Archiv der Kategorie: Internet der Dinge

Ein Leitfaden für die Sicherheit von IoT-Clouds

Originalbeitrag von Trend Micro

Das Internet of Things (IoT) zeichnet sich dadurch aus, dass es die Notwendigkeit menschlicher Interaktion für die Ausführung einer Vielzahl von Funktionen minimiert, und passt damit perfekt in eine Welt der Remote Setups und sozialen Distanz. Doch erst dank Cloud Computings können Unternehmen das IoT reibungslos und in grossem Umfang einsetzen. Die Integration von IoT und Cloud Computing – die sich vor allem in der Fülle von Cloud-Diensten zeigt, die das IoT unterstützen und als IoT-Cloud bekannt sind – stellt eine neue Dimension für die Art und Weise dar, wie ganze Industriezweige betrieben werden. Es ist daher wichtig, bei der Konvergenz der beiden Technologien die jeweiligen Sicherheitsrisiken und die Auswirkungen dieser Risiken nicht ausser Acht zu lassen.

In Bezug auf die Sicherheit der IoT-Cloud-Konvergenz ist es grundlegend zu verstehen, wie das IoT und Cloud Computing zusammen arbeiten. Das IoT an sich nutzt eine vielfältige Auswahl an Geräten, die zu den Anforderungen verschiedener Branchen oder Umgebungen passen. Beim Cloud Computing hingegen werden Daten, Anwendungen oder Dienste über das Internet – also in der Cloud – gespeichert und abgerufen, anstatt auf physischen Servern oder Mainframes. Die Cloud unterstützt IoT-Umgebungen, indem sie deren immanente Einschränkungen, z. B. bezüglich ihrer Verarbeitungs- und Speicherkapazitäten, fast vollständig aufhebt. Das IoT hingegen verbindet die Cloud mit physischen Geräten.

Bild 1. Beispiel einer Cloud-basierten IoT-Infrastruktur

Zu den Vorteilen der IoT-Cloud-Zusammenführung zählen folgende:

  • Ferngesteuerter Betrieb und Interoperabilität: IoT-Geräte verfügen in der Regel nicht über Ressourcen für Interoperabilität. Die Integration mit der Cloud, die ohnehin interoperabel ist, ermöglicht es Support-Technikern und Geräteadministratoren, Remote-Aufgaben (wie das Sammeln von Daten über ihre Anlagen, die Durchführung von Wartungsarbeiten und das Einstellen von Konfigurationen) auf IoT-Geräten im Feld durchzuführen — eine entscheidende Anforderung in der heutigen Zeit.
  • Unbeschränkter Datenspeicher: Das IoT verarbeitet Unmengen an unstrukturierten Daten, die von verschiedenen Sensoren stammen. Die Cloud ist bekannt für ihre nahezu unbegrenzte Speicherkapazität. Kombiniert man beides, eröffnet sich mehr Raum für die Aggregation und Analyse von Daten.
  • Unbeschränkte Verarbeitungsmöglichkeiten: IoT-Geräte und -Apps haben begrenzte Verarbeitungsmöglichkeiten, die oft gerade ausreichen, um ihre spezifischen Funktionen auszuführen. Die Verarbeitung vieler Daten erfolgt auf einem separaten Knoten. Durch die Integration mit der Cloud erschliessen sich deren unbegrenzte virtuelle Verarbeitungsmöglichkeiten, einschliesslich der Nutzung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) für datengesteuerte Entscheidungen und Verbesserungen.
  • Zusätzliche Sicherheitsmassnahmen: Die Cloud bietet Funktionen, die einige der Sicherheitslücken im IoT beseitigen. Beispiele dafür sind Verbesserung von Authentifizierungsmechanismen und die Überprüfung der Geräteidentität.

Sicherheitsherausforderungen

In gewisser Weise erhöht die IoT-Cloud-Konvergenz die Dringlichkeit der Sicherheitsrisiken, da IoT-bezogene Schwachstellen kompliziertere Probleme im Cloud-Ökosystem verursachen können und umgekehrt. Zu den Herausforderungen, die Unternehmen bei der Schaffung sicherer IoT-Cloud-Umgebungen meistern müssen, gehören folgende:

  • Risiken entstehen durch die zentralisierte Eintrittsstelle in kritische Infrastrukturen. Die Integration des IoT mit der Cloud reduziert die Angriffsfläche erheblich, indem der gesamte ein- und ausgehende Datenverkehr durch das API-Gateway in der Cloud geleitet wird. Eine High-End-Firewall ist notwendig, um den Datenfluss durch dieses Gateway zu schützen. Doch das wirft ein altes Sicherheitsanliegen auf, nämlich die Frage, ob die Firewall eine ausreichende Verteidigung darstellt. Während ein einziger Zugang die Angriffsfläche minimiert, lenkt er die Aufmerksamkeit potenzieller Angreifer auf ein einziges Ziel. Findet ein böswilliger Akteur die richtige Gelegenheit, könnte dieser Zugang gewissermassen sein eigener „Tunnel“ in die Infrastruktur werden.
  • Unsichere Kommunikation und unsicherer Datenfluss zwischen dem Edge und der Cloud: Wenn die Endpunkte oder die Cloud über nur unzureichende Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung verfügen, könnte dies für die Zugriffskontrollen und die Integrität der Daten, die zwischen diesen beiden Punkten ausgetauscht werden, gefährlich werden.
  • Fragen der Vertraulichkeit und Autorisierung: Unternehmen müssen bedenken, inwieweit IoT-Geräte und Sensoren sensible Daten sammeln, die in einem Cloud-basierten Ökosystem an einen Ort übertragen werden, der interoperabel ist und im Falle der öffentlichen Cloud auch anderen Benutzern und Kunden dient. Firmen sollten den Lagerungsort ihrer Daten mit ihren jeweiligen Cloud-Service-Providern besprechen.
  • Schwache Implementierung des IoT: Ein IoT-Ökosystem, in dem Sicherheitsmassnahmen (wie das Ändern von Standardpasswörtern, die Anwendung von Netzwerksegmentierung und die physische Sicherung von Geräten) nicht adäquat implementiert sind, überträgt seine Schwächen wahrscheinlich auch auf die Integration mit der Cloud. Um auf die Cloud zuzugreifen, benötigen IoT-Komponenten beispielsweise einen Schlüssel, um das API-Gateway zu passieren. In IoT-Implementierungen sollten Endgeräte diesen Schlüssel nicht im Klartext und die Shared-Access-Signatur (SAS), die einen eingeschränkten Zugriff auf die Cloud erlaubt, nicht ohne Timeout speichern.
  • Cloud-Fehlkonfigurationen und andere Schwachstellen: Eines der häufigsten Probleme beim Cloud Computing sind Fehlkonfigurationen. Sie bieten böswilligen Akteuren die Möglichkeit, Angriffe wie z. B. die Exfiltrierung von Daten durchzuführen. Diese und ähnliche Sicherheitslücken in der Cloud könnten schwerwiegende Folgen für das IoT-Ökosystem nach sich ziehen.

Bild 2. Die häufigsten Risiken für IoT-Cloud-Umgebungen, die zu Gefahren für Web-Anwendungen führen (Open Web Application Security Project, OWASP)

Viele dieser Fragen werden in einer Publikation der European Network and Information Security Agency (ENISA) erörtert.

Sichere IoT-Cloud-Zusammenführung

Die sichere Implementierung der IoT-Cloud vermindert bereits einige der damit einhergehenden Risiken. Unternehmen können auch zusätzliche Technologien einsetzen und Schritte unternehmen, um sicherzustellen, dass ihr gesamtes Ökosystem sicher ist, von der Cloud bis zu den IoT-Endpunkten:

  • Überwachen und Sichern des Datenflusses bereits in einem frühen Prozessstadium. Der Datenfluss von IoT-Endpunkten zur Cloud muss von Anfang an gesichert sein. Unternehmen benötigen Überwachungs- und Filter-Tools am Edge, damit die Daten schon früh in der Verarbeitung überwacht werden. Dies bietet reichlich Gelegenheit, verdächtige Aktivitäten zu erkennen, Anomalien zu bestimmen und sicherzustellen, dass alle verbundenen Geräte identifiziert werden.
  • Einsetzen von Cloud-basierten Lösungen, um die Sicherheit näher ans Edge zu bringen. Unternehmen müssen ihre Edge-Geräte sowohl vor physischen Bedrohungen als auch vor Cyberangriffen schützen. Angesichts der Beschränkungen des Edge-Computings können Cloud-basierte Lösungen zusätzliche Sicherheits- und Verarbeitungsfunktionen bieten. Fog Computing, eine Infrastruktur, die sich zwischen dem Edge und der Cloud befindet, ist eine Empfehlung, die einige Cloud-Ressourcen näher an das Edge bringt.
  • Regelmässige Schwachstellenüberprüfungen durchführen. Regelmässige Schwachstellentests erlauben das Aufspüren von Fehlern. Unternehmen können entscheiden, ob sie Schwachstellentests für das gesamte Ökosystem oder nur für eine bestimmte Komponente durchführen, solange dies regelmässig geschieht.
  • Kontinuierliche Updates und Patches sicherstellen. Updates und Patches sind der Schlüssel, um die Ausnutzung von IoT-Schwachstellen zu verhindern. Unternehmen können die Vorteile der Cloud nutzen, um Software-Updates effizient und sicher zu verteilen.
  • Sichere Passwörter sowohl für IoT-Geräte als auch für die damit verbundenen Cloud Services. Da Passwörter nach wie vor die Hauptmethode zur Authentifizierung sind, sollten Unternehmen strenge Passwortrichtlinien haben.
  • Aufstellen eines klaren, effektiven und detaillieren Plans für die Zugangskontrolle. Dieser Plan muss die gesamte Umgebung mit einbeziehen, von der Cloud bis zu den Edge-Geräten. Alle Nutzer, Gruppen oder Rollen müssen für die detaillierten Authentifizierungs- und Autorisierungsrichtlinien im Ökosystem festgelegt werden. Dabei sollte das Prinzip der Mindestprivilegien angewendet werden.
  • Best Practices für die Code- oder Anwendungssicherheit befolgen. Code oder Anwendungen spielen eine wesentliche Rolle in IoT-Cloud-Ökosystemen, da sie Unternehmen eine vereinfachte Kontrolle und Remote-Nutzbarkeit bieten. Organisationen sollten sich daher um diese Aspekte ihrer Ökosysteme kümmern, indem sie Best Practices wie die Durchführung statischer und dynamischer Anwendungsanalysen anwenden.
  • Anwenden des Modells der geteilten Verantwortlichkeiten. Unternehmen sollten auf das Modell der geteilten Verantwortung vertrauen, das von ihren Cloud-Service-Anbietern verwendet wird.  Dieses legt fest, welche operativen Bereiche Unternehmen selbst absichern müssen, etwa die Konfiguration von Cloud-Diensten. Unternehmen können auch Cloud-spezifische Sicherheitslösungen einsetzen, um ihre Cloud-nativen Systeme zu schützen.

