken ein, „und zu oft wird gleichzeitig dem Thema ‚Sicherheit’ zu wenig Aufmerksamkeit geschenkt“, bemängelt Stefan Tewes, CEO der auf Sicherheitsberatung spezialisierten Canacoon GmbH. „Teilweise werden Gelder ineffizient eingesetzt, weil dem Management die Risiken und Abhängigkeiten des Geschäftes von der IT nicht transparent genug sind oder nicht korrekt eingeschätzt werden.“ Dabei besitzen insbesondere die kleinen und mittelgroßen deutschen Unternehmen schützenswertes Know-how wie z.B. Konstruktionszeichnungen, Kundenlisten oder Projektpläne.

Aufmerksamkeit für IT-Sicherheit gestiegen


„Sicherlich ist durch die mediale Berichterstattung rund um die Enthüllungen von Edward Snowden die Aufmerksamkeit für das Thema ‚IT-Sicherheit’ gestiegen“, fügt Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices und Sicherheitsexperte im Eco – Verband der deutschen Internetwirtschaft e.V., an. Dies bedeute aber noch lange nicht, dass die Unternehmen das Thema „Cyberkriminalität“ im gesamten Ausmaß erfassen können. Noch zu häufig seien keine eigenen IT-Sicherheitsspezialisten im Haus und kein Verständnis für derartige Sicherheitsaspekte vorhanden. Dabei haben Cyberkriminelle bereits im letzten Jahr immer anspruchsvollere Hacking-Methoden und -Tools verwendet und Unternehmen ganz gezielt mit Phishing, Social Engineering und Man-in-the-Middle-Attacken angegriffen. „Einige der Topmarken in den Bereichen Finanzdienstleistungen, Unterhaltungselektronik, Einzelhandel und sogar Security sind Opfer schwerwiegender Angriffe geworden“, betont Thorsten Krüger, Regional Sales Director bei Safenet. Das werde sich auch 2014 fortsetzen.

„Cyberkriminelle und Unternehmen liefern sich in Sachen ‚IT-Sicherheit’ ein ständiges Wettrennen. Während die Sicherheitsindustrie immer leistungsfähigere Produkte entwickelt und (zumindest einige) Unternehmen ihre technischen und organisatorischen Vorkehrungen verbessern, agieren auch Cyberkriminelle und Hacktivisten in jeder Hinsicht professioneller als je zuvor“, weiß Steve Durbin, Global Vice President des Information Security Forums (ISF). „Genau wie die Sicherheitsindustrie machen sie sich dabei den technischen Fortschritt zunutze.“ Häufig seien sie dabei sogar einen Schritt voraus. Laut Durbin bergen aktuell etwa die Nutzung privater mobiler Geräte am Arbeitsplatz, Cloud Computing und eben das Internet der Dinge die größten Risiken für Unternehmen. „Wenn alles vom Bluray-Player über Spielekonsolen bis hin zur Temperatursteuerung und dem Kühlschrank, aber auch die Windkraftanlage ‚IT’ spricht“, erläutert Stefan Tewes, „und diese Komponenten dann noch von Herstellern gebaut werden, die bislang wenige oder keine Berührungspunkte mit Sicherheitsthemen dieser Art hatten, werden die Wahrscheinlichkeiten für erfolgreiche Angriffe größer.“

Intelligente IT-Systeme noch kein Standard


Auch in mittelständischen Unternehmen kommen bereits „intelligente, vernetzte“ Geräte zum Einsatz, obgleich sie noch nicht Standard sind. „Wir gehen aber davon aus“, so Steve Durbin, „dass sich das in den nächsten Jahren schnell ändern wird.“ Laut Stefan Strobel, geschäftsführender Gesellschafter der auf Informationssicherheit fokussierten Cirosec GmbH, findet man solche Geräte schon immer häufiger bei der Gebäudesteuerung bzw. -überwachung, in der Telefonie sowie bei fast allen Geräten der Unterhaltungselektronik, die oft in Besprechungsräumen verwendet werden. Auch in der Produktion werden die Geräte immer stärker mit IP vernetzt und sind damit angreifbar. Markus Schaffrin verweist zudem auf einen Bereich außerhalb des Rampenlichts: die Landtechnik, in der vom Traktor bis zum Mähdrescher schon längst vernetzte Systeme im Einsatz sind.

