Sicherheit ist die größte Herausforderung bei IoT-Projekten

Die IoT-Branche entwickelt sich weiter: Obwohl der Mangel an Prozessoren auf dem Markt und die anhaltenden Auswirkungen der COVID-19-Pandemie auf die weltweiten Lieferketten ernsthafte Risiken darstellten – das Wachstum des Internets der Dinge (IoT) ist nicht aufzuhalten: Nach Angaben von IoT Analytics wird die Zahl der angeschlossenen IoT-Geräte bis 2021 voraussichtlich 12,3 Milliarden aktive Endpunkte erreichen. Bis 2025 sollen es sogar mehr als 27 Milliarden Verbindungen sein.

Das rasante Wachstum des IoT geht jedoch nicht mit einer angemessenen Sorge um die Sicherheit einher. „Das Innovationstempo hat dazu geführt, dass dem Schutz von Millionen von Geräten mehr Aufmerksamkeit geschenkt wird. Die meisten davon sind mit (oftmals drahtlosen) Netzwerken verbunden. Leider sind viele dieser Geräte auf der Software- und Infrastrukturebene wenig oder gar nicht gesichert“, äußert sich Earl Perkins, Research Vice President bei Gartner. Nach Angaben des Beratungsunternehmens ist abzusehen, dass mehr als 25 % der Cyberangriffe auf Unternehmen das IoT betreffen werden. Dagegen soll der IoT-Anteil der IT-Budgets weniger als 10 % betragen.

Es ist naheliegend, dass die mangelnde Fähigkeit, Sicherheitsprobleme anzugehen, letztendlich IoT-Initiativen beeinträchtigt. Für 57 % der in einer Kaspersky-Studie befragten Unternehmen sind Cybersicherheitsrisiken das größte Hindernis bei der Projektimplementierung. Diese Schwierigkeit ist wahrscheinlich auf die Tatsache zurückzuführen, dass das IoT eine Vielzahl neuer Sicherheitsrisiken und Herausforderungen mit sich bringt – davon betroffen sind Geräte, Plattformen, Betriebssysteme und Verbindungsarten.

„IoT-Projekte sind sehr fragmentiert, lose gekoppelt, haben typische Branchenspezifika und erfordern von Natur aus einen hohen Integrationsaufwand. Im Vergleich dazu haben herkömmliche IT-Projekte etwa 80 % gemeinsame Anforderungen. Bei IoT-Implementierungen sind Altsysteme, physische Einschränkungen, Protokolle und Multivendor-Lösungen zu berücksichtigen. Auch die Wahrung eines angemessenen Gleichgewichts zwischen Verfügbarkeit, Skalierbarkeit und Sicherheit darf nicht außer Acht gelassen werden. Besonders die ersten beiden Anforderungen machen die Sicherheit zu einer großen Herausforderung“, erklärt Eric Kao, Direktor bei Advantech, einem globalen Anbieter von industriellen IoT-Lösungen.

Schwere Sicherheitslücken in Microsoft Defender für IoT

Mehrere Sicherheitslücken, die in Microsoft Defender for IoT entdeckt wurden, ermöglichen es Angreifern, ohne Authentifizierung Fernzugriff auf vernetzte Geräte zu erhalten. Forscher von SentinelLabs bei SentinelOne haben die Schwachstellen identifiziert: Der Score für deren Schweregrad liegt bei bis zu 10 Punkten – der höchsten Stufe im CVSS-Rating.

Microsoft Defender for IoT ist ein Produkt, das früher unter dem Namen CyberX bekannt war und im Jahr 2020 von Microsoft übernommen wurde. Es ist eine Sicherheitslösung, die IoT- und OT-Assets überwacht sowie Bedrohungen erkennt, die lokal oder in Umgebungen mit Microsoft-Azure-Verbindung eingesetzt werden können. Die attraktivste Angriffsfläche ist die Webschnittstelle: Sie ermöglicht eine einfache Kontrolle der IoT-Umgebung. Ein weiteres sensibles Element ist der DPI-Dienst (Deep Packet Inspection) zur Analyse des Netzwerkverkehrs.

Diesen Erkenntnissen zufolge können nicht authentifizierte Angreifer bei Geräten, die durch Microsoft Azure Defender for IoT geschützt sind, aus der Ferne Schaden anrichten. Dabei nutzen sie Vulnerabilitäten in der Passwortwiederherstellungs-Engine von Azure aus. SentinelLabs informierte Microsoft im Juni 2021 über die Schwachstellen, die mit den Kennungen CVE-2021-42310, CVE-2021-42312, CVE-2021-37222, CVE-2021-42313 und CVE-2021-42311 als kritisch eingestuft wurden – einige davon mit CVSS-Score 10.

Microsoft hat Sicherheitsupdates veröffentlicht, um kritische Schwachstellen zu beseitigen. Bislang hat SentinelLabs keine Hinweise darauf gefunden, dass Angreifer diese Sicherheitslücken in ungepatchten Versionen von Microsoft Defender for IoT ausgenutzt haben.

In einem Statement auf der VentureBeat-Website sagte Microsoft, dass „Sicherheitslücken ernste Probleme sind, mit denen wir alle konfrontiert sind. Deshalb unterhält Microsoft Partnerschaften mit der Industrie und verfolgt den Prozess der koordinierten Offenlegung von Sicherheitslücken. So bleibt der Kunde geschützt, bevor Sicherheitslücken öffentlich werden.“ Microsoft sagte auch, dass sich das Unternehmen mit den erwähnten Problemen befasst hat und die Zusammenarbeit schätzt – schließlich muss die Sicherheit der Kunden gewährleistet sein.