365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Geheimdienstbündnis Five Eyes warnt vor Angriffen auf Edge- und IoT-Geräte und wendet sich mit Sicherheitsleitfäden an die Öffentlichkeit.
IoT-Geräte werden im OT-Sektor massenhaft in Verbindung mit Edge-Systemen verwendet. In der Produktion sind sie häufig in der Mess- und Regelungstechnik zu finden. Meist bilden sie eine Brücke zwischen internen und externen Netzwerken wie dem Internet. Doch in vielen Unternehmen kennt man sie gar nicht oder behandelt sie sehr stiefmütterlich. Angreifer profitieren davon. Westliche Geheimdienste sind besorgt und greifen zu ungewöhnlichen Maßnahmen.
Es kommt äußerst selten vor, dass sich Geheimdienste an die Öffentlichkeit wenden und Empfehlungen herausgegeben. Jetzt taten sie es und haben Leitlinien zur Verbesserung der Cybersecurity von Edge- beziehungsweise IoT-Geräten (Internet of Things) veröffentlicht. Hintergrund sei laut den Diensten eine besorgniserregende Zunahme von Angriffen auf diese Komponenten, gerade im OT-Sektor sowie im Bereich der kritischen Infrastruktur (KRITIS).
Bei diesen Geräten handelt es sich häufig um Systeme, die nicht im Zentrum der IT-Sicherheit stehen. Gerne werden sie gänzlich übersehen und in nicht wenigen Unternehmen kennt man weder Typen, Standorte noch Anzahl dieser Geräte. Damit werden sie zu einem beliebten Ziel bei Cyberattacken. „Angriffe auf Edge-Geräte sind für viele Cyber-Bedrohungsakteure, auch für staatlich gesponserte zur bevorzugten Taktik geworden“, warnen die Geheimdienste in den Veröffentlichungen.
Das angloamerikanische Geheimdienstbündnis, bestehend aus Australien, Kanada, Neuseeland, Großbritannien und den USA wird informell als Five Eyes bezeichnet. Dieses Bündnis dient unter anderem dem Austausch nachrichtendienstlicher Erkenntnisse und hat eine Aufgabenteilung seiner Überwachungsaktivitäten vorgenommen. Außerdem nutzen sie ihre technischen Ressourcen gemeinsam. Viel ist über die Five Eyes nicht bekannt, was der Natur von Geheimdiensten entspricht. Alles in allem gilt das Bündnis als sehr effektiv. Für die aktuelle gemeinsame Warnung hat sich jeder Nachrichtendienst einen anderen Schwerpunkt gelegt und die Ergebnisse in einem eigenen Dokument festgehalten. Die meisten davon liegen inzwischen vor. Sie publizierten ihre „Sicherheitsüberlegungen für Edge-Devices“ in einer Reihe von Leitfäden. „In diesen Leitfäden werden verschiedene Überlegungen und Strategien für ein sichereres und widerstandsfähigeres Netzwerk sowohl vor als auch nach einer Kompromittierung dargelegt“, heißt in einer gemeinsamen Mitteilung.
Während sich die Kanadier der Härtung von Edge-Geräten widmen, kümmern sich die Briten um forensische Probleme sowie Monitoring- und Protokollierungsfragen. Die Australier schildern Strategien zur Schadensbewältigung und geben dazu praktische Ratschläge, während die amerikanische Cybersecurity-Behörde CISA die Notwendigkeit hervorhebt, Security schon im Konstruktionsprozess der Geräte zu berücksichtigen, Security-by-Design. Der Beitrag des neuseeländischen National Cyber Security Centre (NCSC) liegt noch nicht vor.
Die Dienste weisen darauf hin, dass Edge-Geräte den Angreifern häufig als Startpunkt dienen, um Zugang zu internen Unternehmensnetzwerken zu erhalten, da sie eine entscheidende Rolle bei der Abwicklung des Datentransfers zwischen internen und externen Netzen haben. Ihnen kommt damit eine Schlüsselrolle zu. Gleichzeitig attestieren sie Edge- und IoT-Geräten eine Reihe von Defiziten. So verfügen diese Komponenten in der Regel nicht über Endgeräteschutz (Endpoint Detection and Response, EDR). In vielen Fällen fehlt es ihnen an regelmäßigen Updates und starker Authentifizierung. Auch Sicherheitslücken und unsichere Standardkonfigurationen sind nicht selten, wie die regelmäßigen Warnungen von Cybersecurity-Behörden zeigen. Durch mangelhafte Protokollierungsmechanismen und lückenhafte Monitoring-Funktionen wird die Einbindung in unternehmensweite Sicherheitskonzepte und -Tools erschwert oder gar verhindert. Ferner fehle es an forensischen Möglichkeiten, um Sicherheitsvorfälle zu analysieren. Oft werde auch veraltete Hardware eingesetzt und es fehle an Security-Features, da diese beim Design der Geräte keine Rolle spielten, ergänzt das britische National Cyber Security Centre (NCSC) des Government Communications Headquarters, GCHQ. Das mache sie sehr angreifbar, warnen die Briten.
Deshalb geben die Nachrichtendienste des Bündnisses Empfehlungen, wie diese Komponenten besser geschützt werden können. Im Zentrum der Empfehlungen stehen die Edge-Geräte, die aus Netzwerk-Komponenten wie Firewalls, Router, VPN-Gateways und anderen IoT-Geräten bestehen. Sie werden vielfach im OT-Sektor verwendet und häufig in Verbindung mit einfachen IoT-Geräten wie Sensoren und Reglern eingesetzt. Viele dieser Geräte bilden eine Brücke zwischen internen Netzwerken und externen Netzwerken wie dem Internet. Das kanadische Centre for Cyber Security betont: „Edge-Geräte sind ein wichtiger Bestandteil vieler Unternehmensnetze“. In der Betriebstechnik (OT) ermöglichten sie Verbindung zwischen Innen- und Außenwelt, was die Produktivität steigere. Ein typischer Anwendungsfall aus dem OT-Bereich: Die Daten von IoT-Sensoren fallen in hoher Frequenz an und werden daher zunächst auf Edge-Systemen aggregiert, bevor sie in der Cloud ausgewertet werden.
An die Hersteller solcher Systeme ergeht deshalb die Aufforderung, Management-Schnittstellen besser abzusichern, insbesondere, wenn diese über das Internet angesteuert werden könnten. Sie sollten außerdem die forensische Transparenz verbessern, um Security-Verantwortlichen bei der Erkennung von Angriffen und der Untersuchung von Sicherheitsvorfällen zu helfen. Zu den weiteren Empfehlungen gehört die Abschaltung ungenutzter Ports und Dienste sowie die Aktivierung sicherer Zugangskontrollen und Authentifizierung. Können Systeme nicht vernünftig abgesichert werden, sollten sie in separaten Netzwerksegmenten untergebracht und durch eine Firewall abgeschottet werden.
Das australische Cyber Security Centre (ACSC) rät, unbedingt alle Geräte dieser Kategorie aufzufinden und zu identifizieren, die sich an den Außengrenzen des Unternehmensnetzwerkes befinden. Dazu gehört auch, festzustellen, mit wem sie in Verbindung stehen, insbesondere außerhalb des eigenen Netzes. Ein weiterer Rat: „Entfernen oder ersetzen Sie Geräte, die ihr Lebensende erreicht haben“ und damit vom Hersteller nicht mehr unterstützt werden. Das hat zur Folge, dass es dafür auch keine Updates mehr geben wird.
Autor: Uwe Sievers
Quellen:
Bleeping Computer: Cyber agencies share security guidance for network edge devices
Canadian Centre for Cyber Security: Security considerations for edge devices (ITSM.80.101)
Australian Signals Directorate's Australian Cyber Security Centre (ASD's ACSC): Mitigation strategies for edge devices: Practitioner guidance
Government Communications Headquarters (GCHQ), National Cyber Security Centre (NCSC): Guidance on digital forensics and protective monitoring specifications for producers of network devices and appliances
National Coordinator for Critical Infrastructure Security and Resilience (CISA): Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products