Unternehmen können auch das V-Model als Referenz heranziehen. Es ist ein wohlbekannter Leitfaden für Softwareentwicklung, vor allem hinsichtlich der letzten beiden Punkte. Das Modell wurde zur Beschreibung der Softwareentwicklung in Publikationen zur Absicherung der industriellen Automatisierung (ISO/IEC 62443) und der Automobilindustrie (ISO 21434 und ISO 26262) verwendet, und das zeigt seine Anwendbarkeit auf das IoT.

Zusätzliche Einsichten von Shin Li

Schäden in Fertigungsnetzwerken durch moderne Ransomware

Originalbeitrag von Ryan Flores

Ransomware-Bedrohungen haben die Fertigungsindustrie im Jahr 2020 erheblich beeinträchtigt. Diese Angriffe führten zu hohen Produktionsverlusten und unterbrachen Betriebsabläufe. Im dritten Quartal schienen die Angreifer bei ihren Ransomware-Attacken Unternehmen der Fertigungsindustrie besonders häufig ins Visier zu nehmen.

Die Daten aus Trend Micro™ Smart Protection Network™ zeigen, wie sich die Ransomware-Bedrohung auf verschiedene Branchen ausgewirkt hat.

Bild 1. Von Ransomware betroffene Branchen im 3. Quartal 2020 (Daten aus dem Smart Protection Network)

Fertigungsanlagen verwenden grosse Maschinen — Fliessbänder, Öfen, Motoren und dergleichen –, und der Technologiefortschritt sowie der Trend zu Industry 4.0 haben auch die Einführung von Computern in die Produktions- und Betriebsanlagen begünstigt. Die Industriemaschinen werden von Computern gesteuert oder überwacht, und diese sind ihrerseits mit anderen Computern und Netzwerken verbunden, um Daten weiterzuleiten.

Bild 2. Architektur eines Industrial Control Systems (ICS)

Auf Ebene 0 befinden sich die grossen Teile der Hardware. Um diese Maschinen zu steuern und zu überwachen, sind die Computer auf Ebene 2 notwendig. Die Computer für die Mensch-Maschine-Schnittstelle (HMI) und für die übergeordnete Steuerung und Datenerfassung (SCADA) ermöglichen den Bedienern die Übersicht und Kontrolle über die Industriemaschinen, während die Engineering-Arbeitsstation die Entwürfe, Konstruktionsunterlagen, Robotercodes, Programme und Konfigurationen enthält, die für die Erstellung des Endprodukts erforderlich sind.

Auf Ebene 3 gibt es häufig einen zentraler Dateiserver mit den Konstruktionsdateien und Produktdokumenten für den gemeinsamen Zugriff zwischen Engineering-Arbeitsplätzen sowie eine historische Datenbank, die Geräte, Leistungskennzahlen und Produktqualität vorhält. Was passiert aber, wenn ein Ransomware-Angriff in der Lage ist, in die Computer der Ebenen 2 und 3 einzudringen?

Verlust der Einsicht und Kontrolle

Moderne Ransomware ist nicht darauf ausgelegt, infizierte Computer herunterzufahren oder lahm zu legen. Die letzte Ransomware, die infizierte Computer effektiv stilllegte, war die 2017 und 2018 aktive Petya. Die Ransomware-Familien, die danach kamen, waren vorsichtiger bei der Dateiverschlüsselung  und schlossen Systemdateien und ausführbare Dateien gezielt aus, da diese vom Computer zum Booten und Betrieb benötigt werden. Alles andere ist verschlüsselt. Das bedeutet, dass es keine abrupte Abschaltung in der Fabrikhalle gäbe, wenn die Ransomware auf einen der Steuer- und Überwachungscomputer im Operational Technology (OT)-Netzwerk trifft.

Bild 3. Beispiel eines HMI

Als grafische Schnittstelle sind HMIs extrem abhängig von Bilddateien. Jeder in der HMI dargestellte Knopf, jeder Wert, jedes Logo, jede Leitung und jedes Ausrüstungsteil haben eine entsprechende Bilddatei irgendwo im Verzeichnis der HMI-Software. Darüber hinaus werden Konfigurationen, die Werte, Zuordnungen, Logik, Schwellenwerte und Lexika enthalten, in Textdateien zusammen mit den Bilddateien gespeichert. Bei einem Ransomware-Angriff auf eine HMI stellten die Sicherheitsforscher fest, dass 88% der verschlüsselten Dateien JPEG-, BMP- oder GIF-Dateien waren — die Bilder, die von der HMI zum Rendern der Schnittstelle verwendet wurden. Wären all diese Dateien verschlüsselt, würde die Wiederherstellung der betroffenen Systeme nicht nur eine Neuinstallation der ICS-Software erforderlich machen, zusätzlich müsste auch die benutzerdefinierte HMI- oder SCADA-Schnittstelle wiederhergestellt werden.

Ransomware muss nicht direkt auf die Prozesse der ICS-Software abzielen, um das ICS außer Gefecht zu setzen. Durch die Verschlüsselung der Dateien, von denen die HMI, SCADA oder Engineering Workstation (EWS) abhängt, kann Schadsoftware das System unbrauchbar machen. Die Folge wäre der Einsichts- und Kontrollverlust für den Bediener und letztlich ein Produktivitäts- und Umsatzverlust für die Fabrik.

Diebstahl von Betriebsinformationen

Netzwerk-Dateifreigaben (Network File Sharing, NFS) sind in Fertigungsumgebungen praktisch eine Notwendigkeit. Auf der betrieblichen Seite nutzen Ingenieure und Konstrukteure sie nicht nur als Mittel zum Austausch von Konstruktions- und Entwicklungsdokumenten, an denen sie arbeiten, sondern auch als Repository für Referenzdateien, Richtlinien, Stücklisten, Werkzeuge und Arbeitsabläufe.

Auf der geschäftlichen Seite setzen Manager und Mitarbeiter auf Netzwerkfreigaben, um Informationen über Verkäufer, Lieferanten, Bestellungen, Rechnungen und Ähnliches zu speichern. Ein dediziertes Lieferketten-Management (SCM)- und/oder Produktlebenszyklus-Management (PLM)-System und die damit verbundenen Datenbanken sind sogar auf Ebene 4 oder 5 zu finden.

Obwohl ein Ransomware-Angriff, der diese Dateispeicher und Datenbanken betrifft, nicht notwendigerweise die Produktionslinie unterbrechen würde, beeinträchtigt dennoch den Geschäftsbetrieb, das Lieferkettenmanagement sowie die Produktentwicklung und das Produktdesign. Dies sind jedoch nur die kurzfristigen Folgen. Moderne Ransomware-Operationen beinhalten auch Datendiebstahl, der dauerhafte Schäden hinterlässt.

Seit der Maze-Ransomware ist es fast schon Standardpraktik der Hintermänner, mithilfe handelsüblicher Dateisicherungswerkzeuge Daten von ihren Opfern zu stehlen. Ursprünglich sollte damit der Druck auf das Opfer erhöht werden, da das Datenleck eine zusätzliche Erpressungsdrohung ermöglicht. Es werden jedoch auch Daten von Ransomware-Opfern im Untergrund verkauft. Dies ist besonders unerfreulich für Unternehmen, da Design- und Konstruktionsdokumente häufig geistiges Eigentum enthalten. Darüber hinaus könnten Informationen über Lieferanten und Zulieferer vertrauliche Lieferkettendaten wie Preis- und Bestellinformationen umfassen.

Fertigungsunternehmen sollten diese Möglichkeiten in Betracht ziehen, falls sie mit einem Ransomware-Vorfall konfrontiert werden. Sobald der Produktions- und Geschäftsbetrieb wiederhergestellt ist, muss eine Bewertung der gestohlenen Daten vorgenommen werden. Danach sollten sie sich die schmerzhafte Frage stellen: Wenn die Daten bekannt oder verkauft werden, welche Auswirkungen hätte dies auf die Produktion, die Geschäftsbeziehungen und die Kunden? Die Antworten darauf müssen die nachfolgenden Aktionen bestimmen und so eine effektivere Reaktionsstrategie ermöglichen.

Post-Intrusion Ransomware

Im Laufe der Jahre gab es einen erheblichen Rückgang von Ransomware-Zwischenfällen, die als E-Mail-Anhänge kamen oder über bösartige Websites installiert wurden. Glaubt man den Schlagzeilen, so sieht es aus, als hätte die Verbreitung von Ransomware überhaupt nicht abgenommen.

Bild 4. Von Trend Micro als Mail-Anhang oder bösartige Website entdeckte Ransomware

Dieser Eindruck liegt daran, dass die Ransomware-Akteure in den letzten Jahren bei  der Wahl ihrer Ziele selektiver geworden sind. Sie kommen von den en masse verbreiteten Spam-Kampagnen mit Ransomware ab und wählen einen restriktiveren Ansatz, der als „Grosswildjagd“ bezeichnet werden kann. Es geht ihnen nicht mehr um Haushalts-Desktops („Kleinwild“), sondern eher um mittlere bis grosse Unternehmen („Grosswild“). Der Grund für diese Interessensverschiebung liegt darin, dass sie hier höhere Profite pro Ansteckung erwarten.

Die Grosswildjagd ist komplizierter und erfordert mehr Zeit zum Beobachten, Aufspüren und Anpirschen an die Beute. Aus diesem Grund werden die meisten Ransomware-Familien, die grosse Industriezweige (wie die verarbeitende Industrie) angreifen, als „Post-Intrusion Ransomware“ bezeichnet. Die Angreifer verschaffen sich bereits vor der Installation der Ransomware auf anderem Wege Zugang zum Netzwerk.

Bild 5. Verbreitung verschiedener Ransomware-Familien in Fertigungsnetzwerken im 3. Quartal 2020

Die meisten verschiedenen Ransomware-Familien, die im 3. Quartal 2020 die Fertigungsindustrie anvisierten, gehören zur Post-Intrusion-Ransomware. Sodinokibi, die Ransomware, die für die meisten Produktionsnetzwerke im 3. Quartal verantwortlich war, wird installiert, nachdem Angreifer Zugang zu anfälligen Oracle WebLogic-Servern erlangt haben. Gandcrab wird normalerweise installiert, nachdem Angreifer anfällige öffentlich zugängliche MySQL-Server ausgenutzt haben. Die Ryuk-Ransomware wird installiert, nachdem Emotet-Malware bereits in Netzwerken Fuss gefasst hat. Angreifer, die Sodinokibi, Medusalocker, Crysis und eine Reihe anderer Ransomware installieren, sind dafür bekannt, dass sie schwache RDP-Zugangsdaten missbrauchen.

Ein Ransomware-Vorfall ist kein einzelnes Ereignis. Er legt mehrere Sicherheitsprobleme offen, die es den Angreifern ermöglichen, Zugang zu einem Netzwerk zu erlangen, sich lateral zu bewegen und die Schlüssel-Assets für ihre Lösegeldforderung zu identifizieren.

Sowohl die jüngsten Daten zur Fertigungsindustrie als auch das Muster der Ransomware in ICS-Systemen deuten darauf hin, dass es möglicherweise Löcher in der entmilitarisierten Zone (DMZ) und der Netzwerksegmentierung gibt und eine Kompromittierung aus dem IT-Netz in das OT-Netz gelangen kann. Ein weiteres mögliches Problem besteht darin, dass es Fernzugriffsverbindungen direkt in das OT-Netzwerk gibt, die schwach oder bei den Schutzmassnahmen nicht berücksichtigt sind. Eine echte Wiederherstellung darum erst, wenn die Sicherheitsschwachstellen, die die Ransomware-Infektion überhaupt erst ermöglicht haben, behoben sind.

Sicherheit für Fertigungsnetzwerke

Während der letzten paar Jahre hat sich gezeigt, dass Fertigungsnetzwerke genauso einfach zu kompromittieren sind wie jedes andere Netzwerk einer anderen Branche. Selbst mit der spezialisierten Ausrüstung, Software sowie Protokoll- und Netzwerksegmentierung gelingt es Angreifern routinemässig ICS-Systeme zu erpressen.

Bewährte Standard-Sicherheitspraktiken und -lösungen funktionieren, aber sie müssen in einer Weise eingesetzt werden, die genau auf die Produktionsumgebung abgestimmt ist. Abgesehen von den Standardfähigkeiten von Sicherheitslösungen sind die folgenden zusätzlichen Anforderungen vorhanden, die Sicherheitsbeauftragte in der Fertigungsindustrie bei der Bewertung von Sicherheitslösungen beachten müssen:

  • Niedrige Latenzzeit. Die Lösungen sollten zeitempfindliche Produktionsprozesse nicht beeinträchtigen.
  • Protokolle, die mit OT-Protokollen im Feld vertraut sind. Sicherheitsprodukte sollten den Verkehr von und zu ICS-Systemen einwandfrei identifizieren und überwachen.
  • Integrierte Überwachung und Erkennung in IT- und OT-Netzwerken. Sicherheitsstrategien brauchen Produkte, die zusammenarbeiten und Daten zwischen Netzwerksegmenten austauschen können, um so die Benutzerfreundlichkeit zu erhöhen und die Überwachung und Reaktion zu vereinfachen.

Weitere Sicherheitslösungen für die Fertigungsindustrie bietet Trend Micro.

Sicherheit für IoT Apps

von Trend Micro

Das Internet of Things (IoT) mit den vernetzten Geräten und den Apps, die Nutzer, Geräte und das Internet verbinden, hat die Art verändert, wie Arbeit, Weiterbildung und persönliche Freizeit gehandhabt werden. Und die häufigere Arbeit aus dem Home Office geht mit einer grösseren Abhängigkeit von IoT-Umgebungen daher. Persönliche und berufliche Netzwerke, Geräte und Einrichtungen sind heute mehr denn je miteinander verflochten, ebenso auch die Menge der sensiblen Informationen, die über die Anwendungen zur Steuerung und Verwaltung dieser Geräte ausgetauscht werden. Heimnetzwerke und -geräte bieten im Vergleich zu Büros zumeist nicht die gleiche mehrschichtige Sicherheit und stellen gleichzeitig zusätzliche Eintrittspunkte dar, die die Sicherheit von Benutzern und Organisationen gefährden und ihre Daten Bedrohungen aussetzen. Unternehmen und Verbraucher müssen genauer hinsehen und mehr Fragen stellen, um zu lernen, wie diese Geräte und Anwendungen für sie arbeiten. Dazu gehören auch Fragen, wie wohin ihre Daten gehen, wie sie verwendet, geschützt und wo sie gespeichert werden.

Alle IoT-Geräte verfügen über Aktuatoren, die als Sensoren dienen und es ihnen ermöglichen, Daten zu senden und zu empfangen und diese in messbare Aktionen zu übersetzen, die den Benutzereingaben, den Daten und der Programmierung folgen. Diese Geräte verfügen auch über betriebssystembasierte Firmware mit entsprechenden betriebssystembasierten Installationsprozeduren für Anwendungen. Auch können sie über WLAN Daten über den Router ins Internet übertragen. Schliesslich gibt es eine Schnittstelle, um mit dem Gerät zu interagieren, die meist in Form einer App erfolgt.

Diese Komponenten konnten leider immer wieder von Kriminellen erfolgreich angegriffen werden. Cyberkriminelle finden neue Angriffsmöglichkeiten, wie z.B. Schwachstellen bei Geräten und Apps, Fehlkonfigurationen bei der Speicherung, den Datenverkehr und Schwächen in der Programmierung.

Bild. Die erweiterte Angriffsfläche von IoT-Geräten (Open Web Application Security Project (OWASP)

Hier sind einige der Angriffsvektoren und Risiken für IoT-Anwendungen:

  • Schwachstellen. Sicherheitslücken in Apps können dazu führen, dass Angreifer und Malware sie etwa als Einstiegspunkte für Distributed-Denial-of-Service (DDoS)-Angriffe, Spoofing und Privilegien-Eskalation nutzen.
  • Unsichere Kommunikationskanäle. Kommunikationskanäle, die die Geräte zur Datenübertragung verwenden, müssen mit einem der vielen verfügbaren Protokolle verschlüsselt werden, wie z.B. Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Unabhängig davon, ob sich die Daten im „At Rest“-Zustand oder im „Transit“ befinden, ermöglichen diese Kanäle den Datenaustausch und die Kommunikation zur und von der App. Bleiben diese Kanäle unverschlüsselt, können sie für den Zugriff auf vermeintlich vertrauliche Daten missbraucht werden.
  • Bösartige Application Programming Interfaces (APIs). Einige Entwickler sind auf APIs von Drittanbietern angewiesen, um weitere Funktionen und Bibliotheken in ihre jeweiligen Apps einzubinden. Leider können angreifbare und böswillige APIs und Bibliotheken von Drittanbietern laut früheren Berichten legitime Anwendungen beeinträchtigen und infizieren und dadurch möglicherweise irreversible Schäden an Geräten und Benutzerdaten verursachen. Diese bösartigen Apps dienen auch als Eintrittspunkte für weitere Angriffe in das System, wie z.B. Injection- oder Man-in-the-Middle-Angriffe (MiTM).
  • Falsch konfigurierte Sicherheitseinstellungen. Falsch konfigurierte Einstellungen für Cloud-gehostete Anwendungen machen unbefugten Akteuren den Zugriff auf Daten möglich. Die Ursachen hierfür reichen von nicht geänderten Standardkonfigurationen, offenem Speicher bis zu Fehlermeldungen, die sensible Daten enthalten, und andere. Darüber hinaus denken einige Verantwortliche nicht daran, dass trotz erfolgreicher Implementierung von Anwendungen alle Komponenten (wie z.B. alle Betriebssysteme, Bibliotheken, Frameworks und andere), die an der Entwicklung von Anwendungen beteiligt sind, regelmässig aktualisiert und gepatcht werden müssen.
  • Veraltete Betriebssysteme und App-Versionen. Veraltete Betriebssysteme und App-Versionen dienen unter Umständen als Einfallspunkte für Angreifer. Manche Apps auf Geräten könnten noch auf der Betriebssystemversion laufen, die zur Zeit der Entstehung aktuell war, oder noch schlimmer, die schon beim Verkauf der App veraltet war. Einige Hersteller geben auch nicht so oft wie nötig Aktualisierungen heraus, noch veröffentlichen sie aktualisierte Versionen.
  • Schwache und wieder verwendete Passwörter. Diese Praktik begünstigt ebenfalls Einbrüche in die Nutzerkonten und IoT-Geräteplattformen und führt möglicherweise zu einem weiterführenden Angriff über verschiedene Plattformen hinweg. In den meisten Fällen stellen Gerätehersteller ähnliche Standardzugangsdaten für verschiedene Geräte zur Verfügung, und Benutzer, die die Standardeinstellungen auf ihren jeweiligen Geräten belassen, sind angreifbar.

Diese Eintrittspunkte für Bedrohungen betreffen alle Phasen im Lebenszyklus einer App und alle beteiligten Parteien, von den Geräteherstellern und ihrer jeweiligen Supply Chains bis hin zu den Anwendungsentwicklern und Nutzern. Abgesehen von den erforderlichen technischen Reparaturmassnahmen können Bedrohungen den Ruf und die Finanzen einer Organisation erheblich beeinträchtigen.

Schutz vor den Bedrohungen

Mit dem zunehmenden Einsatz von Geräten  gerät die Sicherheit zu einer kollektiven Verantwortung. Von jedem Benutzer eines vernetzten Geräts wird erwartet, dass er zum „Administrator der Dinge“ wird, also seine eigenen Geräte und Daten verwaltet. Hier sind einige Massnahmen, die Organisationen und Benutzer ergreifen können, um diese Risiken zu mindern:

  • Apps lediglich von legitimen Plattformen herunterladen. Nicht offizielle Drittanbieter von Apps könnten gefährlich sein. Es ist bekannt, dass Bedrohungsakteure gefälschte oder bösartige Versionen von legitimen Anwendungen erstellen, um sensible Informationen wie Online-Kontoinformationen und Gerätedaten zu stehlen.
  • Überprüfen und Einschränken von App-Berechtigungen. Es ist wichtig, die Berechtigungen, die die Apps fordern, zu prüfen, bevor sie auf das eigene Handy, Tablet oder den Computer herunterladen werden. Vorsicht bei Anwendungen, die übermässig viele Berechtigungen fordern, da diese möglicherweise versuchen, mehr als die bekannten Funktionen auszuführen oder darauf zuzugreifen.
  • Das IoT-Gerät sollte sorgfältig ausgewählt werden. Immer mehr Hersteller implementieren „Security by Design“ in ihre Geräte, um dem zunehmenden Sicherheitsbewusstsein der Nutzer Rechnung zu tragen und die gesetzlichen Vorschriften in verschiedenen Ländern einzuhalten. Organisationen können auch spezifische Produkte und Marken wählen, die der Sicherheit der Daten ihrer Kunden und Partner sowie der Sicherheit der Supply Chain Vorrang einräumen.
  • Das Betriebssystem von Anwendungen und Geräten regelmässig aktualisieren. Anerkannte Entwickler und Betriebssystemfirmen veröffentlichen regelmässig Updates, um Sicherheit und Funktionalität zu verbessern. Diese Updates sollten sofort nach ihrer Verfügbarkeit heruntergeladen werden, um potenzielle Sicherheitslücken zu schliessen.
  • Abbildung und Identifizierung der an das Netzwerk angeschlossenen Geräte. Identifizieren und Überwachen der Geräte, die regelmässig an das Heim- und Büronetzwerk angeschlossen sind, ist eine wichtige Massnahme. Auf diese Weise können Administratoren den regelmässigen Datenverkehr und die Konten, die das Netzwerk nutzen dürfen, verfolgen sowie unregelmässigen Datenverkehr durch bösartige Routinen im Hintergrund erkennen. Da nicht alle Geräte direkt unter der Kontrolle der Firma stehen, sollten Nutzer bei Bedarf zusätzliche Vorsichtsmassnahmen ergreifen (z. B. Installation oder Aktivierung der Kindersicherung) und die empfohlene Netzwerkfilterung und Standortblockierung verwenden, wann immer dies möglich ist.
  • Sichern der Kommunikationsprotokolle und Kanäle. Die Geräte müssen miteinander kommunizieren, um ihre jeweiligen Online-Funktionen ausführen zu können. Diese Kommunikationskanäle sollten u.a. mit kryptographischen Protokollen wie Transport Layer Security (TLS) und HTTPS gesichert werden, um eine Kompromittierung weitgehend zu vermeiden.
  • Ändern aller standardmässigen Anmeldeinformationen der Geräte. Gerätehersteller und Internet Service Provider (ISP) stellen Standard-Anmeldeinformationen für die von ihnen angebotenen Geräte zur Verfügung. Anwender müssen ihre Benutzernamen und Passwörter ändern und die Geräteeinstellungen anpassen.
  • Passwörter sicher handhaben und Mehrfaktor-Authentifizierung (MFA) einführen. Nicht dieselben Passwörter für mehrere Online-Konten wiederverwenden und alle MFA-Funktionen auf Websites und Plattformen aktivieren, die dies erlauben, um eine zusätzliche Sicherheitsebene für die Daten zu schaffen.

Wegen des schnellen Entwicklungstempos gibt es keine Standards, die Programmierer, Hersteller oder Benutzer zur Verifizierung heranziehen können. Einige Länder ändern dies gerade durch die allmähliche Integration von Gesetzen und Frameworks, um die Cybersicherheit und Widerstandsfähigkeit von IoT-Geräten zu verbessern. Die Regulierungsbehörden versuchen, mit dem Fortschritt des IoT Schritt zu halten, doch sollten Unternehmen und Entwickler „Security First“ und „Security by Design“ beachten — von der Konzeption, über die Vermarktung und bis zur Einführung von Geräten und Produkten.

Wege zu mehr Visibilität in der Cloud Security

von Trend Micro

Die Cloud bedeutet zweifelsohne für Unternehmen einen wichtigen technologischen Fortschritt, aber auch mehr Komplexität, und sie erfordert gründliche Sicherheitserwägungen. Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, spielt Transparenz und Visibilität über die meist hybriden Cloud-Umgebungen eine zentrale Rolle für die Security-Strategie eines Unternehmens. Im ersten Teil des Beitrags wurden die vorhandenen Bedrohungen beschrieben, und nun stellt der aktuelle Beitrag Möglichkeiten vor, um mehr Visibilität und Sicherheit in die Umgebungen zu bringen.

Um die Vorteile der Cloud möglichst auszuschöpfen, sollten Unternehmen einige Sicherheitsempfehlungen befolgen, um die Transparenz über Systeme und Umgebungen hinweg aufrechterhalten und Schutz vor einem breiten Spektrum aufkommender Bedrohungen und Fehlkonfigurationen zu gewährleisten.

  • Anwenden des Prinzips der Mindestprivilegien. Benutzer sollten lediglich über die für ihre Aufgaben erforderlichen Zugriffsrechte oder Berechtigungen verfügen. Nicht alle Benutzer müssen Admin-Zugriffs- oder Root-Rechte haben und sollten diese daher nicht erhalten.
  • Modell der geteilten Verantwortung beachten. Die Ansicht, dass in der Cloud gehostete Daten automatisch vor Bedrohungen und Risiken geschützt sind, ist trügerisch. Die grossen Cloud Service Provider (CSPs) wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure unterstreichen die Bedeutung der geteilten Verantwortung. Das AWS-Shared Responsibility Model benennt klar die Verantwortungsbereiche für den CSP und den Anwender bezüglich der Nutzung der Cloud. AWS ist für die „Sicherheit der Cloud“ bzw. der gesamten Cloud-Infrastruktur, in der die Dienste gehostet werden, verantwortlich. Anwender wiederum verantworten die „Sicherheit in der Cloud“, die von der Art des genutzten Service bestimmt wird, also IaaS, PaaS und SaaS. Google Cloud Platform (GCP) folgt dem Payment Card Industry Data Security Standard (PCI DSS) und führt die geteilten Verantwortungsbereiche für beide Partner auf. Ähnlich hält es Microsoft Azure und teilt sich einige Verantwortungsbereiche mit den Kunden, abhängig von der Art des Stack-Betriebs des Kunden. Abgesehen davon, liefert Microsoft Anleitungen zu einigen Bereichen, für die immer der Kunde zuständig ist, so etwa für die Daten, Endpoints, Accounts und Zugangsmanagement.
  • Verbesserung der Sicherheit von E-Mail, Gateways, Server und Netzwerken. Schwachstellen in Anwendungen, Betriebssystemen und Plattformen können über unsichere Netzwerke ausgenutzt werden.  Virtual Patching dient der Verteidigung von Netzwerken, Workloads, Server und Container gegen Zero-Day-Angriffe, Datendiebstähle und Ransomware.
  • Sichern von Endpoints, Internet of Things (IoT)-Geräten und privaten Netzwerken. Für die Arbeit im Home Office ist es wichtig, dass Unternehmen sicherstellen, dass die dafür eingesetzten Geräte und Netzwerke auch sicher sind. Anleitungen und Überlegungen zur Sicherheit gibt der Beitrag: „Umfassend geschützt im Home Office“.
  • Aufsetzen eines permanenten Monitoring-Programms. Unternehmen müssen eine Sicherheitsmethodologie wählen, die den Anforderungen der jeweiligen Online-Architektur am besten entspricht. Nur so können sie ihren Sicherheitsbedarf für Systeme und Infrastrukturen systematisch analysieren.
  • Definieren von personalisierten Weiterbildungs-Policies für Mitarbeiter. Unternehmen müssen die häufigsten Mitarbeiterrollen und das damit zusammenhängende Sicherheitsverhalten in diese Richtlinien und Schulungen mit einbeziehen. Mitarbeiter müssen mit der Sicherheit unterschiedlich umgehen, so dass ein differenzierter Schulungsansatz für die Unternehmenssicherheit effizienter ist.
  • Anwenden des Zero-Trust-Modells. Dieses Sicherheitskonzept verhindert im Grund genommen, dass Unternehmen automatisch Nutzern vertrauen und Zugang zu Perimeter-basierten Systemen gewähren. Dabei spielt es keine Rolle, ob sich ein Benutzer innerhalb des Netzwerkperimeters der Organisation befindet oder nicht – alle Benutzer müssen überprüft werden, bevor sie Zugriff auf bestimmte Teile des Systems erhalten.

Trend Micros Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Cloud App Security verbessert die Sicherheit von Microsoft 365 und weiterer Cloud-Services. Die Lösung nutzt Sandbox-Analysen als Schutz vor Ransomware, Business Email Compromise (BEC) und andere Bedrohungen. Auch kann sie Cloud-Dateifreigaben vor Bedrohungen und Datenverlust schützen.

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

Sichere und smarte Verbindungen: Schutz für IoT-Netzwerke im Remote Setup

Originalartikel von Trend Micro

Beim Absichern des Internet of Things (IoT) konzentrieren sich die meisten auf die „Dinge“ oder die im Markt verfügbaren Geräte. Auch wenn die vernetzten Geräte zweifelsohne Sicherheitsherausforderungen mit sich bringen, so ist der Schutz des Netzwerks in seiner Funktion der Bereitstellung einer sicheren IoT-Umgebung sehr wichtig. Während dieser Zeit der Work-from-Home (WFH)-Vereinbarungen ist ein erhöhter Bedarf an Netzwerken entstanden, da Fernbetrieb eine grössere Abhängigkeit vom IoT geschaffen hat. Statt sich auf die Sicherung einzelner Geräte zu konzentrieren, die ein Netzwerk kompromittieren können, sollten die Nutzer auch das Netzwerk absichern, um Bedrohungen über mehrere Geräte hinweg zu minimieren.

Schwachstellen in IoT-Geräten sind eine Tatsache, mit der Nutzer zurechtkommen müssen. Je mehr Geräte in einem Netzwerk sind, desto schwieriger wird es, sie im Auge zu behalten und Bedrohungen zu verhindern, die die Umgebung kompromittieren könnten. Um IoT-Geräte davor zu schützen, bei einem Angriff wie Distributed Denial of Service (DDoS) missbraucht zu werden, sollten Nutzer Best Practices befolgen.

Auch darf nicht vergessen werden, dass die Geräte der verschiedenen Hersteller ein unterschiedliches Sicherheitsniveau aufweisen und sich auch in ihrer Lebensdauer unterscheiden. Einige Geräte sind für Büros und Unternehmen konzipiert, während andere für Privathaushalte oder normale Verbraucher bestimmt sind. Beide Typen verfügen jedoch normalerweise nur über Sicherheitsmassnahmen, die auf ihre Verarbeitungsmöglichkeiten beschränkt sind.

Ein sicheres Netzwerk kann eine zusätzliche Sicherheitsschicht bieten, die alle angeschlossenen Geräte mit einschliesst. Netzwerksicherheit kann Bedrohungen minimieren und einen einheitlichen Rahmen bieten, aus dem heraus Sicherheitsmassnahmen für unterschiedliche IoT-Geräte umzusetzen sind.

Vorbereitung eines Netzwerks für IoT

In den meisten Fällen existieren die Netzwerke bereits, bevor sie mit IoT ausgestattet wurden. Deshalb ist eine Neubewertung der Netzwerksicherheit erforderlich auch bezüglich einer Einschätzung, inwieweit ein Netzwerk für die Integration von IoT-Geräten geeignet ist, und welche Schwachstellen noch beseitigt werden müssen.

Im Folgenden ein paar Überlegungen, bevor eine IoT-Umgebung in ein Setting eingefügt oder neu erstellt wird:

Upgrade des Netzwerks, um eine höhere Bandbreite zu erhalten: Kommen Endpunkte hinzu, nehmen diese Ressourcen in Anspruch, die ein Netzwerk möglicherweise nicht liefern kann. Können diese IoT-Geräte, die ständig Daten austauschen, nicht berücksichtigt werden, sind Verbindungsprobleme die Folge. Insbesondere Unternehmen sollten im Voraus planen, wie sie ihre Bandbreite am besten zuweisen, und dabei genau festlegen, welche Abteilungen wann mehr benötigen könnten.

Überprüfung bereits vorhandener Endpunkte im Netzwerk: Nutzer müssen auch die Sicherheit der Geräte überprüfen, die bereits Teil des Netzwerks sind, bevor IoT-Geräte hinzukommen. Endpunkte wie Computer oder Smartphones können ebenfalls Schwachpunkte sein, vor allem wenn diese Geräte relativ alt sind oder wesentliche Aktualisierungen nicht durchgeführt wurden. Sie sollten auch auf Kompatibilität mit neuen Geräten geprüft werden, die dem Netzwerk hinzugefügt werden.

Netzwerkrichtlinien auf dem neuesten Stand halten: Unternehmen müssen ihre Netzwerk-Policies aktualisieren. Mitarbeiter, die ständig im Netz sind, sollten sich stets der Auswirkungen bewusst sein, wenn dem Netzwerk weitere Endpunkte hinzugefügt werden. Aktualisierte Netzwerkrichtlinien müssen daher neue Sicherheitsanforderungen wie die Verwaltung der Benutzerberechtigungen, Regeln für „Bring-Your-Own-Devices“ (BYOD) und Richtlinien für WFH-Vereinbarungen enthalten.

IoT-Risiken mithilfe des Netzwerks stoppen

In der nächsten Phase geht es darum, nicht nur Netzwerke vor IoT-bezogenen Risiken zu schützen, sondern Sicherheit auf Netzwerkebene als Tool einzusetzen, um Bedrohungen einzudämmen und zu minimalisieren. Folgende Überlegungen können IoT-Risiken und -Bedrohungen effizient einschränken:

Einsatz von Sicherheit auf Netzwerkebene: Manche IoT-Geräte im Netzwerk kommunizieren mit externen Systemen und mit der öffentlichen Cloud, und die meisten kommunizieren mit anderen Geräten in demselben Netzwerk. Sollte eines dieser Geräte korrupte Signale übermitteln, wären Unternehmen, die keine Überwachung innerhalb des Netzwerks durchführen, nicht in der Lage, diese Geräte zu erkennen. Sicherheit auf Netzwerkebene, zusätzlich zur Perimeterverteidigung, kann solche Ereignisse verhindern helfen.

Erstellen von separaten Netzwerken: Eine weitere Möglichkeit, das Risiko von IoT-bezogenen Angriffen zu minimieren, besteht darin, ein separates, unabhängiges Netzwerk für IoT-Geräte und ein weiteres für Gastverbindungen zu schaffen. In WFH-Szenarien können Benutzer auch firmeneigene Geräte wie Laptops in ein separates Netzwerk stellen oder sie für andere Geräte zu Hause unauffindbar machen. Ein segmentiertes Netzwerk kann dabei helfen, Eindringlinge oder Infektionen, die von anfälligen Geräten ausgehen, zu isolieren. Sowohl im Unternehmen als auch zu Hause wäre ein separates Gastnetzwerk auch hilfreich, um weitere Cyberattacken und Malware zu verhindern.

Nutzen der Sicherheitsfähigkeiten von Routern: Da Router in Netzwerken eine wichtige Rolle spielen, ist es auch wesentlich, die Sicherheitsmerkmale dieser Geräte zu kennen  und zu nutzen. Zum Beispiel haben viele Router eine eingebaute Funktion, um ein Gastnetzwerk zu erstellen, das andere Zugangsdaten als das Hauptnetzwerk verwendet.

Bessere Übersicht über das Netzwerk: Sichtbarkeit ist der Schlüssel zur Gewährleistung der Sicherheit des Netzwerks. Sogar in Unternehmensumgebungen können Gäste intelligente Geräte an das Unternehmensnetzwerk anschliessen, ohne dass Sicherheitsverantwortliche dies sofort bemerken. Unternehmen müssen in ihrem Netzwerk über die erforderlichen Tools verfügen, um diese Verbindungen zu überwachen. Darüber hinaus sind diese Tools nicht nur zur Ermittlung der Verbindungen erforderlich, die notwendig oder riskant sind, sondern auch, um Massnahmen in die Wege zu leiten, bevor Bedrohungen erkannt werden.

Monitoring auf verdächtige Verhaltensweisen: Netzwerk-Monitoring gehört dazu, um eine bessere Übersicht zu gewinnen. Neben guten Kenntnissen zu jedem Gerät erleichtert das Wissen über verdächtiges Verhalten das Erkennen von Geräteübernahmen oder Infektionen.

