GlobalSign Blog

31 Mai 2018

Allgemeingültige Sicherheitstipps für IoT im Büro

Das Internet der Dinge (IoT) ist keine Modeerscheinung mehr. Es ist nicht mehr wegzudenken. Aber wie man es von einer Technologie erwartet, die von der Interkonnektivität lebt, kann sie ein Ziel für bösartige Programme und Angriffe sein. Kombiniert man dies mit der BYOD-Politik vieler Unternehmen, hat man einen Sicherheitsalbtraum vor sich. Hacker können die schwach gesicherten Geräte angreifen, die Ihre Mitarbeiter mit ins Büro bringen und, sofern diese mit Ihren Unternehmensnetzwerken verbunden sind, sie als Gateway in Ihre Systeme verwenden.

Es ist nicht schwer, zu erkennen, dass zukünftig mehr Angriffe auf die IoT-Technologie abzielen. Gerade das, was das IoT so attraktiv macht - seine Fähigkeit, verschiedene Geräte und Systeme miteinander zu verbinden - macht es auch anfällig für Angriffe. Zusätzlich dazu, dass die betroffenen Geräte selbst entweder als Hintertür für Hacker genutzt oder als Teil eines Botnetzes versklavt werden, können sie auch sensible Daten der Gefahr eines illegalen Zugriffs oder Abfangens bei der Übertragung aussetzen.

Wie können Sie also Ihr Unternehmen vor IoT-Bedrohungen schützen und gleichzeitig die Vorteile genießen, die IoT-Geräte hinsichtlich Interkonnektivität und Komfort bieten?

Hier sind einige Tipps:

Schränken Sie IoT-Geräte bei der Arbeit ein

Nur weil es eine BYOD-Politik gibt, sollte dies nicht bedeuten, dass Mitarbeiter jedes beliebige Gerät, das sie besitzen, mitbringen und mit dem Büronetzwerk verbinden können.

Insbesondere IoT-Wearables haben diverse Sicherheitsschwachstellen, die ein Unternehmen der Gefahr einer Datenschutzverletzung aussetzen können. Viele dieser Geräte speichern und übertragen Daten ohne Verschlüsselung, oft ohne Passwort oder biometrische Authentifizierung. Sie verbinden sich auch über unsichere Verbindungen wie Bluetooth oder NFC mit Ihrem Smartphone und sind damit besonders anfällig für Brute-Force-Angriffe.

Die am meisten gefährdeten Daten sind die eigenen persönlichen Daten des Mitarbeiters, da diese üblicherweise in den IoT-Wearables verwendet werden. Aber es gibt auch andere Gefahren. 2014 haben White-Hat-Hacker Sicherheitslücken in IoT-Glühbirnen aufgedeckt, durch die das WLAN-Passwort offengelegt wurde. Schlimmer noch, sobald ein Gerät kompromittiert ist, kann es andere Geräte, die mit dem Netzwerk verbunden sind, auskundschaften und sie ebenfalls gefährden.

Schränken Sie die IoT-Geräte, die mit Ihrem Netzwerk verbunden sind, so weit wie möglich ein, oder verbinden Sie sie zumindest mit einem separaten Netzwerk, was uns zum nächsten Tipp führt.

Verwenden Sie ein separates Netzwerk

Sie wissen, dass Sie ein separates Netzwerk aufbauen können, auf das nur Gäste zugreifen können, sodass sie keinen Zugriff auf das Hauptnetzwerk Ihres Unternehmens haben?

Sie können das Gleiche für IoT-Geräte tun. Sie können ein separates Netzwerk für Sie und die IoT-Geräte Ihrer Mitarbeiter aufbauen. Auf diese Weise ermöglichen Sie die Verwendung solcher Geräte in Ihren Räumlichkeiten, sodass Ihre Mitarbeiter zufrieden sind, ohne dass Ihr Hauptnetzwerk gefährdet wird.

Dies ist eine der einfachsten Möglichkeiten, Ihr Hauptnetzwerk vor IoT-Bedrohungen zu schützen.

Verwenden Sie starke und eindeutige Passwörter

Wie bei jeder Sicherheitsmaßnahme steht am Anfang immer ein starkes Passwort. Das Gleiche gilt für die IoT-Sicherheit. Fordern Sie Ihre Mitarbeiter auf, starke und eindeutige Passwörter zu verwenden, insbesondere wenn sie ihre Geräte über ein WLAN-Netzwerk verbinden.

Der massive Mirai DDoS-Angriff (Distributed Denial-of-Service) im Jahr 2016 wurde speziell entwickelt, um IoT-Geräte mit schwachen Passwörtern und veralteten Versionen des Linux-Kernels auszukundschaften. Er infizierte hauptsächlich Router und IP-Kameras und verwendete diese, um den DNS-Provider DYN zu überfluten. Er legte eine Reihe großer Websites wie Etsy, Shopify, Twitter und Spotify lahm. Am Ende breitete sich das Botnetz auf 380.000 Geräte aus.

