Vor allem durch das Internet der Dinge (IoT) und die Integration zahlreicher, nicht-klassischer IT-Systeme in die Unternehmensnetze sind neue potenzielle Angriffspunkte entstanden. Das zentrale Problem dabei: Die meisten Anbieter solcher Systeme, beispielsweise Aufzugbauer oder Hersteller von Haustechnik, sind nicht in der IT-Sicherheitstechnik zuhause – dennoch sind ihre Anlagen und Systeme dafür höchst relevant.
In der Regel drohen zwei grundsätzliche Gefahren: Zum einen können die jeweiligen Systeme selbst durch Angreifer gestört, beschädigt oder lahmgelegt werden, was je nach Art unangenehme bis verheerende Folgen haben kann. Zum anderen können die Angreifer die betreffenden Systeme als Sprungbrett (System Hopping) für das Eindringen in die Unternehmensnetze benutzen.
Das auf Sicherheit spezialisierte Unternehmen NTT Security hat sieben Szenarien in den Fokus gestellt, die eine Bedrohung für Unternehmensnetze darstellen können – vor allem aus dem Internet der Dinge.
1. Aufzüge
Aufzüge sind ein Paradebeispiel für das Einsatzspektrum des IoT – die dadurch mögliche Behebung von Störungen oder Fernwartung erhöhen die Effizienz der Anlagen beträchtlich. Dass Wartungsfirmen, die möglicherweise kein eigenes Sicherheitskonzept haben, damit einen meist nicht kontrollierten Zugang zur IT haben, ist den wenigsten klar.
2. Klimaanlagen
Moderne Klimaanlagen sind für Wartungszwecke häufig via Internet erreichbar. Auf diese Weise bietet sich nicht nur ein gefährlicher Zugang zum Unternehmensnetz; Manipulationen an einer Klimaanlage – beispielsweise im Rechenzentrum – können verheerende Schäden durch Überhitzung oder Systemausfall verursachen.
3. Brandmeldesysteme
Brandmeldesysteme werden in Sicherheitskonzepten meist ebenfalls nicht berücksichtigt. Manipulationen können hier Betriebsabläufe erheblich stören, beispielsweise durch Fehlalarme, oder auch beträchtliche Schäden verursachen, etwa durch Aktivierung einer Sprinkleranlage.
4. Zutrittskontrollsysteme
Zutrittskontrollsysteme sind oft in die IT-Infrastruktur integriert – allerdings wird damit ein Einfallstor geschaffen, über das sich Angreifer nicht nur unbefugten Zutritt, sondern auch Zugang zu den Unternehmensnetzen verschaffen können.
5. Stromversorgung
Von einer ungestörten Stromversorgung hängen mehr oder weniger alle Unternehmen ab. Umso gravierender sind hier die Auswirkungen von erfolgreichen Angriffen. Eine unterbrechungsfreie Stromversorgung (USV) oder Power-Management-Systeme werden in den meisten Fällen nicht als mögliche Angriffspunkte wahrgenommen.
6. Entertainment
Entertainmentsysteme werden in vielen Unternehmen betrieben: zum Beispiel die üblichen Fernsehgeräte im Konferenzraum. Gängige Smart TVs verfügen über eine Verbindung ins Web, die leicht angegriffen werden kann. So können beispielsweise auch die Kameras von Smart TVs aus der Ferne aktiviert werden.
7. Kantinen
Selbst in Kantinen sind die Geräte mittlerweile häufig vernetzt. Ein Beispiel sind smarte Kaffeemaschinen, die teilweise über Displays für Awareness-Kampagnen oder allgemeine Firmennews verfügen. Für die Fehlerbehebung oder zur Nachbestellung von Kaffee haben etliche Hersteller Remote-Zugänge zu den Maschinen; kontrolliert werden diese Zugänge jedoch in der Regel nicht. Da sich zwar um die Verfügbarkeit der Kaffeemaschine, jedoch nicht um entsprechende Software-Updates und Sicherheitskonfigurationen gekümmert wird, entsteht damit ein Einfallstor ins Unternehmensnetz.
„Unternehmen müssen ihr Sichtfeld erweitern“
„Die IT-Sicherheitsphilosophie fokussiert traditionell auf IT-Systeme und -Netze", erklärt Christian Koch, Senior Manager GRC & IoT/OT bei NTT Security. Das entspreche jedoch nicht mehr der aktuellen Gefahrenlage. „Im Zeitalter des Internet der Dinge ist potenziell alles, was mit Strom betrieben wird, eine via Internet adressierbare Systemkomponente und damit automatisch auch ein mögliches Angriffsziel“, so Koch. Unternehmen müssten daher ihr Sichtfeld dringend erweitern und auch diese Risiken ins Auge fassen.