Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Select your role & we’ll curate content specifically for you
Blogs > Unternehmen

Bringen Sie Licht in das Dunkel der Schatten-IoT, um Ihre Organisation zu schützen

Veröffentlicht am:

Autor:

Deepen Desai

Bringen Sie Licht in das Dunkel der Schatten-IoT, um Ihre Organisation zu schützen

Laut einer heute veröffentlichten neuen Studie des Teams von Zscaler ThreatLabZ (IoT in Unternehmen 2020: Schatten-IoT erweist sich als Sicherheitsbedrohung), nehmen IoT-Geräte und -Traffic in Organisationen schnell zu, was viele neue Bedrohungen hervorruft und Fragen aufwirft, wie die Sicherheit am besten strukturiert werden sollte, um das Unternehmen zu schützen. Wie können wir das bewerkstelligen? Wie können wir umdenken? Wie sollten wir uns vorbereiten?

Die IoT-Bedrohungslandschaft erweitert und verändert sich ständig, da Hersteller immer mehr Geräte sowohl für Verbraucher als auch für Unternehmen auf den Markt bringen. Angesichts dieser völlig unregulierten Sparte und der Flut neuer Geräte fällt es Organisationen schwer, ein Verständnis dafür zu entwickeln, was sich im Unternehmensnetzwerk wirklich abspielt, welche Gerätetypen kommunizieren und Daten übertragen und wie das IoT-Ökosystem insgesamt abgesichert werden kann.

IoT-Geräte waren von Anfang an wegen der niedrigen Anschaffungskosten, der inhärenten Fehler und der kurzen Laufzeit der Software als Einwegartikel und Kurzzeitinvestitionen gedacht. Obwohl kein Protokoll für kontinuierliches Testen, Aktualisieren der Software oder Patchen existiert, sind diese Geräte alle mit dem Internet und vielen Unternehmensnetzwerken verbunden.

Was machen wir also? Sollen wir alle IoT-Geräte aus dem Unternehmen verbannen? Das würde wohl (nicht) wirklich gutgehen.

Noch ist nicht alles verloren. Die Leute können ihre smarten Uhren, smarten Schränke und was immer sie sonst noch als smart erachten behalten. Ein Verbot von Geräten ist hier nicht die richtige Antwort. Die Antwort ist ein Umdenken hinsichtlich der Sicherheit und des Risikos von IoT-Geräten und welche Ansprüche wir an die Hersteller stellen, um die Sicherheitslage dieser Geräte zu verbessern.
 

Schatten-IoT: Ein Licht auf das Dunkel werfen

Als erstes müssen Sie unbedingt die Sichtbarkeit angehen. Sie können nichts schützen, von dessen Existenz Sie nichts wissen. Wie erhalten Sie Einblick in die vorhandenen Gerätetypen und den Umfang der Aktivitäten, die diese im Unternehmensnetzwerk durchführen? Unternehmen auf der ganzen Welt setzen unterschiedliche Techniken ein, um diesen Prozess zu bewältigen. Offensichtlich gibt es hierfür eine Reihe von Ansätzen. Die ältere Version besteht darin, alles in einem Unternehmensnetzwerk der alten Schule zu belassen, sämtliche Daten in einem Data Lake zu sammeln, kilometerlange Firewall-Richtlinien zu implementieren und kostspielige Analytikplattformen zu verwenden, die Sie mit Alarmen bombardieren, bis Sie taub sind. 

Was das Problem der Sichtbarkeit noch komplizierter macht ist die Tatsache, dass Ihre Benutzer inzwischen von überall aus Verbindungen herstellen und sich Ihre Anwendungen, zumindest einige von ihnen, in der Cloud befinden. Mit einem veralteten Ansatz erhalten Sie keine Sichtbarkeit, die Ihre sämtlichen Benutzer, Geräte und Anwendungen umfasst. Sie können auch nicht die Sicherheitskontrollen durchführen und die Richtlinien durchsetzen, die Sie zur Risikoreduzierung und Compliance benötigen. Aber zumindest ist es doch toll für die Benutzer, oder? Natürlich nicht! Benutzer erwarten eine schnelle, verbraucherfreundliche Erfahrung mit ihren Anwendungen. Das Weiterleiten von Internet-Traffic über ein einige Zeitzonen entferntes sicheres Gateway führt zu einer frustrierenden Erfahrung, die Benutzer zur Umgehung der Sicherheit verleitet. 

Der modernere Cloud-Ansatz ist die Nutzung des Internets als Ihren Verbündeten – ein neues Unternehmensnetzwerk, das den gesamten Traffic Ihres Geschäfts transportiert –, mit dem jede Verbindung von Zscaler in der Cloud abgesichert wird. Die Plattform von Zscaler verarbeitet jede Internet-Transaktion, unabhängig davon, wo Benutzer eine Verbindung herstellen oder ihre Anwendungen gehostet werden. Sie erhalten einen vollständigen Einblick in Ihren gesamten Traffic-Fluss sowie Sicherheitsdienste, die sowohl das Eindringen von Angreifern als auch das Austreten von sensiblen Daten verhindern. Und weil die Sicherheit in die Nähe der Endgeräte verlagert wird, ist das System schnell. 
 

Zero Trust ist auch auf IoT-Geräte anwendbar

Ein Teil der Transparenz in einer Welt der Mobilität und Cloud beruht auf dem Prinzip von Zero Trust. Ich weiß, manche nennen das ein Schlagwort, aber im Grunde genommen geht es um die Sicherheit, wenn keine Person und kein Gerät auf das Netzwerk zugelassen wird – dass heißt, bevor nicht bekannt ist, um welchen Benutzer oder welches Gerät es sich handelt, und ob Benutzer und Geräte auf die Anwendungen zugreifen dürfen, die sie erreichen wollen. 

Sie glauben nicht, wie viele Organisationen ich kenne, die von etwas so Simplem wie dem Anklicken eines Phishing-Links durch eine Person betroffen waren, wodurch Malware heruntergeladen wurde, die sich dann über das gesamte Unternehmen ausbreitete. Dies kann nicht passieren, wenn die Malware niemals ins Netzwerk gelangt. 

Wie verhindern Sie das Eindringen, falls ein Benutzer einen schädlichen Anhang öffnet? Eine Möglichkeit ist mittels Zero Trust Network Access (ZTNA), auch als Software Defined Perimeter (SDP) bezeichnet. ZTNA verwendet Identitätszugangsmanagement und vom Unternehmen eingeführte durchdachte Richtlinien, um den Zugriff auf Unternehmensanwendungen zu begrenzen. Gartner schrieb einen Market Guide für ZTNA, den Sie hier herunterladen können, um weitere Informationen zu erhalten.

Erwähnenswert ist auch, dass Sie Ihren Mitarbeitern eine Anleitung für das Verhalten am Arbeitsplatz geben müssen. Hierzu gehört nicht nur die obligatorische Schulung des Personals in Best Practices der Cybersicherheit, sondern auch die Einbeziehung durchdachter Geschäftsrichtlinien in Ihr Zero-Trust-Konzept. Wenn Sie eine Richtlinie implementieren, die Ihren Mitarbeiten die Nutzung des Unternehmensnetzwerks mit bestimmten privaten Geräten untersagt, stellen diese für Ihre Organisation kein Sicherheitsrisiko mehr dar. 
 

Zeit für eine Genfer Konvention für IoT 

Derzeit kommt eine steigende Anzahl von weltweit unterschiedlichen staatlichen Richtlinien und Regulierungsvorschlägen auf, die als Leitfaden für die Entwicklung und Sicherheit von IoT-Geräten gedacht sind. Angesichts von umfangreichen Lieferverfahren und Produktionskontaktpunkten werden diese individuellen Gesetze und Vorschriften einzelner Länder zur Regulierung von Sicherheit und Verfahren zwangsläufig unzulänglich bleiben. Weltweit agierende Technologiegiganten müssen auf einem Gedankenaustausch bestehen und diesen vorantreiben, um globale Richtlinien und Vorgaben für IoT-Hersteller zu entwickeln.

Als größter Verbraucher von IoT-Geräten sind die USA in einer hervorragenden Position, um diese Initiative zu leiten. Seit Jahren gibt es Vorschläge von verschiedenen Gruppen zur IoT-Sicherheit. Dies zeigt sich in Gesetzentwürfen wie dem IoT Consumer TIPS Act von 2017 und dem SMART IoT Act. Bis 2018 kam jedoch kaum Bewegung in die Sache. Letztes Jahr verabschiedete Kalifornien als erster Bundesstaat der USA ein Gesetz zu Cybersicherheit, das IoT-Geräte abdeckt: SB-327. Es trat am 1. Januar 2020 in Kraft. 

Laut SB-327 müssen alle in Kalifornien verkauften IoT-Geräte mit angemessenen Sicherheitsfunktionen ausgestattet sein, einschließlich einer breiten Produkterfassung, flexiblen Sicherheitsverpflichtungen und anfänglicher Passwortverwaltung. Das ist nicht perfekt, aber zumindest ein Anfang.
 

Schutz vor Schatten-IoT

Indem Sie sich einen Einblick in Ihre IoT-Geräte verschaffen, fundierte Richtlinien für Zero Trust Network Access festlegen und dazu beitragen, weltweit gültige Änderungen für die Erzeugung und Regulierung von IoT-Geräten durchzusetzen, können Sie ein Licht auf die Schatten-IoT werfen, um Ihre Organisation und Kunden zu schützen. Weitere Informationen zu unseren Ergebnissen finden Sie in dem Bericht, IoT in Unternehmen 2020: Schatten-IoT erweist sich als Sicherheitsbedrohung.

 


Deepen Desai, VP of Security Research bei Zscaler und Direktor von ThreatLabZ, möchte sich beim Forschungsteam für Mobilität und IoT für seine Arbeit an dieser Analyse bedanken.



Vorgeschlagene Blogs