„Bei einem Kühlschrank stellt sich die Frage, was an persönlichen Daten hinterlegt ist“, wirft Jürgen Jakob, IT-Security-Experte und Geschäftsführer von Jakobsoftware, ein. „Ob er als ‚Nebeneingang’ in private Netze dient, ist noch nicht ausreichend erforscht.“ Allerdings hat der Security-as-a-Service-Anbieter Proofpoint nach eigenen Angaben kürzlich den möglicherweise ersten nachweisbaren Internet-of-Things-basierten (IoT) Cyberangriff aufgedeckt, bei dem handelsübliche „intelligente“ Haushaltsgeräte eingesetzt wurden. Diese Geräte, beispielsweise Heimnetzwerkrouter, Multimediacenter, Fernseher und mindestens ein Kühlschrank, wurden manipuliert und dienten als Plattform zum Ausführen der Attacken. Doch warum sind solche Geräte so leicht angreifbar? Jürgen Jakob erklärt: „Bei der Entwicklung eines Kühlschranks steht naturgemäß die Kühlung im Vordergrund und definitiv nicht die Sicherheit.“ Allerdings gebe es viele Ideen und Machbarkeitsstudien. Sollten Anbieter die neuen Vernetzungsansätze verwirklichen, müssen sie die Geräte in punCto Sicherheit aufrüsten. „Das gilt sicherlich auch für den Bereich der Heimsteuerung, beispielsweise bei per Smart-Home-Technik ferngesteuerten Kaffeemaschinen.“

Fehler bei der Software-Programmierung

Außerdem: Auf allen „intelligenten“ Geräten benötigt man eine Software als Betriebssystem, häufig auch als Firmware bezeichnet. „Diese Software wird von Menschen geschrieben, die nun mal Fehler in der Programmierung machen“, erläutert Markus Schaffrin vom Eco-Verband. „Das Grundproblem ist, dass bei der Software-Entwicklung zu wenig auf die Sicherheit geachtet wird.“ Sie müsse integraler Bestandteil bei der Programmierung sein und nicht erst später aufgesetzt werden. Hinzu kommt, dass die „intelligenten“ Geräte für den Endverbraucher konzipiert wurden, der sie oft mit großem Vertrauen, aber geringerem Sicherheitsverständnis einsetzt – häufig auch ohne die IT-Abteilung frühzeitig einzubinden. „Wenn diese Geräte mit den Werkseinstellungen in Betrieb gehen, ohne dass vorhandene Sicherheitsmechanismen angepasst wurden, sind sie natürlich angreifbar“, weiß Klaus Gheri, Vice President Network Security bei Barracuda Networks. Nötig sei eine unternehmensweite Richtlinie zum Einsatz neuer, IP-fähiger Geräte, um dieser Gefahr vorzubeugen.

Zudem sind vor allem Heimanwender und kleine Unternehmen schnell überfordert, wenn ein Software-Update bei einem (Haushalts-)Gerät ansteht. Christian Funk, Analytiker bei Kaspersky Lab, erklärt das Problem: „Bei der zunehmenden Fülle an netzfähigen Geräten verliert man schnell die Übersicht, obwohl man eigentlich ein adäquates Patch-Management mit den dazugehörigen Fähigkeiten betreiben müsste. Auch für Unternehmen mit eigenen Administratoren wird die Situation nicht gerade einfacher.“

