IoT Cybersecurity in den Medien: Warum es nicht nur schlechte Nachrichten gibt

(Wurzel) (Wurzel)
28. Februar 2024

Wenn Sie eine Rolle in der großen Ökosphäre spielen, die die IoT von heute ist, dann haben Sie die Artikel gesehen. Industrielle Mobilfunk Router sind gefährdetverkündet The Hacker News. Schwachstellen könnten Tausende von Industrieunternehmen für Angriffe aus der Ferne anfällig machenschreit SecurityWeek. Und erst kürzlich wetterte SC Media, dass Bestimmte Schwachstellen in Routern stellen ein Hacking-Risiko für kritische Infrastrukturen dar. IoT Cybersicherheitsbedenken reichen aus, um Netzwerkmanager nachts wach zu halten und möglicherweise sogar das rasante Wachstum des Internets der Dinge zu bremsen.

Geben Sie nicht den Medien die Schuld. Sie machen nur ihre Arbeit. Und dieses Bewusstsein trägt dazu bei, die riskante und seit langem vorherrschende Denkweise zu durchbrechen, dass Verstöße gegen die Cybersicherheit IoT isoliert oder ungewöhnlich sind. Heutzutage kann sich kein Unternehmen, das vernetzte Geräte einsetzt, mehr darauf verlassen, dass "uns das nicht passieren wird". Wir müssen uns eingestehen, dass es jedes Unternehmen überall auf der Welt treffen kann - sogar Finanzinstitute, die vermutlich über die neuesten Cybersicherheitsprotokolle und Compliance-Rahmenwerke verfügen.

Auf IoT und im Bereich der Cybersicherheit gibt es entscheidende Schritte, die jeder einzelne Betrieb einleiten kann und sollte, um nicht nur eine Grundlage für eine gute Sicherheitshygiene zu schaffen, sondern auch sicherzustellen, dass alle angeschlossenen Geräte, die der Zuständigkeit des Unternehmens unterliegen, aktualisiert werden können, wenn neue kritische Schwachstellen bekannt werden.

Wichtige Konzepte auf IoT Cybersicherheit

IoT Cybersicherheitskonzept

Beginnen wir mit den wichtigen Grundsätzen der Cybersicherheit von IoT . Sie werden sich vielleicht fragen: Was ist Cybersicherheit in IoT, und was sind einige Beispiele?

Wie die meisten Menschen heute wissen, ist das IoT oder Internet der Dinge ein Begriff, der das riesige Universum der verbundenen Geräte beschreibt. Dazu gehören intelligente Heimgeräte und intelligente Gebäude sowie Industriegeräte, intelligente Transport- und Stadttechnologien und vieles mehr. IoT Cybersicherheit umfasst Strategien und Praktiken, die sicherstellen, dass alle vernetzten und drahtlosen Geräte - einschließlich Router, Gateways, eingebettete Kommunikationsmodule und alle Geräte, die diese vernetzten Technologien integrieren - so konzipiert oder programmiert sind, dass sie vor Cyberangriffen geschützt sind. 

Wenn beispielsweise ein Mobilfunk Router, der in einem Firmenbüro oder in einem fahrenden Bus oder Zug eingesetzt wird, keine Authentifizierung erfordert, um Daten von außen zu empfangen, dann kann ein "böser Akteur" diesen Mangel an Sicherheit ausnutzen, um Daten zu senden, die die Funktionalität des Geräts verändern. 

Im Folgenden finden Sie einige Schlüsselkonzepte von IoT , die Unternehmen dabei helfen können, einen Sicherheitsplan zum Schutz ihrer Unternehmensdaten zu erstellen:

  • Alle verbundenen Geräte können gehackt werden. Das liegt daran, dass ein Cyberkrimineller - oder sogar ein Insider, der einen Fehler macht - die Tatsache ausnutzen kann, dass die Geräte miteinander kommunizieren. Schwache Passwörter, Software-Schwachstellen, fehlende Updates, Social-Engineering-Taktiken wie Phishing oder Social-Media-Betrug, unsichere Netzwerkverbindungen, riskante Standardkonfigurationen, Malware und mangelndes Nutzerbewusstsein in Bezug auf all diese Probleme können dazu führen, dass verbundene Geräte kompromittiert werden.
  • Es gibt keinen einzelnen Verantwortlichen für die Cybersicherheit; es braucht ein Dorf. Jeder in der Kette, vom Hersteller bis zum Endnutzer, spielt eine Rolle bei der Gerätesicherheit.
    • Die Hersteller müssen die Sicherheit von Anfang an einbauen und Methoden zur Aufrechterhaltung der Sicherheit während der gesamten Lebensdauer des Produkts bereitstellen.
    • Netzwerkadministratoren müssen Sicherheitspraktiken durch Authentifizierung, rollengerechten Zugang und Passwortpraktiken für alle Benutzer einführen und verstärken.
    • Die Endnutzer müssen alle Cybersicherheitsanforderungen erfüllen und sichere Passwörter verwenden.
    • Unternehmen müssen eine Sicherheitsgilde oder ein "Devsecops"-Team (Developer Security Operations) einrichten, das Botschafter im gesamten Unternehmen einsetzt, um das Bewusstsein der Benutzer für die Informationssicherheit zu schulen.
    • Es ist wichtig, eine unternehmensweite Sicherheitsmentalität zu entwickeln, um Sicherheitspraktiken näher an die Entwicklung und den Betrieb heranzuführen, da es sich nicht mehr um ein einzelnes funktionales Team handelt.
  • Cyber-Bedrohungen entwickeln sich ständig weiter, daher müssen die Sicherheitsmaßnahmen flexibel sein. Hacker sind kreativ und geschickt, und es tauchen ständig neue Bedrohungen auf, was bedeutet, dass Sie über eine Methode zur proaktiven Überwachung und Verwaltung von Geräten verfügen müssen. Gerätehersteller (OEMs) und Netzwerkmanager müssen Geräte entwickeln und bereitstellen, die per Fernzugriff aktualisiert werden können, wenn neue Bedrohungen erkannt werden.

Industrie-Ressourcen zur Unterstützung von IoT Cybersecurity 

Konzept für die Fernverwaltung von Geräten

Die gute Nachricht ist, dass es eine große Gemeinschaft von Cybersicherheitsexperten und eine Fülle von Tools und Funktionen gibt, die Unternehmen bei der Einführung von Best Practices, der Überwachung von Sicherheitsverletzungen und der schnellen Reaktion helfen.

Es ist wichtig, die Rahmenwerke für Schwachstellen und Angriffe wie CVEs, CWEs, MITRE ATT&CK Framework und OWASP TOP 10 zu verstehen. 

CVE (Common Vulnerabilities and Exposures), CWE (Common Weakness Enumerations), MITRE ATTA&CK (Adversarial Tactics Techniques and Common Knowledge) Framework und OWASP (Open Web Application Security Project) Top 10 sind Cousins in der Cybersicherheit, aber sie dienen unterschiedlichen Zwecken.

  • CVEs sind ein öffentlich zugängliches, dynamisches Wörterbuch der Schwachstellen und Gefährdungen von Hardware und Software, das von einer gemeinnützigen Organisation, der MITRE Corporation, betrieben wird. Dabei handelt es sich um bekannte Risiken, mit denen sich jedes Unternehmen befassen kann und sollte. CVEs weisen auf bekannte Schwachstellen in Software und Systemen hin und zeigen potenzielle Schwachstellen auf, die von böswilligen Akteuren ausgenutzt werden können. Wenn sie ernst genommen werden, können proaktive Maßnahmen ergriffen werden, um diese Schwachstellen zu entschärfen und das Risiko von Cyberangriffen und Datenschutzverletzungen zu verringern. Darüber hinaus erleichtern CVEs den Informationsaustausch und die Zusammenarbeit zwischen Sicherheitsexperten und ermöglichen die Entwicklung effektiver Patches und Updates. Das Ignorieren von CVEs kann schwerwiegende Folgen haben, einschließlich finanzieller Verluste, Rufschädigung und Beeinträchtigung des Datenschutzes und der Sicherheit für Einzelpersonen und Unternehmen.
  • CWE ist eine von der Gemeinschaft erstellte Liste häufiger Software-Schwachstellen. Sie bietet eine sehr gründliche Klassifizierung von Softwareschwachstellen, die es den Entwicklern ermöglicht, Risiken während des Softwareentwicklungszyklus zu erkennen und zu mindern.
  • MITRE ATT&CK Framework ist eine international verfügbare Wissensbasis-Matrix, die Einblicke in die von Angreifern oder Advanced Persistent Threat Groups (APTs) bei Cyberangriffen verwendeten Taktiken, Techniken und Verfahren (TTPs) bietet. Es bietet eine Anleitung zum Verständnis und zur Kategorisierung des Verhaltens von Angreifern, damit Unternehmen bekannte Angriffswege testen und sich darauf vorbereiten können.
  • Die OWASP Top 10 ist eine sich ständig weiterentwickelnde Liste der kritischsten Sicherheitsrisiken für Webanwendungen wie Code-Injection, Cross-Site-Scripting (XSS) und fehlerhafte Authentifizierung, um nur einige zu nennen. Die OWASP Top 10 liefert wertvolle Informationen für die Entwicklung, um die Sicherheit von Webanwendungen wie einem Remote-Management-System für IoTs zu verbessern.

Diese Frameworks helfen Unternehmen dabei, Risiken zu verstehen, zu priorisieren und zu minimieren, und sind heute in viele Sicherheitstechnologien integriert.

 

Kritische IoT Best Practices für die Gerätesicherheit

Cybersicherheits-Leiterplattenkonzept

In der sich ständig weiterentwickelnden Cybersecurity-Landschaft von IoT mag es so aussehen, als gäbe es keine Hoffnung auf angemessene Sicherheitsvorkehrungen. Schließlich überlisten die Hacker immer wieder die klügsten Unternehmen der Welt, oder?

Wir haben noch mehr gute Nachrichten. Es gibt wichtige Schritte für die Cybersicherheit, und diese Praktiken gehen über die sich entwickelnde Natur der Cyberbedrohungen hinaus.

  1. Für den Zugriff auf alle Geräte sind eine Genehmigung und ein Berechtigungsnachweis erforderlich. Dies wurde in einem der Medienartikel als Problem genannt. Diese bewährte Praxis sollte für alle Geräte selbstverständlich sein. Für den Zugriff auf jedes Gerät in einem Netzwerk müssen Berechtigungsnachweise erforderlich sein; und wichtig ist, dass diese nicht standardmäßig bereitgestellt werden. Wie bereits erwähnt, liegt die Verantwortung für die Cybersicherheit bei jedem Einzelnen.
  2. Verfolgen Sie einen mehrschichtigen Sicherheitsansatz, der eine einzelne Schwachstelle vermeidet. Kennwörter und Authentifizierung sind wichtig. Um aber auch andere Zugriffsmöglichkeiten auszuschalten, sollten Unternehmen Geräte mit integrierten Sicherheitsmaßnahmen wie sicheres Booten, geschützte Ports und Konfigurationsüberwachung einsetzen. Es gibt hier noch viel mehr zu besprechen. Setzen Sie sich mit uns in Verbindung, wenn Sie mit einem Vertreter von Digi zusammenarbeiten möchten, um die Anforderungen Ihres Unternehmens zu erfüllen.
  3. Bereitstellung von Geräten mit der Möglichkeit, sie im Laufe ihres Lebenszyklus proaktiv zu aktualisieren. Dieser wichtige Schritt erfordert die Fähigkeit, sichere Over-the-Air-Updates durchzuführen, wenn neue CVEs identifiziert werden. Unabhängig davon, ob Sie Geräte mit eingebetteten Konnektivitätsmodulen (z. B. medizinische Geräte, IoT Wearables, Ladestationen für Elektrofahrzeuge oder landwirtschaftliche Geräte) oder Mobilfunk Router und Gateways (z. B. in Transitsystemen, im Verkehrsmanagement, in der Fertigungsautomatisierung oder in Unternehmensnetzwerken) einsetzen, benötigen Sie Fernüberwachungs- und -verwaltungsfunktionen zur Überwachung auf Bedrohungen, zur automatischen Behebung von Bedrohungen wie Konfigurationsänderungen und zur Bereitstellung regelmäßiger Firmware-Updates. Auch hier können Ihnen die Mitarbeiter von Digi helfen, den richtigen Ansatz zu finden
  4. Schaffen Sie physische Gerätesicherheit. Geräte, die auf die Unternehmensinfrastruktur zugreifen können, sollten in verschlossenen Schränken aufbewahrt werden. Physische IoT Gerätesicherheit ist entscheidend für den Schutz vor unbefugtem Zugriff und Manipulationen. Robuste physische Sicherheitsmaßnahmen wie manipulationssichere Siegel, sichere Gehäuse und starke Authentifizierungsmechanismen helfen, physische Angriffe und Manipulationsversuche zu verhindern. Zur physischen Sicherheit gehört auch der Schutz der Geräte während des Transports, der Lagerung und der Installation. Durch die Sicherstellung der physischen Integrität der Geräte von IoT können Unternehmen das Risiko von Datenschutzverletzungen minimieren, die Vertraulichkeit sensibler Daten wahren und die Gesamtfunktionalität und Zuverlässigkeit ihres IoT Ökosystems sicherstellen.
  5. Ständige Weiterbildung in der gesamten Organisation. Der Mensch ist ein fehlbares Wesen, und das bedeutet, dass jeder auf der Welt, der vernetzte Geräte verwendet, regelmäßig daran erinnert werden muss, welche Rolle er bei der Sicherung der Geräte spielt.
    • Bringen Sie Ihren Teams bei, wie sie Social Engineering-Bedrohungen erkennen können.
    • Versenden Sie Hinweise darauf, wie Phishing-Versuche aussehen.
    • Erinnern Sie Ihre Mitarbeiter daran, dass sie Besuchern, die keinen Ausweis haben, nicht erlauben, ihnen in sichere Bürogebäude zu folgen.
  6. Arbeiten Sie mit einem Anbieter von Komplettlösungen, der bewährte Sicherheitsverfahren sowie Überwachungs- und Verwaltungsdienste integriert.. Mit anderen Worten: Kaufen Sie nicht einfach Geräte und stellen Sie sie auf. Arbeiten Sie mit einem Lösungsanbieter zusammen, der die Möglichkeit bietet, Geräte proaktiv zu verwalten. Dies kann einige Best Practices für sichere Entwicklungs- und Produktionstests umfassen, um sicherzustellen, dass Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet sind.
    • Die statische Analyse ist eine Methode, die bei der Softwareentwicklung zur Untersuchung von Code ohne dessen Ausführung verwendet wird, um Fehler bei Variablen und Schwachstellen im Zusammenhang mit der Codebasis zu finden.
    • Dynamische Analyse, eine Methode, die in der Softwareentwicklung eingesetzt wird, um Code während der Laufzeit zu untersuchen, wenn er ausgeführt wird, und die während des Tests oder der Produktion durchgeführt werden kann, um unerwartetes Verhalten zu entdecken, das zu Sicherheitslücken und unerwartetem Verhalten führt.
    • Open-Source-Abhängigkeitsanalyse, eine Methode, die bei der Softwareentwicklung eingesetzt wird, um Open-Source-Bibliotheken und -Komponenten, die in der Software verwendet werden, auf Sicherheitslücken wie CVEs und CWEs oder Lizenzprobleme zu prüfen.
    • Infrastruktur-Scans, die Ihre Softwareentwicklung unterstützen, z. B. für IaaS, Container und Server, um sicherzustellen, dass Ihre Build-Umgebungen keine Eintrittspunkte für Malware oder bösartigen Code aufweisen, der in die Software von Firmware-Builds eindringen könnte.
    • Penetrationstests sind eine Methode zur Bewertung der Sicherheitslage eines Systems, eines Netzwerks oder einer Anwendung, die intern von Cybersicherheitsmitarbeitern oder extern von einem Pentesting-Unternehmen durchgeführt wird.
    • Bug Bounty ist ein Drittanbieter, der kontinuierliche Tests eines Systems, Netzwerks oder einer Anwendung unterstützt und Forscher für gültige Entdeckungen belohnt.
    • Fernverwaltungssysteme, die bei FOTA (Firmware over the Air) helfen können, um sicherzustellen, dass die Geräte vor Ort über eine Möglichkeit zum Patchen einer Flotte verfügen, um den Lebenszyklus der Schwachstellen zu überwachen.

Holen Sie sich unseren technischen Brief

Erfahren Sie mehr über FIPS 140-2 und Digi-Gerätesicherheit

PDF herunterladen

Wie Digi Ihre Cybersecurity-Ziele unterstützt IoT

Natürlich werden wir hier unsere Geschichte erzählen und was Digi als Anbieter von IoT Lösungen auszeichnet. Digi entwickelt seit fast vier Jahrzehnten vernetzte Systeme, und wir haben zahlreiche Prozesse und Teams für die Integration, Überwachung und Verwaltung der Cybersicherheit aufgebaut.

An der Spitze unserer Sicherheitsintegration steht Digi TrustFence®, ein Sicherheits-Framework, das mehrere Sicherheitspunkte in unseren Geräten bietet. In unsere Mobilfunk Router beispielsweise ist dieses Framework integriert, um sicherzustellen, dass diese Geräte sofort über integrierte Sicherheitsfunktionen verfügen, sowie über Funktionen zur Unterstützung weiterer Sicherheitsintegration zum Zeitpunkt der Bereitstellung und Endnutzung.

Vernetzte Systeme IoT verwaltet mit Digi Remote Manager

Digi Remote Manager®, unsere Fernüberwachungs- und -verwaltungsplattform, bietet Überwachung, automatisiertes Management zur Erkennung und Behebung unbefugter Konfigurationsänderungen sowie die Möglichkeit, Dutzende, Hunderte oder Tausende von Geräten mit wenigen Mausklicks aus der Ferne zu verwalten und zu aktualisieren.

Für Digi ConnectCore®, unser Ökosystem aus eingebetteten System-on-Modulen, Tools und Dienstleistungen, bieten wir Digi ConnectCore Security Services für das Sicherheitsmanagement während des gesamten Lebenszyklus der eingesetzten Produkte sowie Digi ConnectCore Cloud Services für die laufende Überwachung und Wartung der Geräte. Und unsere Digi XBee®-Geräte verfügen seit langem über die Möglichkeit, Firmware-Updates Over-the-Air durchzuführen.

Darüber hinaus verfügt Digi über ein Devsecops-Team, das für die Überwachung von Trends in der Sicherheitsbranche und neu auftretenden Schwachstellen verantwortlich ist, um ein proaktives Management unserer Geräte und eine transparente Kommunikation mit unseren Kunden zu gewährleisten.

Auch wenn der Begriff "einmalig" heutzutage keinen angemessenen Ansatz für die Cybersicherheit beschreibt, können Unternehmen in der gesamten IoT Ökosphäre viel tun, um strenge Sicherheitsrichtlinien und -verfahren einzuführen und sicherzustellen, dass sie in der Lage sind, Geräte proaktiv und lebenslang zu warten. Digi kann helfen!

Nächste Schritte

Holen Sie sich unser Whitepaper
Erfahren Sie, wie Sie die Entwicklung von Geräten beschleunigen können, ohne die Sicherheit zu beeinträchtigen