In den meisten Unternehmen ist wahrscheinlich mindestens ein Mitarbeiter mit einem anfälligen Gerät beschäftigt. Für Cyberkriminelle ist einer genug.
Im Consumer-Bereich ist die Internet of Things (IoT) -Technologie seit langem für ihre äußerst beschissene Sicherheit bekannt.
Heutzutage sind die Häuser mit Geräten mit Internetverbindung überflutet - sei es eine Espressomaschine mit App oder eine Überwachungskamera mit Wi-Fi-Verbindung. Laut Statista wird die Unterhaltungselektronik im Jahr 2020 63% aller installierten IoT-Geräte ausmachen. Diese Geräte erfassen möglicherweise Daten über ihre Benutzer, die an Dienstanbieter zurückgesendet werden, um zur Verbesserung ihrer Produkte beizutragen. Die Herstellung dieser Geräte ist ein lukratives Geschäft, und mit steigender Nachfrage kaufen Verbraucher zunehmend billigere Geräte der Economy-Klasse. Das Problem ist, dass ihre Sicherheitsstandards normalerweise ziemlich schwach sind.
Bis vor kurzem waren Sicherheitslücken und Sicherheitslücken im Internet der Dinge für Verbraucher in der Geschäftswelt keine große Sache - datenschutzbewusste Führungskräfte mussten nur während eines unternehmenskritischen Meetings Kontakt aufnehmen, um das Büro Alexa auszuschalten. Da jedoch erwartet wird, dass nur ein Drittel der Arbeitnehmer im Herbst ins Büro zurückkehrt, ist das Haus des Arbeitnehmers zu einem Arbeitsplatz geworden. Wenn es mit unsicherem IoT überflutet ist, ist dies ein ernstes Problem der Cybersicherheit. 15% der Besitzer von IoT-Geräten verwenden immer noch Standardkennwörter. Daher ist es sehr wahrscheinlich, dass die meisten Unternehmen mindestens einen Mitarbeiter mit einem anfälligen Gerät haben - Cyberkriminelle benötigen es nicht mehr.
"Die meisten für zu Hause gekauften IoT-Geräte sind relativ billig, auch weil die Hersteller keine großen Anstrengungen unternehmen, um sie in Hardware oder Software zu schützen", sagte Darryl Jones, Direktor für IoT-Produktmanagement bei ForgeRock. als Spezialist für digitale Identität im Gespräch mit TechHQ.
"Von einer schlechten Verwaltung der Anmeldeinformationen über veraltete Firmware und redundante Hotspots auf Consumer-Geräten bis hin zu seltenen Sicherheitsupdates erheben diese Geräte häufig zunächst keinen Anspruch auf Sicherheit."
Im Jahr 2020 waren die Chefs und Abgeordneten für Cyberkriminalität von der Zunahme der Cyberkriminalität überwältigt. Die Anzahl der Phishing-E-Mails, die die Quarantänebedingungen ausnutzen, ist in die Höhe geschossen, und die plötzliche Migration der Belegschaft zur Remote-Arbeit hat zu einer Zunahme der Anzahl neuer Endpunkte geführt, die geschützt werden müssen. Als Unternehmen und Mitarbeiter online gingen, folgten Kriminelle in Scharen.
Gleichzeitig stieg die Zahl der Cyber-Angriffe auf IoT-Geräte allein im Jahr 2019 um 300% und dürfte weiter zunehmen.
Das berüchtigtste Beispiel für die Verwundbarkeit von IoT-Geräten war die Welle von DDoS-Angriffen durch das Mirai-Botnetz im Jahr 2016, die irgendwann dazu führte, dass nicht mehr auf das Internet zugegriffen werden konnteüberall an der Ostküste der Vereinigten Staaten . Die US-Regierung vermutete zunächst, dass es sich um die Arbeit eines Paria-Landes handelte, doch der Schuldige war ein Netzwerk von 400.000 kompromittierten IoT-Geräten für Verbraucher, die von einem verärgerten Minecraft-Spieler in Waffen verwandelt wurden.
Warum werden Unternehmensleiter von der IoT-Bedrohung für Verbraucher überrascht?
„Einfach ausgedrückt, die Pandemie hat die Situation verändert. Früher haben sie Schach gespielt, jetzt müssen sie Dame spielen “, sagt Jones. „Von Anfang an gab es Sicherheitslücken bei Geräten, aber der enorme Anstieg der Anzahl der von zu Hause aus arbeitenden Mitarbeiter und der stetige Anstieg der Anzahl aufgrund der Pandemie haben die Schwere des Problems um eine Größenordnung erhöht.
"Während CIOs jahrelang daran gearbeitet haben, ihre Geräte und Netzwerke zu sichern, stellen diese Änderungen sowohl Führungskräfte als auch CIOs vor neue Herausforderungen."
Jones schlägt vor, dass überarbeitete Cybersicherheitsstrategien, die auf die Zukunft der verteilten Arbeit ausgerichtet sind, den wachsenden Bedrohungen nicht nur in Bezug auf Bring Your Own Device (BYOD), sondern auch anderer Geräte im Besitz von Mitarbeitern, die auf das Netzwerk zugreifen können, begegnen müssen.
„Unternehmen sollten neue Heimtechnologien untersuchen, die das Unternehmensnetzwerk trennen, damit eine Unterbrechung des Teils des Netzwerks, der Consumer-Geräte enthält, den Teil des Unternehmensnetzwerks nicht beeinträchtigt“, sagt Jones.
Ein Ansatz besteht darin, dass Unternehmen verlangen, dass nur private Wi-Fi-Netzwerke für Unternehmensgeräte erstellt werden - eine Richtlinie, die das FBI mehrfach beworben hat.in den USA. Die Regierung sollte auch Kodizes für bewährte Verfahren oder noch besser Gesetze für die Sicherheit von IoT-Geräten festlegen. Im vergangenen Jahr hat Finnland als erstes europäisches Land sichere Smart-Geräte zertifiziert, bei denen Produkte, die den erforderlichen Standard erfüllen, ein deutlich sichtbares „Cybersicherheitszeichen“ erhalten .
„Eine einzigartige digitale Identität sollte die neue Sicherheitsbasis sein, da sie zum Schutz von Geräten am Arbeitsplatz sowie von vorhandenen oder neuen Heimgeräten verwendet werden kann. Darüber hinaus kann die Implementierung des Zero Trust- oder CARTA-Sicherheitsmodells bei dieser neuen Norm helfen, indem sichergestellt wird, dass jede Interaktion sicher ist, und das normale Verhalten des Geräts und des Benutzers verstanden wird, um verdächtige Interaktionen zu erkennen “, sagt Jones.
"Unternehmen müssen außerdem neue Richtlinien für Unternehmenssicherheit und Mitarbeiterschulung einführen, die die Verwendung privater Netzwerke erfordern, und die Verwendung dieser Netzwerke nur auf Unternehmensgeräte beschränken."
„Die Früherkennung von Eindringlingen ist ebenfalls von entscheidender Bedeutung. Unternehmen sollten über Lösungen zur Erkennung von Anomalien verfügen, auch wenn ein neues Gerät mit dem Netzwerk verbunden ist, sowie über andere Überwachungslösungen - Endpunkte, Verhalten, Netzwerk ... "