Vom Spamversand bis hin zur Erpressung


Auf welche Weise die vernetzten Geräte letztlich „missbraucht“ werden, richtet sich ganz nach der Intention der Cyberkriminellen. Laut Christian Funk wurde bereits im Jahr 2010 auf einer IT-Sicherheitskonferenz eine Machbarkeitsstudie gezeigt, bei der ein Unternehmen über eine Nintendo-Wii-Konsole angegriffen und die Rechner erfolgreich mit Schadsoftware infiziert wurden. Desweiteren können über die Geräte auch die Klassiker wie Spamversand oder DDoS-Angriffe durchgeführt werden. „Im Prinzip werden ‚smarte’ Geräte aus den gleichen Gründen wie normale PCs etc. missbraucht“, so Steve Durbin. „Das heißt, es geht in der Regel vor allem darum, Daten zu stehlen, in fremde Netzwerke einzudringen oder Botnetze aufzubauen. Manchmal geht es auch einfach nur um Sabotage.“
Laut Felix Blank, Head of QA der Gateprotect AG, werden die Geräte typischerweise benutzt, um Hintertüren für einen späteren Zugriff zu implementieren oder Trojaner einzuschleusen. „Ein Router oder Smart-TV kann beispielsweise Passwörter mitlesen und für einen späteren Missbrauch archivieren“, warnt er. Und Jürgen Jakob ergänzt: „Über die Smartphones ihrer Opfer spähen Cyberkriminelle Daten aus, während der Kühlschrank zum Spammer mutiert.“ Maschinensteuerungen seien wiederum ideale Einfallstore für Erpressungen – denn eine Störung der Produktion ist für produzierende Unternehmen immer geschäftskritisch.

IT-Angriffe schwer nachweisbar


Angriffe über vernetzte Geräte sind oft schwer nachzuweisen, „da diese meist keinen eigenen Speicherplatz für Protokolle und keine Schnittstelle zu zentralen Log-Management-Systemen besitzen“, wirft Stefan Strobel von Cirosec ein. Ohne zusätzliche Analyse des Datenverkehrs im Netz sei man daher in vielen Fällen blind. Auch Markus Schaffrin bestätigt, dass sich Angriffe nur schwer nachweisen lassen bzw. oftmals gar nicht bemerkt werden. „Gerade kleine und mittlere Unternehmen, bei denen die IT-Sicherheit ohnehin nicht oberste Priorität genießt, werden auch keine speziellen Detection-Intrusion-Systeme oder IT-Forensiker für die spätere Aufklärung im Haus haben.“

Moderne Firewall-Systeme könnten, wenn sie richtig konfiguriert sind, zumindest teilweise solche applikationsbasierten Angriffe erkennen, melden und blockieren. Der günstige Heimrouter mit Firewall-Funktionalitäten könne das allerdings in der Regel nicht, meint Stefan Tewes. „Komplexere Angriffe erkennt man ohne weiteren Tooleinsatz im hauseigenen Netz als Privatperson nur durch Zufall. In Unternehmen ist das sehr differenziert zu betrachten: Um die Effizienz in z.B. Herstellungsprozessen nicht zu sehr negativ zu beeinflussen, sind hier besondere Schutzkonzepte erforderlich, die von den Risiken und Einsatzszenarien der Systeme in den Prozessen der Unternehmen abhängen.“

Cyberkriminelle legen natürlich Wert darauf, lange unentdeckt Zugang zu den Gerätschaften zu haben. Auch deshalb lässt es sich vom Anwender oft nur schwer erkennen, ob ein Gerät infiltriert wurde. „Wenn der Benutzer nicht weiß, was sein Gerät eigentlich tun soll, dann handelt er fahrlässig“, betont IT-Sicherheitsexperte Jürgen Jakob. Anwender müssten sich immer die eigentliche Aufgabe des Geräts vor Augen führen, denn Performance-Änderungen oder ein unerklärliches Verhalten seien nicht nur Anzeichen für Gerätestörungen. Die Ausnahme bilden hier laut Jakob Erpressungstrojaner, die jedoch nach wie vor zentral auf Windows-Systeme mit veralteter Software zielen.

Abschwächung von IT-Risiken


Letztlich benötigen die Gerätehersteller ausgereifte Prozesse, die die Sicherheit bereits während der Produkterstellung, aber auch darüber hinaus wirklich aktiv unterstützen. Auch sichere Update-Prozesse für Industrieanlagen und Alltagsgeräte, die z.B. auch in der Unternehmensküche zum Einsatz kommen, sowie ausreichend langer Support sind hier laut Tewes von essentieller Bedeutung. Für den Heimanwender gebe es viele Maßnahmen, die auch in Firmennetzen Anwendung finden. Allerdings sei dies mit hohem Aufwand und Kosten verbunden. „Letztlich wird durch das Sicherheitsbewusstsein einzelner Privatleute nicht die Gefahr im allgemeinen gebannt“, betont der Canacoon-CEO. „Die Industrie steht in der Verantwortung, diese Problemstellung konsequent und nachhaltig anzugehen und zu lösen bzw. Ansätze zur Abschwächung von Risiken zu schaffen.“ Eine billige Massenproduktion, die schnelle Abfolge von Gerätegenerationen und Gewinnmaximierung würden mit den Sicherheitsanforderungen kollidieren, ergänzt Jürgen Jakob. Aber die Hersteller müssten die Sicherheit als zentralen Faktor ihrer Produkte anerkennen und etablieren.

IT-Sicherheitsunternehmen bieten wiederum eine Vielzahl an Lösungen für den Datenschutz – von Authentifizierungslösungen bis hin zur Verschlüsselung. „Wichtig ist“, so Thorsten Krüger von Safenet, „dass die Unternehmen sich nicht auf eine Methode beschränken, sondern einen guten Mix für die Prävention, aber auch zum Schutz der Informationen im Ernstfall verwenden.“ Ein weiterer Beitrag, den Sicherheitsanbieter leisten können, besteht darin, übergreifende Sicherheitsstandards zu schaffen, beispielsweise für Verschlüsselungs- und Cloud-Lösungen. Doch ein hundertprozentiger Schutz wird nie möglich sein, meint Steve Durbin vom ISF. „Wichtig ist deswegen, dass Unternehmen so widerstandsfähig gegenüber jeder Form von Bedrohungen und Angriffen aufgestellt sind, dass sie auch bei unvorhersehbaren Vorfällen handlungsfähig bleiben.“



Proaktiver Schutz des Computers

  • Das Endgerät auf Befall ­überprüfen; hierzu den EU-Cleaner benutzen; ­gefundene Schädlinge löschen
  • Aktuelle Servicepacks und Sicherheitsupdates für das System installieren; automatische Updates aktivieren
  • Die eingesetzten Internetbrowser ­überprüfen; eingebundene Plug-ins ­regelmäßig auf ihre Aktualität überprüfen
  • Einen Virenscanner installieren und ­regelmäßig aktualisieren
  • Eine Firewall benutzen

Quelle: Markus Schaffrin, Eco



IT-Sicherheitsmaßnahmen für „smarte“ Geräte

  • Allein der Einsatz von Passwörtern für alle „smarten“ Geräte ist schon eine große Hürde für Angreifer und – sofern die Möglichkeit besteht – für Anwender sehr leicht umzusetzen.
  • Anwender sollten alle verfügbaren Software-Updates immer sofort durchführen. In der Regel werden mit den Updates vor allem Sicherheitslücken geschlossen.
  • Beim Surfen auf „smarten“ Geräten sollten Benutzer besondere Vorsicht walten lassen. Genau wie PCs, Laptops oder Smartphones sind auch ans Netz angeschlossene Kühlschränke oder Mikrowellen nicht immun gegen Viren, Malware oder Botnets.
  • Für den Schutz von „smarten“ Geräten ist es darüber hinaus wichtig, dass Anwender ihre Smartphones oder Tablets schützen. Denn die meisten Nutzer steuern mit diesen ihre „smarten“ Geräte.

Quelle: Steve Durbin, ISF


Bildquelle: © Thinkstock/iStockphoto

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok