IoT Sicherheit mit der Sophos XG

by connecting media Juni 14, 2019

Das Internet der Dinge (englisch: Internet of Things (IoT)) ist mittlerweile ein Überbegriff für die Vernetzung verschiedenster Gegenstände via IP-Netz. Die Voraussetzung für diese Entwicklung ist, dass alle „smarten“ Geräte in der Lage sind, eine Internetverbindung herzustellen und dadurch Zugriff auf den PC oder das Handy haben. Hacker können mittlerweile genau diese Geräte nutzen, um sie für ihre eigenen Absichten zu missbrauchen. Das funktioniert, indem sie ein Botnetz aufbauen, das eine große Menge an Rechnern vernetzt, um deren Ressourcen für kriminelle Zwecke zu nutzen.
Die häufigste Ursache, die es Hackern enorm einfach macht, sich Zugriff auf die IoT-Geräte zu verschaffen, ist das Fehlen grundlegender Sicherheitsüberlegungen: Die Standard-Zugangsdaten, die vom Hersteller ursprünglich eingerichtet wurden, werden nach der Installation so gut wie nie abgeändert.  Mühelos ermitteln Hacker Benutzernamen wie root, guest, support oder service und Passwörter wie 1234, 0000, password, admin oder service oder nutzen Webseiten wie beispielsweise www.routerpasswords.com, auf denen die gängigsten Standard-Zugangsdaten für jedermann frei zugänglich sind. Erschreckenderweise bieten jedoch selbst komplexe Passwörter keinen Schutz, wenn der Hersteller des jeweiligen Geräts backdoor-Support anbietet oder Zugriffsrechte zu Diagnosezwecken per SSH oder Telnet-Verbindungen gewährt. Ergänzend dazu verfügen die meisten IoT-Geräte über ein linuxbasiertes Betriebssystem, das es Hackern leicht macht, Schwachstellen zu finden und Malware einzuschleusen. Am verbreitetsten ist hier sogenannte Ransomware, die über präparierte E-Mail-Anhänge, Sicherheitslücken in Webbrowsern oder sogar über manipulierte Hardware wie USB-Sticks oder Ladekabel auf das jeweilige Gerät gelangt. Der Benutzer wird nun über den Angriff und eine eventuelle Verschlüsselung aller Dateien informiert und aufgefordert, Geld zu bezahlen, wenn er entweder verhindern möchte, dass die Daten im Internet veröffentlicht werden oder wieder uneingeschränkten Zugriff auf seine Dateien haben möchte. Das jeweilige Gerät wird also als „Geisel“ genommen. Verheerend ist, dass dies nicht nur Privatpersonen treffen kann, sondern vor allem große Anbieter wie Amazon, Twitter, New York Times, PayPal, Spotify, eBay, etc., wie eines der größten Botnetze namens Mirai im August 2016 gezeigt hat. Die Verursacher nutzten dafür hunderttausende IoT-Geräte, um Millionen ungewollter Anfragen zu stellen und dadurch die genannten Websites fast einen ganzen Tag lang lahm zu legen.

Die wichtigste Frage ist, wie man sich vor diesen Angriffen schützen kann.
Der erste Schritt hierbei ist definitiv die Absicherung der Netzwerkumgebung durch eine Firewall. Diese sorgt dafür, dass Malware erst gar nicht mehr in das Netzwerk gelangt. Sollte sich dennoch schon Malware in Ihrem Netzwerk befinden, blockiert die Firewall diese beim Nach-Hause-Telefonieren, identifiziert sie und bereinigt das Netzwerk, wodurch der Verlust von sensiblen Daten verhindert wird. Doch nicht jede Firewall bietet die notwendigen Komponenten für eine umfangreiche Sicherheitslösung. Dazu wird eine mehrschichtige Firewall aus folgenden Bausteinen benötigt:
1. Advanced Threat Protection (ATP)
Diese Komponente ermittelt, ob bereits Botnetze auf dem Netzwerk aktiv sind. Achten Sie auch darauf, dass die ATP Traffic-Erkennung, Botnetz-Erkennung und Command and Control Call Home Traffic-Erkennung enthält.
2. Intrusion Prevention System (IPS)
Diese Komponente erkennt auch fortgeschrittene Angriffsmuster.
3. Sandboxing
Dieses System verlagert Malware, also verdächtige Web- oder E-Mail-Dateien, in die Cloud und lässt sie dort in sicherer Umgebung detonieren. Dadurch wird das Verhalten der Dateien analysiert, bevor sie überhaupt ins Netzwerk gelangen.
4. Web- und Mail-Schutz
Diese Komponente verhindert, dass Malware überhaupt auf diesen Wegen in das Netzwerk gelangt.
5. Web Application Firewall
Diese Komponente gewährleistet, dass die Firewall eine sichere VPN-Verbindung anbietet, oder dass über diese Firewall ein Reverse-Proxy-Server bereitgestellt wird, wenn der Benutzer von außen auf die Server oder Geräte zugreifen will.

Hier kommt die Sophos XG Firewall ins Spiel, die all diese Komponenten und noch viel mehr vereint:
Über eine einzige Oberfläche lässt sich die Sophos XG Firewall sehr einfach verwalten. Man hat mit einem Blick alle aktuellen Prozesse im Überblick und kann dank der koordinierten Reaktion automatisch auf Bedrohungen reagieren. Das synchronisierte Sicherheits-System von Sophos verbindet alle Endpunkte des Netzwerks und ermöglicht es, den aktuellen Stand der Dinge zu teilen. Wenn ein Endpunkt also ein verdächtiges Verhalten entdeckt, informiert er umgehend die Firewall, wie auch andersherum. So können nicht nur verdeckte Risiken aufgedeckt werden, sondern auch Netzwerk-Bedrohungen einfach blockiert werden. Das in der Oberfläche eingebettete Ampelsystem namens „Security heartbeat“ von Sophos kategorisiert die Vorfälle fablich: Gelbe „Warnings“ zeigen, wie viele verdächtige Prozesse gerade aktiv sind, rot angezeigt werden die „System at risk“-Meldungen, die konkrete Sicherheitsrisiken aufdecken. Im gleichen Feld wird angezeigt, wie viele Quellen durch die Advanced Threat Protection blockiert wurden und wie viele User verantwortlich oder betroffen sind.

Wie können Sie sich und Ihre Geräte also auch zuhause schützen?
Minimieren Sie die Anzahl der IoT-Geräte: Stecken Sie unbenutzte Geräte aus, rüsten Sie alte Geräte auf und benutzen Sie ausschließlich cloudbasierte IoT-Geräte. Sichern Sie Ihre Geräte ab, indem Sie die Standard-Zugangsdaten abändern, komplexe Passwörter verwenden und Firmenupdates zulassen, um die Geräte auf dem neuesten Stand zu halten. Last but not least: Benutzen Sie Netzwerksicherung. Entfernen Sie Port-Weiterleitungen, deaktivieren Sie die UPnP auf dem Router, greifen Sie auf interne Geräte nur via sicherer VPN-Verbindung zu und ersetzen Sie Ihren Router durch eine handelsübliche Firewall.