Risiken von Advanced Persistent Threats (APT) für IoT-Geräte

Die meisten Nachrichten über Angriffe auf das Internet der Dinge (IoT) konzentrierten sich auf Botnets und Kryptomining-Malware. Diese Geräte bieten jedoch auch ein ideales Ziel für schädlichere Angriffe innerhalb des Netzwerks eines Opfers, ähnlich wie die von UNC3524 verwendete Methodik, die die Unsicherheit von Netzwerk-, IoT- und OT-Geräten ausnutzt, um sich langfristig in einem Netzwerk zu halten. Diese Art von Advanced Persistent Threat (APT) wird in naher Zukunft wahrscheinlich zunehmen.

Speziell angefertigte IoT- und OT-Geräte, die mit dem Netzwerk verbunden sind und die Installation von Endpunktsicherheitssoftware nicht zulassen, können leicht kompromittiert und für eine Vielzahl von böswilligen Attacken verwendet werden. Ein Grund dafür ist, dass diese Geräte oft nicht so genau überwacht werden wie die herkömmliche IT. Ein Großteil der Unternehmen kann sogar die Mehrzahl der IoT- und OT-Geräte in ihren Netzwerken nicht identifizieren. Oft herrscht auch Unklarheit darüber, wer für die Verwaltung dieser Geräte verantwortlich ist. Ist es die IT, die IT-Sicherheit, der Netzwerkbetrieb, der Geräteanbieter? Folglich weisen nicht verwaltete Geräte regelmäßig hochgradige und kritische Schwachstellen auf und es fehlt an Firmware-Updates, Härtung und Zertifikatsvalidierung.

Kein aktives Management von IoT-Geräten

Diese Probleme spielen den Angreifern direkt in die Hände. Da Netzwerk-, IoT- und OT-Geräte keine agentenbasierte Sicherheitssoftware unterstützen, können Angreifer speziell entwickelte bösartige Tools installieren, Konten ändern und Dienste auf diesen Geräten einschalten, ohne entdeckt zu werden. Und da Schwachstellen und Anmeldeinformationen nicht verwaltet werden und die Firmware nicht aktualisiert wird, können Angreifer ihre Angriffe sogar über einen längeren Zeitraum aufrechterhalten.

Aufgrund der geringen Sicherheit und Sichtbarkeit dieser Geräte sind sie eine ideale Umgebung, um sekundäre Angriffe auf wertvollere Ziele im Netzwerk des Opfers zu inszenieren. Zu diesem Zweck verschafft sich ein Angreifer zunächst über herkömmliche Methoden wie Phishing Zugang zum Unternehmensnetzwerk. Angreifer können sich auch Zugang verschaffen, indem sie auf ein IoT-Gerät mit Internetanschluss wie ein VoIP-Telefon, einen intelligenten Drucker, ein Kamerasystem oder ein OT-System wie ein Gebäudezugangskontrollsystem abzielen. Da die meisten dieser Geräte Standardkennwörter verwenden, ist diese Art des Einbruchs oft trivial.

Gerätesteuerung aus der Ferne

Sobald der Angreifer in das Netzwerk eingedrungen ist, wird er sich seitlich und im Verborgenen bewegen, um andere anfällige, nicht verwaltete IoT-, OT- und Netzwerkgeräte ausfindig zu machen. Sobald diese Geräte kompromittiert wurden, muss der Angreifer nur noch einen Kommunikationstunnel zwischen dem kompromittierten Gerät und der Umgebung des Angreifers einrichten.  An diesem Punkt kann der Angreifer die Geräte der Opfer aus der Ferne steuern.

Einer der Hauptvorteile des IoT für Angreifer besteht darin, dass Reaktion auf Vorfälle und deren Behebung deutlich schwieriger sind und  Angreifer kaum  vollständig auszuschalten sind. Die einzige Möglichkeit für Unternehmen, diese Angriffe zu verhindern, besteht darin, einen vollständigen Überblick über ihre verschiedenen IoT-, OT- und Netzwerkgeräte zu haben sowie den Zugriff auf diese Geräte und deren Verwaltung zu gewährleisten.

Grundlegende Gerätehärtung und aktive Verwaltung

Auf der Geräteebene ist diese Sicherheit einfach zu erreichen. Auch wenn ständig neue Schwachstellen auftauchen, können die meisten dieser Sicherheitsprobleme durch die Verwaltung von Passwörtern, Anmeldeinformationen und Firmware sowie durch grundlegende Gerätehärtung behoben werden. Da es für Unternehmen mit einer großen Anzahl von Geräten schwierig ist, diese manuell zu sichern, sollten sie die Investition in automatisierte Lösungen in Betracht ziehen.

Der erste Schritt, den Unternehmen unternehmen sollten, ist die Erstellung eines Inventars aller speziell angefertigten Geräte und die Ermittlung von Schwachstellen. Als Nächstes sollten sie Risiken im Zusammenhang mit schwachen Passwörtern, veralteter Firmware, fremden Diensten, abgelaufenen Zertifikaten und hochgradigen bis kritischen Schwachstellen in großem Umfang beheben. Schließlich müssen die Unternehmen diese Geräte kontinuierlich auf Veränderungen in der Umgebung überwachen, um sicherzustellen, dass das, was behoben wurde, auch behoben bleibt.

Roger Homrich

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Tag ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

1 Tag ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago