Risiken von Advanced Persistent Threats (APT) für IoT-Geräte

Die meisten Nachrichten über Angriffe auf das Internet der Dinge (IoT) konzentrierten sich auf Botnets und Kryptomining-Malware. Diese Geräte bieten jedoch auch ein ideales Ziel für schädlichere Angriffe innerhalb des Netzwerks eines Opfers, ähnlich wie die von UNC3524 verwendete Methodik, die die Unsicherheit von Netzwerk-, IoT- und OT-Geräten ausnutzt, um sich langfristig in einem Netzwerk zu halten. Diese Art von Advanced Persistent Threat (APT) wird in naher Zukunft wahrscheinlich zunehmen.

Speziell angefertigte IoT- und OT-Geräte, die mit dem Netzwerk verbunden sind und die Installation von Endpunktsicherheitssoftware nicht zulassen, können leicht kompromittiert und für eine Vielzahl von böswilligen Attacken verwendet werden. Ein Grund dafür ist, dass diese Geräte oft nicht so genau überwacht werden wie die herkömmliche IT. Ein Großteil der Unternehmen kann sogar die Mehrzahl der IoT- und OT-Geräte in ihren Netzwerken nicht identifizieren. Oft herrscht auch Unklarheit darüber, wer für die Verwaltung dieser Geräte verantwortlich ist. Ist es die IT, die IT-Sicherheit, der Netzwerkbetrieb, der Geräteanbieter? Folglich weisen nicht verwaltete Geräte regelmäßig hochgradige und kritische Schwachstellen auf und es fehlt an Firmware-Updates, Härtung und Zertifikatsvalidierung.

Kein aktives Management von IoT-Geräten

Diese Probleme spielen den Angreifern direkt in die Hände. Da Netzwerk-, IoT- und OT-Geräte keine agentenbasierte Sicherheitssoftware unterstützen, können Angreifer speziell entwickelte bösartige Tools installieren, Konten ändern und Dienste auf diesen Geräten einschalten, ohne entdeckt zu werden. Und da Schwachstellen und Anmeldeinformationen nicht verwaltet werden und die Firmware nicht aktualisiert wird, können Angreifer ihre Angriffe sogar über einen längeren Zeitraum aufrechterhalten.

Aufgrund der geringen Sicherheit und Sichtbarkeit dieser Geräte sind sie eine ideale Umgebung, um sekundäre Angriffe auf wertvollere Ziele im Netzwerk des Opfers zu inszenieren. Zu diesem Zweck verschafft sich ein Angreifer zunächst über herkömmliche Methoden wie Phishing Zugang zum Unternehmensnetzwerk. Angreifer können sich auch Zugang verschaffen, indem sie auf ein IoT-Gerät mit Internetanschluss wie ein VoIP-Telefon, einen intelligenten Drucker, ein Kamerasystem oder ein OT-System wie ein Gebäudezugangskontrollsystem abzielen. Da die meisten dieser Geräte Standardkennwörter verwenden, ist diese Art des Einbruchs oft trivial.

Gerätesteuerung aus der Ferne

Sobald der Angreifer in das Netzwerk eingedrungen ist, wird er sich seitlich und im Verborgenen bewegen, um andere anfällige, nicht verwaltete IoT-, OT- und Netzwerkgeräte ausfindig zu machen. Sobald diese Geräte kompromittiert wurden, muss der Angreifer nur noch einen Kommunikationstunnel zwischen dem kompromittierten Gerät und der Umgebung des Angreifers einrichten.  An diesem Punkt kann der Angreifer die Geräte der Opfer aus der Ferne steuern.

Einer der Hauptvorteile des IoT für Angreifer besteht darin, dass Reaktion auf Vorfälle und deren Behebung deutlich schwieriger sind und  Angreifer kaum  vollständig auszuschalten sind. Die einzige Möglichkeit für Unternehmen, diese Angriffe zu verhindern, besteht darin, einen vollständigen Überblick über ihre verschiedenen IoT-, OT- und Netzwerkgeräte zu haben sowie den Zugriff auf diese Geräte und deren Verwaltung zu gewährleisten.

Grundlegende Gerätehärtung und aktive Verwaltung

Auf der Geräteebene ist diese Sicherheit einfach zu erreichen. Auch wenn ständig neue Schwachstellen auftauchen, können die meisten dieser Sicherheitsprobleme durch die Verwaltung von Passwörtern, Anmeldeinformationen und Firmware sowie durch grundlegende Gerätehärtung behoben werden. Da es für Unternehmen mit einer großen Anzahl von Geräten schwierig ist, diese manuell zu sichern, sollten sie die Investition in automatisierte Lösungen in Betracht ziehen.

Der erste Schritt, den Unternehmen unternehmen sollten, ist die Erstellung eines Inventars aller speziell angefertigten Geräte und die Ermittlung von Schwachstellen. Als Nächstes sollten sie Risiken im Zusammenhang mit schwachen Passwörtern, veralteter Firmware, fremden Diensten, abgelaufenen Zertifikaten und hochgradigen bis kritischen Schwachstellen in großem Umfang beheben. Schließlich müssen die Unternehmen diese Geräte kontinuierlich auf Veränderungen in der Umgebung überwachen, um sicherzustellen, dass das, was behoben wurde, auch behoben bleibt.

Roger Homrich

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

8 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

9 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

1 Tag ago