Darüber hinaus können diese einfach zu hackenden IoT-Geräte auch zur Unternehmensspionage eingesetzt werden. Intelligente Kameras, Mikrofone und Lautsprecher mit schwachen Passwörtern können von böswilligen Parteien verwendet werden, um sensible Unternehmensinformationen zu erfassen oder aufzuzeichnen.

Es sollte selbstverständlich sein, dass Sie sicherstellen, dass jedes angeschlossene Gerät, das Sie für geschäftliche Zwecke an den Arbeitsplatz mitbringen - Dinge wie Projektoren, Lautsprecher und sogar Dinge wie Kaffeekannen oder Verkaufsautomaten - ein eindeutiges, starkes Passwort und nicht die werksseitigen Standard-Anmeldedaten, mit denen sie ausgeliefert wurden, verwendet.

Beachten Sie diese Leitlinien:

  • Passwörter sollten eine Kombination aus alphabetischen (Groß- und Kleinbuchstaben), numerischen und Sonderzeichen sein.
  • Jedes Gerät sollte ein eindeutiges Passwort haben. Verwenden Sie nicht dasselbe Passwort auf mehreren Geräten.

Weitere Tipps zum Erstellen von starken Passwörtern finden Sie hier.

Verwenden Sie kein Universelles Plug & Play

Die meisten IoT-Geräte verfügen über Universelles Plug & Play-Funktionen (UPnP), die die Verbindung mit anderen Geräten erleichtern. Es macht es für verschiedene Geräte wie Router, Drucker, Kameras und andere ziemlich einfach, sich ohne komplexe Konfigurationen zu erkennen und miteinander zu verbinden.

Das Problem ist jedoch, dass es Ihr Gerät allzu offen macht. Ihr Gerät ist für jeden, wie z. B. böswillige Parteien, ziemlich einfach zu entdecken. Es ist, als würde man Hackern ein Willkommensschild hinhalten und ihnen sagen, dass Sie geöffnet haben.

Obwohl es also bequem ist, kann es Sie auch verletzlich und offen für Angriffe machen. Ich schlage vor, UPnP auszuschalten und sich die Zeit zu nehmen, das Setup selbst zu konfigurieren.

Firmware immer aktualisieren

Nur weil Sie Sicherheitsfunktionen auf Ihrem Gerät haben, bedeutet das nicht, dass Sie automatisch sicher sind.

Wie bei Ihrer PC-Software ist es empfehlenswert, die Firmware Ihres IoT-Geräts immer zu aktualisieren. Diese Patches beheben Fehler und andere sicherheitsrelevante Probleme, die ständig entstehen. Wenn Sie diese Updates nicht beachten, wird die Sicherheit Ihres Geräts leichter beeinträchtigt, da es neue Angriffsformen nicht erkennen kann.

Automatisieren Sie Ihre Updates; oder besser noch, schauen Sie regelmäßig auf der Website des Herstellers vorbei oder kontaktieren Sie ihn direkt, um zu sehen, ob Ihr Gerät über die neuesten Versionen verfügt oder ob Sie die neueste Version herunterladen müssen.

Nur sichere Cloud-Services integrieren

Cloud-basierte Business-App-Anbieter haben erkannt, dass IoT der Geschäftstätigkeit eine weitere Effizienzebene hinzufügen kann. Amazons Alexa for Business wurde Ende letzten Jahres gestartet, um davon zu profitieren. Es lässt sich in einige der beliebtesten Cloud-Apps für Unternehmen integrieren, z. B. das Business-Telefonsystem RingCentral, Microsoft Office 365, die Produktreihe G Suite für Produktivitäts-Apps und die Customer Relationship Management-App von Salesforce.

Diese Dienste haben jedoch sehr starke Verschlüsselungs- und Datenschutzfunktionen. Das kann man nicht von jedem Cloud-Service sagen.

Das Problem ist, dass viele IoT-Geräte einen Cloud-Dienst benötigen, der nicht so sicher ist wie die oben genannten Dienste. Sie können sensible Daten synchronisieren und mehr Informationen weitergeben, ohne das wirklich zu wollen.

Achten Sie darauf, die gesamte Datenschutzrichtlinie des Cloud-Dienstes einschließlich seiner Verschlüsselungs- und Datensicherheitsfunktionen vollständig zu lesen.

IoT soll die Erledigung von Dingen verbessern und vereinfachen. Die Technologie steckt jedoch noch in den Kinderschuhen und es gibt immer noch viele Sicherheitsbedenken um sie herum. Sorgen Sie dafür, dass Sie den Überblick darüber behalten, denn wenn Sie ihn nicht haben, wird es zu einem Albtraum statt einer Annehmlichkeit.

Über den Autor

Mark Dacanay ist ein Experte für Digitales Marketing, der mehr als fünf Jahren mit einem B2B-Unternehmen zusammengearbeitet hat, das Cloud-basierte Services anbietet. Er ist besessen von allem, was mit der Cloud zu tun hat. Sie können ihn über Twitter und LinkedIn erreichen.

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen