Von Ingo Schneider

In Sachen Distributed Denial of Service (DDoS) kam es im letzten Herbst zum Super-GAU. Denn Angreifer legten die Infrastruktur des US-Unternehmens Dyn mehrere Stunden lang lahm. Das Besondere an dieser DDoS-Attacke: Sie nutzte schlecht abgesicherte IoT-Endgeräte.

Wenn man bedenkt, dass 2020 voraussichtlich 20 Milliarden vernetzte Geräte an das rasant wachsende Internet der Dinge (Internet of Things; IoT) angeschlossen sein werden, wird schnell klar, dass auch der Bedarf an geeigneten Netzwerk-Prozeduren und Werkzeugen zur Sicherung all dieser Endgeräte steigen wird.

Was können Firmen unternehmen, um sich jetzt und künftig zu schützen? Hier sind einige Lösungsvorschläge.

Als Herzstück der digitalen Transformation in den Unternehmen fördert das IoT die Verbreitung von wichtigen technologischen Weiterentwicklungen, u.a. von Big Data, Automatisierung, maschinellem Lernen und unternehmensweiter Transparenz. Neue Methoden zur Verwaltung des Netzwerks und seiner vernetzten Endgeräte müssen damit Schritt halten.

Dabei spielt das IoT-Containment eine wichtige Rolle. Es nutzt Techniken der Netzwerk-Virtualisierung, um virtuelle, isolierte Umgebungen zu schaffen. So werden vernetzte Endgeräte mit einem bestimmten funktionalen Zweck und die entsprechenden autorisierten Nutzer zu einem spezifischen IoT-Container zusammengefasst. Alle Nutzer und Endgeräte des Unternehmens sind dann physisch immer noch mit einer einzigen konvergenten Netzwerkinfrastruktur verbunden. Logisch werden sie durch diese Container voneinander isoliert.

Praktisches Beispiel: Nehmen wir an, ein Sicherheitsteam hat zehn IP-Überwachungskameras auf dem Gelände installiert. Mit einem IoT-Container für das Netzwerk des Sicherheitsteams schafft die IT-Abteilung ein virtuelles, isoliertes Netzwerk, auf das Unbefugte nicht zugreifen können – und das von anderen Endgeräten ausserhalb der virtuellen Umgebung nicht einmal gesehen wird. Wenn irgendein Teil des Netzwerks ausserhalb dieser Umgebung kompromittiert wird, hat das keine Auswirkungen auf das Überwachungsnetzwerk. Entsprechend können IoT-Container auch für die Lohnbuchhaltung, die Forschung und Entwicklung oder jede andere Abteilung im Unternehmen eingerichtet werden.

In einer virtuellen IoT-Umgebung können die richtigen Voraussetzungen geschaffen werden, unter denen eine Gruppe von Endgeräten problemlos funktioniert. Denn innerhalb des Containers können QoS (Quality of Service)-Vorgaben leichter durchgesetzt werden. Es ist auch möglich, Bandbreite zu reservieren oder einzuschränken, unternehmenskritischen Diensten Priorität einzuräumen oder nicht erwünschte Applikationen zu blockieren. So kann für Überwachungskameras, die einen kontinuierlichen Strom an Daten liefern, eine bestimmte Bandbreite reserviert werden, während Maschinen für die Intensivpflege in Krankenhäusern höchste Priorität erhalten. Diese QoS-Vorgaben können noch besser durchgesetzt werden, wenn Switche mit Deep Packet Inspection zum Einsatz kommen. Sie sehen, welche Pakete im Netzwerk unterwegs sind und welche Anwendungen gerade genutzt werden, sodass Sie wissen, ob jemand mit dem CRM-System arbeitet, auf Sicherheits-Feeds zugreift oder einfach nur Netflix sieht.

Unternehmen sollten darauf bestehen, dass die Switch-Hersteller dieses Risiko ernstnehmen und für maximalen Schutz auf Hardware-Ebene sorgen. Drei Aspekte sind hierbei wichtig:

Neben der Einrichtung eines sicheren Kernnetzwerks können Sie weitere Massnahmen ergreifen, um ihre Endgeräte zu schützen. Es ist erstaunlich, wie viele Unternehmen auf diese einfachen Schritte verzichten.

Ändern Sie das Passwort – Eine einfache und oft übersehene Massnahme: Ändern Sie das werksseitig eingestellte Passwort. Bei dem Angriff auf Dyn suchte der Virus gezielt nach IP-Endgeräten mit Standardeinstellungen, um die Kontrolle über sie zu übernehmen.

Aktualisieren Sie die Software – Der Kampf zwischen Cyber-Kriminellen und Sicherheitsexperten geht weiter, und damit wird es immer wichtiger, die allerneuesten Updates und Sicherheits-Patches sofort zu installieren. Machen Sie es sich zur Gewohnheit, die neuesten Versionen einzuspielen, sobald sie verfügbar werden.

Vermeiden Sie Remote Management – Deaktivieren Sie die Protokolle für das Remote Management, wie telnet oder http, mit denen die Steuerung von anderen Standorten aus möglich ist. Empfohlene sichere Remote-Management-Protokolle sind SSH und https.

Ingo Schneider ist Director Business Development Data Network Infrastructure bei Alcatel-Lucent Enterprise