Kontrolle über das IoT aus Sicherheitsgründen abgeben

Ich denke, man kann mit Fug und Recht behaupten, dass wir alle von der Technologie begeistert sind. Das Alltägliche wird allein durch die Einführung von Technologie in etwas Magisches verwandelt. Natürlich lässt der Reiz des Neuen nach einer Weile nach, aber bis dahin gibt es eine andere Aufgabe, die über das Gerät oder Telefon steuerbar gemacht wurde, und der Zyklus beginnt von neuem.

Die Realität ist, dass die meisten Menschen ihre (immer mehr werdenden) Geräte nicht so verwalten, wie die IT-Abteilung ihre Systeme verwaltet. Nicht einmal IT-Leute. Erinnern Sie sich an die Tripwire-Umfrage, die ergab, dass „dreißig Prozent der IT-Experten und 46 Prozent der befragten Arbeitnehmer nicht einmal das Standardkennwort ihrer WLAN-Router ändern“? Das ist etwas mehr als die Ergebnisse einer Studie, in der es heißt , dass „vierzig Prozent der Amerikaner sagten, sie seien zu faul, fänden es zu unbequem oder es sei ihnen egal …“5, was die Einhaltung grundlegender Sicherheitsempfehlungen betreffe.

Angesichts der Hetzkampagnen von Sicherheitsexperten und der Drohungen in der Fachpresse dürfte es daher keine Überraschung sein, dass zumindest verbraucherorientierte IoT-Hersteller ihre Anstrengungen zu intensivieren scheinen. Automatische Updates, Patches und Hotfixes können regelmäßig und einfach per Kontrollkästchen auf verbundene Geräte gestreamt werden.

Zumindest die Verbraucher überlassen die Kontrolle den Herstellern, die versprechen, ihre Geräte vor Angreifern zu schützen.

Das ist der Verbraucherbereich . Bisher scheint ein solches Verhalten in Unternehmen tabu zu sein, selbst wenn es um IoT-Geräte geht. Sicherlich werden Unternehmen auch in absehbarer Zukunft die Kontrolle über solche Dinge behalten. Schließlich ist der Explosionsradius eines fehlgeschlagenen Updates im Rechenzentrum ziemlich groß.

Allerdings ist das nicht skalierbar und wir wissen aus unseren eigenen Untersuchungen und einem Blick auf Shodan.io ganz genau, dass ein ziemlich großer Prozentsatz der IoT-Geräte in Unternehmen nicht nur dem Internet ausgesetzt, sondern auch anfällig ist.

Und wenn sie anfällig sind, bedeutet das, dass ein Patch verfügbar sein sollte (vielleicht ist das schon der Fall?). Wenn jedoch beides zuträfe, stünden dann nicht weniger Geräte zur Rekrutierung als Thingbot zur Verfügung?

In Anbetracht einer vor zwei Jahren durchgeführten Studie von IDC, die ergab, dass Patches, Updates und Installationen für einen durchschnittlichen IT-Mitarbeiter 20,7 % der Woche in Anspruch nehmen, erscheint es unmöglich, dass das Unternehmen – selbst mit Automatisierung – in der Lage sein wird, die prognostizierte Verdoppelung der Geräteanzahl (von heute 9.259 Geräten auf 18.631 ) in den nächsten zwei Jahren zu bewältigen.

Was also soll das Unternehmen tun?

Die Frage, die wir beantworten müssen, lautet: Ermutigen wir die Hersteller, den nötigen Schritt zu gehen und ihre im Unternehmen befindlichen Geräte automatisch zu aktualisieren? Denn es ist irgendwie unfair, ihnen die Schuld zu geben, ohne anzuerkennen, dass Patch-Müdigkeit und Personalmangel möglicherweise die Ursache dafür sind, dass diese Patches überhaupt erst nicht angewendet werden. In einer weiteren interessanten Studie von Tripwire heißt es: „ Im Jahr 2015 wurden über 6.000 neue CVEs zugewiesen.“ Wenn nur ein Zehntel dieser Schwachstellen Geräte in Ihrem Verantwortungsbereich betreffen würden, wären Sie für die Behebung von 630 Schwachstellen pro Jahr oder 2,5 Schwachstellen pro Arbeitstag verantwortlich. “

Das sind eine Menge Schwachstellen, die behoben werden müssen. Eine Menge, eine entsprechende Anzahl an Patches.

Leider bedeutet die Veröffentlichung eines Patches nicht, dass dieser auch sofort angewendet wird. Wie aus der Tripwire-Umfrage hervorgeht, „Ein wesentlicher Faktor, der sich auf die zum Bereitstellen von Patches benötigte Zeit auswirkt, ist das Testen. Als die Teilnehmer gefragt wurden, ob sie Patches vor der Bereitstellung getestet hätten, antworteten 47 Prozent, dass sie dies für Desktop-PCs getan hätten, und 55 Prozent für Server .“ Wenn Sie sich genauer ansehen, wie lange es tatsächlich dauert, einen Sicherheitspatch in Produktion zu bringen, werden Sie einige alarmierende Daten finden. Konkret: 93 % der Befragten testen und implementieren Sicherheitspatches in weniger als einem Monat.

Nicht allzu übel, wenn man bedenkt, mit wie vielen Systemen und den entsprechenden Schwachstellen ein mittleres bis großes Unternehmen typischerweise zu kämpfen hat.

Bedenken Sie jedoch einmal: Als CVE-2017-8225 – das einen einzigen chinesischen Hersteller von IP-Kameras betraf – bekannt gegeben wurde, dauerte es weniger als zwei Monate, bis über 600.000 dieser Kameras mit Persirai infiziert waren . Das sind 10.000 Geräte pro Tag. Das heißt, ein Monat ist einen Monat zu lang. Und das war nur eine Schwachstelle.

Das IoT erobert Unternehmen in Form von immer mehr Sensoren und Monitoren – und wer weiß, was alles zugänglich und oft auch angreifbar ist – und wie kann die IT mithalten? Kann es mithalten, selbst wenn es automatisiert ist?

Meine eigentliche Frage lautet also: Würden Sie es tun? Würden Sie die Kontrolle über IoT-Geräte abgeben, wenn (und mir ist klar, dass das ein großes Wenn ist, aber spielen Sie der Entdeckung wegen mit) die Hersteller einspringen und mehr Verantwortung für die Sicherheit ihrer Geräte übernehmen würden?

Sie können diese Frage hier beantworten (und sehen, was Ihre Kollegen denken) . Nur zu, geben Sie den Ton an!