Entfernen anonymer Verbindungen: Jede Verbindung zum Netzwerk muss identifiziert oder benannt werden. Mithilfe einer entsprechenden Kennzeichnung der einzelnen Geräte lassen sich anonyme Verbindungen reduzieren oder entfernen. Dies hilft Benutzern und Integratoren, ihr Netzwerk besser zu überwachen und mögliche unerwünschte Verbindungen zu lokalisieren. Auch ist es viel einfacher, problematische Geräte zu identifizieren, die aus dem Netzwerk entfernt werden müssen.

Policies über das Netzwerk durchsetzen: Sicherheitslösungen, die Transparenz und Kontrolle über das Netzwerk bieten, helfen bei der Durchsetzung der Richtlinien, die vor der Integration von IoT-Geräten implementiert wurden. Mithilfe der Möglichkeiten des Netzwerks können anonyme Verbindungen oder solche, die gegen festgelegte Richtlinien verstossen, entfernt werden.

Geräte überlegt wählen: Obwohl Netzwerklösungen dazu beitragen können, Sicherheitslücken zu schliessen, die durch die uneinheitliche Sicherheit zahlreicher Geräte entstehen, sind sie nicht als singuläre Lösung gedacht. Daher sollten Anwender bei der Auswahl ihrer Geräte besonders kritisch sein. Zum Beispiel ist es ratsam, sich zu informieren und die verschiedenen Merkmale und Typen von Geräten zu berücksichtigen. Darüber hinaus sollten die gewählten Geräte immer auf dem neuesten Stand sein.

Die Rolle des Administrators der Dinge ernst nehmen: IT-Experten, die für die Netzwerksicherheit eines Unternehmens verantwortlich sind, haben bei der Sicherung von WFH-Setups nur eine begrenzte Kontrolle. Aus diesem Grund müssen die Benutzer oder „Administratoren of Things“ zu Hause sowohl die Pflichten ihrer Rolle kennen als auch wissen, wie wichtig diese Rolle ist, insbesondere in der gegenwärtigen Realität der längerfristigen WFH-Abmachungen.

Bild. IoT-Geräte können über verschiedene Fähigkeiten Verbindungen zum Büronetzwerk herstellen.

Sicherheitslösungen

Um eine mehrschichtige Verteidigung aufzubauen, können Anwender umfassende Lösungen einsetzen, wie etwa Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Mechanismen zum Schutz vor Bedrohungen für IoT-Geräte bieten und Malware auf Endpunktebene erkennen können. Vernetzte Geräte lassen sich auch über Lösungen schützen, wie Trend Micro™ Home Network Security und Trend Micro™ Home Network Security SDK, die den Internet-Verkehr zwischen dem Router und allen verbundenen Geräten prüfen können. Schliesslich kann die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance alle Ports und Protokolle überwachen, um Unternehmen vor fortgeschrittenen Bedrohungen und gezielten Angriffen zu schützen.

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.

Zu diesem Zweck überwachten sie C&C-Server mit Verbindung zu Mirai und Bashlite. Die IP-Adressen und Ports der C&C-Server wurden durch die Analyse verwandter Malware-Beispiele sowohl aus internen Datenbanken als auch aus externen Open-Source-Informationen, wie z.B. Informationen aus Twitter-Posts, gewonnen.

Tausende aktiver C&C-Server zeigen Häufung von IoT-Angriffen

Mirai-VariantenBashlite-Varianten
Gesammelte C&C-Serverinformationen7.0305.010
C&C-Server, die eine Verbindung akzeptierten2.9511.746
C&C-Server, die mindestens einen DDoS-Befehl absetzten2.1071.715

Tabelle 1. Anzahl der C&C-Server

Die meisten C&C-Server waren inaktiv. Das bedeutet, als sie entdeckt wurden, akzeptierten sie keine Verbindungen. Doch ein Teil der Server (2.951 für Mirai und 1.746 für Bashlite) waren noch „lebendig“ oder aktiv und ein Teil davon gab auch Distributed Denial-of-Service (DDoS)-Befehle an ihre infizierten Clients aus.

Bild 1. Anzahl der C&C-Server, die eine Verbindung akzeptierten

Es ist offensichtlich, dass die Zahl der aktiven C&C-Server nach wie vor hoch ist, obwohl es Jahre her ist, dass diese Malware-Typen zum ersten Mal in der Öffentlichkeit auftauchten (Mirai um 2016 und Bashlite um 2014). Ausserdem fanden sich 573 gemeinsame IP-Adressen unter den C&C-Servern der beiden Malware-Familien, so dass es möglich ist, dass einige Cyberkriminelle sowohl Mirai als auch Bashlite als Werkzeuge verwenden. Möglicherweise wurde die gleiche IP-Adresse auch von einem anderen Cyberkriminellen wiederverwendet.

Hunderte Befehle zeigen die Botnet-Aktivität

Insgesamt fanden die Forscher 3.822 C&C-Server, die DDoS-Befehle ausgaben. Einer der Server, setzte eine ganze Lawine von 64.991 Befehlen ab.

Bild 2. DDoS-Befehle von den C&C-Servern

Neben den in der Grafik dargestellten Daten gab es auch 136 C&C-Server, die über 1.000 Befehle ausgaben. Eine relativ geringe Anzahl von Servern war aktiv, und es scheint, dass einige inaktive C&C-Server entweder nur zu Testzwecken eingesetzt wurden oder nicht gut funktionieren.

Mit Hilfe von WHOIS fanden die Forscher die Organisationen hinter den IP-Adressen von C&C-Servern. Die meisten C&C-Server basierten auf Hosting-Services, einige davon Bulletproof, die von Cyberkriminellen dazu genutzt werden, um C&C-Server zu betreiben, während sie selbst anonym bleiben. Quellcode von IoT-Malware ist im Untergrund erhältlich, und damit ist es für die Kriminellen einfach, Tools für die Angriffe zu erstellen.

Angriffsmethoden von Mirai

Die Mirai-Familien können auf verschiedene Architekturen wie ARM, x86, MIPS, SH4 und andere abzielen. Die Forscher entdeckten fünf Arten von Angriffsmethoden:

RankName der AngriffsmethodeErklärungC&C-Server mit Verbindung zu Samples
1CVE-2017-17215Command injection attack that targets Huawei HG532 router1423
2Password listingThe malware uses hard-coded credentials to log in to devices that have default or weak credentials.607
3CVE-2014-8361Command execution attack using UPnP SOAP vulnerability in Miniigd that targets devices developed with Realtek SDK520
4ThinkPHP 5.0.23/5.1.31 RCEAn attack that exploits remote code injection vulnerability in ThinkPHP 5.0.23/5.1.31422
5CVE-2018-10561CVE-2018-10562Authentication Bypass and Command Injection vulnerabilities in GPON routers173

C&C-Server in Verbindung mit den Mirai-Varianten

Mehrere Malware-Samples stammen von den gleichen Verteilungsservern. In diesem Fall sind die Inhalte der Samples bis auf ihre Zielarchitekturen nahezu identisch.

Bild 3. Verteilung von Mirai-Varianten über C&C-Server (nur Top Strings)

Es zeigte sich, dass die dargestellten 11 Varianten mit insgesamt 5.740 Servern in Verbindung standen. Die Strings, üblicherweise XOR-kodiert, zeigten sich über Sandbox-Analysen der Malware -Samples in Verbindung mit den Servern. (Achtung: Die meisten davon stammen nur aus Open Source-Quellen; daher stimmt die Summe der Zahlen nicht mit den Zahlen in Tabelle 1 überein.) Weitere Informationen bietet auch der Originalbeitrag.

Verwendung der IOC-Daten für besseren Schutz

Um Kunden vor Cyberbedrohungen zu schützen, verwendet Trend Micro die gesammelten Indicators of Compromise (IOCs) für die verschiedenen Systeme des Monitorings, um die Fähigkeit zur Erkennung von Bedrohungen zu verbessern. Die Sicherheitsforscher sammeln URLs für IoT-Malware-Downloads, fügen sie der Web-Reputationsdatenbank hinzu und kennzeichnen sie entsprechend. Dadurch wird verhindert, dass sich die Geräte der Anwender mit solchen bösartigen URLs verbinden. Darüber hinaus erstellen die Forscher proaktiv ein Erkennungsmuster, sobald sie bei der Überwachung ein neues Muster finden.

Verteidigung von IoT-Systemen

Die meisten IoT-Malware-Programme nutzen die Schwachstellen von IoT-Geräten oder anfälligen Zugangsdaten zur Infektion aus. Um zu verhindern, dass sie durch IoT-Malware kompromittiert werden, wird Benutzern empfohlen, die folgenden Best Practices zu befolgen:

  • Keine Standard-Benutzernamen und -Passwörter verwenden: Nutzer sollten stattdessen sichere Passwörter einrichten, die nicht leicht erraten werden können. Dadurch sind Geräte weniger anfällig für Brute-Force-Angriffe oder Passwortlisten.
  • Regelmässig Software-Updates der Hersteller anwenden: Damit werden Schwachstellen behoben, die eine Infektion ermöglichen.
  • Geräte nicht ans Internet anschliessen, wenn es für ihre Funktion unnötig ist: Sie sollten lieber in ein internes Netzwerk unter einem Gateway-Router gestellt werden, um Angreifern den Zugriff darauf zu verwehren.

Folgende Trend Micro-Lösungen sind zum Schutz vor IoT-bezogenen Bedrohungen empfehlenswert:

Unternehmenssicherheit in Gefahr durch das neue flexible Arbeiten

von Trend Micro

COVID-19 hat die Welt in den letzten Monaten auf verschiedene Weise verändert, am deutlichsten jedoch ist der schnelle Wechsel zu Remote Working infolge der durch Regierungen verhängten Lockdown-Massnahmen zu beobachten gewesen. Trend Micro hat im Rahmen einer Umfrage die Gewohnheiten von Arbeitnehmern im Homeoffice während der Pandemie untersucht. Offiziellen Zahlen des Bitkom zufolge arbeitete infolge der Corona-Pandemie jeder zweite Berufstätige (49%) ganz oder zumindest teilweise im Homeoffice. Obwohl dies zur Unterstützung der Produktivität unter aussergewöhnlichen Umständen unerlässlich war, droht es auch, Organisationen neuen Cybersicherheitsrisiken auszusetzen.

Das Problem mit dem Smart Home

Für den Bericht „Head in the Clouds“ wurden mehr als 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt. Obwohl viele vorgeben, Cybersicherheit heute ernster zu nehmen, ist die Wahrheit etwas anders geartet. Eines der Hauptrisiken, laut Studienergebnissen, entsteht durch Smart Home-Systeme.

Smart Home-Geräte sind heutzutage allgegenwärtig – von Smart TVs und Home Sicherheitssysteme bis zu vernetzten Lautsprechern und Wasserkochern. Sie sind darauf zugeschnitten, den Alltag einfacher, sicherer und produktiver zu gestalten. Doch hat eine Studie der Postbank 2019 gezeigt, dass nahezu jeder Dritte deutsche Haushalt einen digitalen Sprachassistenten nutzt.

Diese Gadgets weisen bekanntermassen Schwachstellen auf, wie z.B. Firmware-Fehler und werkseitig voreingestellte Logins, die leicht zu knacken sind. Bot-Angriffe wie Mirai und seine Nachfolger haben diese Schwächen sehr erfolgreich ausgenutzt, insbesondere bei Produkten weniger bekannter Marken.

Doch über das blosse Kompromittieren und Einbinden eines anfälligen Geräts in ein Botnet hinaus gibt es potenziell noch ausgefeiltere Möglichkeiten für funktionierende Angriffe. Die Studienautoren fanden heraus, dass mehr als die Hälfte 62% der Remote-Mitarbeiter in Deutschland IoT-Geräte besitzen, die mit dem Home-Netzwerk verbunden sind, wobei 7% weniger bekannte Marken einsetzen. Diese Geräte könnten theoretisch gekapert werden, um einem Angreifer Zugang zu einem Heimnetzwerk zu verschaffen. Und dann ist es nur ein kurzer Weg bis ins Firmennetzwerk, über Laptops oder PCs, die ebenfalls miteinander vernetzt sein können.

Unternehmen unter Beschuss

Ein Angriff auf ein Unternehmen stellt für die Akteure nicht unbedingt eine einfache Aufgabe dar, doch wird sie erleichtert, wenn Laptops und andere Geräte mit Unternehmenszugriff schlecht gesichert sind. Zwei Fünftel (45%) der deutschen Studienteilnehmer erklärten, dass sie von persönlichen Geräten aus auf Unternehmensdaten zugreifen. Diese Geräte sind häufig weniger gut geschützt als die im Unternehmen: So erklärten 52% der Remote-Mitarbeiter kein aktives Passwort für ihr Geräte zu nutzen.

Des Weiteren greifen 65% der Remote-Mitarbeiter von ihrem Arbeits-Laptop auf das Heimnetzwerk zu. Diese sollten zwar sicherer sein, aber es gibt keine Garantie dafür, vor allem, wenn Manager sie schnell ausgeben, ohne dass die IT-Abteilung Zeit hat zu prüfen, ob AV vorinstalliert ist. Nicht alle IT-Sicherheitsfunktionen sind in der Lage, solche Geräte aus der Ferne zu verwalten. Eine kürzlich veröffentlichte Studie liefert beunruhigende Zahlen: 93% der Unternehmen weltweit haben derzeit Sicherheitsaufgaben verschoben, so etwa Patching während der Pandemie.

All dies geschieht zu einer Zeit, in der Cyberkriminelle es auf abgelenkte Remote-Mitarbeiter als potenziell schwaches Glied in der Cybersicherheitskette von Unternehmen abgesehen haben. Im Mai sah sich das National Cyber Security Centre (NCSC) gezwungen, ein Adisvory nicht nur bezüglich Phishing-Angriffen unter dem COVID-Thema, sondern auch für Angriffe auf Remote-Access-Infrastrukturen herauszugeben.

Was nun?

So vorhersehbar es auch klingt, die Antwort liegt in dem bewährten Trio aus Menschen, Verfahren und Technologie. Als erstes geht es um die Menschen, die ein verbessertes Awareness-Training erhalten müssen. Dieses sollte auf verschiedene Persönlichkeitstypen zugeschnitten sein, um die Wirksamkeit zu maximieren.

Als Nächstes sollten sich Unternehmen auf die Neugestaltung und Durchsetzung von Sicherheitsrichtlinien und -prozessen konzentrieren, um der neuen Realität der Heimarbeit Rechnung zu tragen und sicherzustellen, dass die Mitarbeiter sich an die Vorschriften halten. Sie müssen die Bedrohung, die von intelligenten Heimnetzwerken und persönlichen Geräten ausgeht, kennen und wissen, wie sie diese mindern können, z.B. durch Isolierung von IoT-Geräten in Gastnetzwerken.

Schliesslich sollten Organisationen sicherstellen, dass alle Endpunkte und Heimnetzwerke der Mitarbeiter angemessen geschützt sind. Cloud-basierte Tools können einen Grossteil der Arbeit leisten, um Kosten zu minimieren und den Verwaltungsaufwand für überlastete IT-Teams zu verringern.

Das Problem mit kontaktlosen Sicherheitslösungen

von Trend Micro Research

Zugangskontrollgeräte, die Gesichtserkennung verwenden, sind zu einem kritischen Teil der Sicherheitsinfrastruktur von Unternehmen geworden. Unternehmen setzen diese Geräte zunehmend ein, um den Zutritt zu gesicherten Räumlichkeiten zu kontrollieren. Die Sicherheitsforscher von Trend Micro haben die Sicherheitsvorkehrungen bestimmter Gerätemodelle untersucht und inhärente Schwächen entdeckt, die die Unternehmen, die diese Geräte einsetzen, ernsthaft gefährden könnten. Sie testeten vier verschiedene Geräte und setzten sie sowohl Cyber- als auch physischen Angriffen aus. Dabei stellten sie fest, dass sie die vorhandenen Sicherheitsmassnahmen umgehen konnten. In einem Fall waren sie sogar in der Lage, Türen zu öffnen, indem sie nur ein statisches Bild des Gesichts einer Person verwendeten.

Zugangskontrollgeräte am Edge des Netzwerks

Diese Zugangskontrollgeräte sind ein Beispiel für ein neues Computing-Paradigma namens Edge-Computing. Die Architektur ist darauf ausgerichtet, Rechenknoten näher an die Sensoren und Aktuatoren an den Rändern (Edge) des Netzwerks zu bringen. Aufgrund ihrer Eigenschaften der geringen Latenz, der Datenlokalisierung und des reduzierten Bandbreitenverbrauchs wird Edge Computing in kritischen Anwendungen wie Flottensteuerung, intelligenter Landwirtschaft und Gebäudeautomatisierung eingesetzt.

Die Verlagerung des Grossteils der Rechenaufgaben auf das Edge-Computing birgt jedoch neue Risiken. Edge-Knoten sind häufig vor Ort exponiert und erhöhen die Wahrscheinlichkeit von Manipulationen und damit das Risiko des Zugriffs auf das restliche Unternehmensnetzwerk. Dieses System erhöht auch die Wahrscheinlichkeit des Diebstahls und der Kompromittierung der in den Geräten gespeicherten Daten.

Auswirkungen auf Unternehmen

Im Rahmen der Erforschung entdeckten die Trend Micro-Experten einige Schwachpunkte in Edge-basierten Zugangskontrollgeräten, die eng mit der neuen Gerätearchitektur zusammenhängen. Diese Sicherheitslücken könnten dazu führen, dass bösartige Akteure verschiedene Aktionen ausführen, wie etwa folgende:

  • Durchbrechen der physischen Sicherheit eines Gebäudes: Sie könnten nicht autorisierte Nutzer hinzufügen und die Rolle des Geräteadministrators übernehmen.
  • Exfiltrieren von kritischen Unternehmensdaten: Damit können Angreifer Türen zu privaten Bereichen öffnen und Anwendungen auf das Gerät installieren.

Massnahmen gegen das Eindringen

Das Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“ stellt einige Leitlinien vor, die Anbieter dabei unterstützen, sicherere Geräte herzustellen, einschliesslich der Möglichkeit verschlüsselter Kommunikation, Härten der Geräte und der Ausgabe regelmässiger Sicherheits-Updates. Auch liefert das Whitepaper Hilfestellungen für Unternehmensanwender, um die Risiken durch angreifbare Geräte zu mindern, so etwa physische Absicherung der Geräte, Sichern der Kommunikation und Einsatz von Netzwerküberwachungslösungen.

Weitere Einzelheiten dazu, wie Hacker Edge-basierte Zugangskontrollgeräte angreifen können sowie Massnahmen zur Risikominimierung gibt es unter http://bit.ly/edgedevicesecurity.

Leitlinien zur Sicherheit in Smart Factories: Konzepte und Managementsysteme im IEC62443-Standard

Originalartikel von Trend Micro

Die Sicherheit eines Industrial Control System (ICS) unterscheidet sich von der der IT. Auch OT Security genannt, betraf sie anfangs kritische Infrastrukturen wie die für Strom, Gas und Wasser. Doch im Zuge der Entwicklung hin zu offenen Systemen und Veränderungen bei den Bedrohungen infolge des Trends zu IIoT und Industry 4.0 sind die Sicherheitsbemühungen in verschiedenen Bereichen hinzugekommen. Es heisst, Stuxnet habe 2010 als globaler Auslöser gewirkt. Während des letzten Jahrzehnts haben verschiedene Länder und Industrien aktiv Richtlinien und Rahmenwerke entwickelt, doch mangelt es ihnen an Kohärenz. Bemerkenswert sind die kürzlich entwickelten zwei globale Standards bezüglich der Sicherheit in Smart Factories, nämlich IEC62443 und die NIST CSF, Serie SP800. Diese beiden sollen auch als typische Beispiele für allgemeine Richtlinien für die ICS- und OT-Sicherheit näher erläutert werden, um die für die Sicherheit in Smart Factories erforderlichen Konzepte besser zu verstehen.

Überblick über IEC62443

IEC62443 besteht aus einem Satz von 14 Dokumenten, die Spezifikationen für Sicherheitstechnologien in allgemeinen industriellen Steuerungssystemen (IACS: in dieser Norm Industrial Automation Control System genannt) enthalten. Der Standard wurde von der International Society of Automation (ISA) und der International Electrotechnical Commission (IEC) entwickelt. 8 der 14 Dokumente sind bisher veröffentlicht, und die Überarbeitung und Entwicklung ist im Gange.

IACS behandelt nicht nur technische Aspekte einschliesslich des Systems und der Ausrüstung, die ein System ausmachen, sondern auch organisatorische und verfahrenstechnische Punkte. Es heisst auch, dass Organisationen und Prozesse rund um Technologien als Teil eines Systems betrachtet werden. Die 14 Dokumente sind in Teildokumente mit Unternummern unterteilt: 1-1~4 General, 2-1~5 Policies & Procedure, 3-1~3 System und 4-1~2 Component. Zum Beispiel werden in 4 Component die Anforderungen an die Prozesse in einer Organisation, die ein Produkt entwickelt, und die Anforderungen an das Produkt selbst getrennt wie folgt angegeben: 4-1 Anforderungen an den Lebenszyklus der Sicherheitsproduktentwicklung und 4-2 Technische Sicherheitsanforderungen für IACS.

Bild 1: Übersicht über IEC62443 (Quelle: Trend Micro, auf Basis von IEC-Dokumenten)

Die Themen lassen sich in drei Klassen einteilen, wobei jede Aufgabe von den folgenden drei Parteien durchgeführt werden muss: Nutzerunternehmen, das ein System managt/betreibt (Asset Owner), Systemintegrator/Service Provider, der ein System entwirft/baut und Produktlieferant, der die Geräte und Instrumente, die ein System bilden entwickelt/liefert.

<1: General> umfasst die allgemeinen Konzepte und Referenzmodelle.

<2: Policies & Procedure> umfasst die Organisationen und Prozesse für Asset Owner.

<3: System> umfasst Systemdesignverfahren und Funktionsanforderungen für Systemintegratoren.

<4: Component> für Produktlieferanten.

Diese Klassifikation ist allgemein gehalten. In konkreten Fällen kann es vorkommen, dass die Rolle einer Systemregion in 3 von dem Nutzerunternehmen wahrgenommen wird, und in einem anderen Fall wird der Prozess in 2 von einem Systemintegrator oder Dienstleister unter dem Gesichtspunkt des Betriebs und der Wartung abgewickelt.

Bild 2. Asset Owner, Systemintegrator und Produktanbieter (Quelle: Trend Micro, auf Basis von IEC-Dokumenten)

Konzept: Defense in Depth

IEC62443-1-1 beinhaltet mehrere Konzepte und Modelle. Unter anderen geht es auch um Defense in Depth, ein wohlbekanntes Konzept in der Welt der Informationssicherheit. Doch es handelt sich nicht um eine einfache Massnahme, über die mehrere Gegenmassnahmen-Technologien zusammen verwendet werden. Es gilt vielmehr, Massnahmen nach Sicherheitsaspekten in Schichten zu trennen und diese dann in unabhängigen Layern zu stapeln. Neben der Technologie sind auch Massnahmen für Personal, Organisationen und Prozesse in verschiedenen Schichten umzusetzen. Wichtig ist, Cybersicherheit in allen Bereichen zu implementieren. Technologisch empfiehlt es sich auch, die Netzwerkumgebung von IACS in Zonen und Leitungskanäle zur Verbindung der Zonen zu separieren und dann die Anlagen durch Trennung in Gruppen mit gemeinsamen Sicherheitsstufen zu verwalten. (mehr dazu in Teil 2).

Managementsystem: Cyber Security Management System (CSMS)

IEC62443-2-1 spezifiziert den Rahmen von Management und Betrieb für Asset Owner. Es handelt sich um einen so genannten PDCA-Zyklus, der mit der Analyse von schwerwiegenden Risiken beginnt, gefolgt von der Risikoanalyse spezifischer Fälle, dem Entwurf von Richtlinien, Umstrukturierung von Organisationen, Schulung, Umsetzung von Managementmassnahmen, Audit und Review. Ein Mechanismus zur Aufrechterhaltung/Verwaltung dieser Sicherheit wird als CSMS bezeichnet, und es gibt auch ein Zertifizierungssystem.

Die Beziehung zwischen IEC62443-2-1 und CSMS-Zertifizierung ist die gleiche wie die Beziehung zwischen ISO27001 und ISMS-Zertifizierung in der Informationssicherheit. Da das CSMS auf der Grundlage des ISMS entwickelt wurde, sind viele Gemeinsamkeiten zwischen ihnen vorhanden, und der Rahmen für den PDCA-Zyklus ist derselbe. Andererseits sind die beiden auf unterschiedliche Ziele ausgerichtet. Die Ziele des ISMS sind alle Information Assets, während für das CSMS nicht nur Informationen, sondern auch das IACS darin enthalten sind. Ein weiterer Unterschied besteht hinsichtlich des vorausgesetzten Vorfalls, denn für ISMS ist das wichtige Anliegen der Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, und CSMS hält die Verfügbarkeit für besonders wichtig.

Bei einer Organisation, die bereits eine ISMS-Zertifizierung erworben hat, kann davon ausgegangen werden, dass ihr das Konzept des CSMS bekannt ist. Es hängt jedoch von der individuellen Situation ab, ob sie eine Zertifizierung erwerben kann.

Bild 3: CSMS (Quelle: Trend Micro, auf Basis von IEC-Dokumenten)

IEC und ISO

Wie schon der Name ahnen lässt, liefert International Electrotechnical Commission (IEC) technologische Standards in der Elektrotechnik und Elektronik. Die International Organization for Standardization (ISO) beschäftigt sich mit anderen Bereichen. Als bekannte Beispiele sind die Normen für Trockenzellenbatterien der IEC und die Normen für Schrauben der ISO zu nennen. Im Bereich der Fertigungsindustrie gibt es viele Normen für die Sicherheit im Sinne von Safety. Beispielsweise kommen von der IEC Safety-Standards für elektrische Geräte (IEC60204), Normen für funktionale Safety (IEC61508) und von der ISO die allgemeinen Grundsätze für das Safety-Design von Maschinen (ISO12100) sowie Normen für Systeme und Teile (ISO13849). Darüber hinaus werden in der ISO die Regeln und Mechanismen einer Organisation auch als Managementsystem standardisiert. Neben der ISO27001 (Informationssicherheitsmanagement) werden auch bekannte Themen wie ISO9001 (Qualitätsmanagementsystem) und ISO14001 (Umweltmanagement) sowie allgemeinere Themen wie ISO31000 (Risikomanagement) behandelt.

In der IEC und ISO gibt es viele industrielle technologiebezogene Safety-Normen sowie Leitfäden zur Beschreibung dieser Normen (ISO/IEC Guide 51: 2014 „Safety Aspects – Guidelines for Their Inclusion in Standards“). In diesen Normen wird Risiko als die „Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Schadens“ definiert und Sicherheit als „Vermeiden von Risiken, die nicht tolerierbar sind“. Die Grundhaltung zu Risiken lässt sich folgendermassen beschreiben: Unter der Annahme, dass das Risiko niemals 0 wird, ist zu bestimmen, welche Risiken akzeptiert werden können und bis zu welchem Grad ein Risiko tragbar ist. Dann ist zu überlegen, was getan werden sollte, um inakzeptable Risiken auf ein annehmbares Niveau zu reduzieren.

Fazit

IEC und ISO-Standards sind im Einklang mit Änderungen in der Technologie und der Gesellschaft permanent überarbeitet/weiterentwickelt worden. In einer relativ neuen Richtlinie (ISO Guide 73: Risk Management) wird Risiko als „der Effekt von Unsicherheit auf ein Objekt“ definiert. In der industriellen Welt ist es auch von Bedeutung, wie Sicherheit und Safety integriert und gehandhabt werden sollten. Es gibt den Vorschlag einer neuen Norm (IEC TR 63069: Industrial-Process Measurement, Control and Automation – Framework for Functional Safety and Security).

Ein nächster Teil wird die Level in System-Design und Sicherheit der IEC62443 behandeln.