Zum Hauptinhalt springen

Der unsichtbare Angriff: Warum Edge-Geräte das Lieblingsziel von Hackern sind

Edge-Geräte sind das bevorzugte Ziel von Hackern, gerade weil niemand sie im Blick hat. Erfahren Sie, warum Lücken in der IoT-Transparenz Unternehmen gefährden

Lara Hellman
Lara Hellman

Lara Hellman ist Staff Product Manager bei Wireless Logic und verantwortet dort die Strategie und Entwicklung der Sicherheitsprodukte sowie der Kundenplattformen des Unternehmens. Sie blickt auf eine über 20-jährige Karriere in der Softwareentwicklung zurück – mit Schwerpunkt auf SaaS und Cybersicherheit – und widmet sich mit besonderer Leidenschaft den Sicherheitsherausforderungen, die über den klassischen Sicherheitsperimeter hinausgehen.

Die besten Parasiten töten ihre Wirte nicht. Sie schleichen sich unbemerkt ein, machen es sich gemütlich und gehen völlig unbemerkt ihrem Tagesgeschäft nach, wobei sie sich nach Belieben bedienen, während der Wirt seinen Alltag fortsetzt, ohne auch nur zu ahnen, dass sich etwas geändert hat.

Die drei wichtigsten Erkenntnisse darüber, warum Transparenzlücken Unternehmen dem Risiko von Cyberbedrohungen aussetzen

  1. Edge-Geräte sind attraktive Ziele, weil sie von ihrer Konzeption her unsichtbar sind. Edge- und IoT-Geräte (intelligente Kameras, Sensoren, Ladestationen für Elektrofahrzeuge usw.) vereinen eine große Anzahl, uneinheitliche Patch-Verfahren und fehlende Telemetriedaten. Das bedeutet, dass kompromittierte Geräte weiterhin normal funktionieren, während sie unbemerkt einem Angreifer dienen, ohne dass es offensichtliche Anzeichen dafür gibt, dass etwas nicht stimmt.
  2. „Funktioniert noch“ ist kein Beweis dafür, dass das Gerät „nicht kompromittiert“ ist. Da Edge-Geräte nicht dafür ausgelegt sind, ihren eigenen Zustand zu melden, und oft keine Standard-Sicherheitsagenten ausführen können, haben Unternehmen häufig keine echte Grundlage dafür, wie normales Geräteverhalten aussieht, was es nahezu unmöglich macht, abnormale Aktivitäten zu erkennen.
  3. Die Verhaltensüberwachung auf Netzwerkebene ist der praktische Weg in die Zukunft. Da auf den meisten Edge-/IoT-Geräten keine Agenten eingesetzt werden können, wird das Netzwerk zum primären Beobachtungspunkt, und die Festlegung von Verhaltens-Baselines (mit wem ein Gerät kommuniziert, wann, in welchem Umfang und über welches Protokoll) ist sowohl die beste Erkennungsmethode als auch ein praktischer Weg, um die Einhaltung von Rahmenwerken wie NIS2, ISO 27001 sowie PCI DSS 4.0 nachzuweisen.
Ein kompromittiertes IoT-Gerät wie eine Smart-Kamera, ein Logistiksensor oder eine Ladestation für Elektrofahrzeuge wird in den meisten Fällen genau das tun, was es tun soll. Es meldet seine Messwerte. Es meldet sich planmäßig. Von außen betrachtet sieht alles normal aus. Was man nicht sieht, ist, dass es irgendwo im Hintergrund still und leise an einem Botnetz teilnimmt, Anmeldedaten sammelt oder einem Angreifer einen stetigen Strom an betrieblichen Informationen über Ihr Unternehmen liefert. Und das schon seit Monaten.

 

Das ist, kurz gesagt, genau das, was derzeit in den Edge-Umgebungen und auf den Geräten Tausender Unternehmen geschieht.
 
Microscope Parasite Security Breach 740 x 530

Wie ist es dazu gekommen?

Jahrelang basierte Cybersicherheit auf einer recht einfachen Idee: den Perimeter schützen. Das Rechenzentrum sichern. Das

Unternehmens-LAN absichern. Auf den Laptops ordentliche Software installieren. Dieses Modell funktionierte recht gut, als sich das meiste, was zählte, noch innerhalb einer definierten Grenze befand. Aber moderne Architekturen funktionieren so nicht mehr. Heutige Unternehmen verfügen über Hunderte oder manchmal Tausende von Geräten, die weit außerhalb dieser Grenze betrieben werden.

Ladeinfrastruktur für Elektrofahrzeuge. Medizinische Überwachungsgeräte. Einzelhandelssysteme. Industrielle Sensoren. Intelligente Kameras. Logistik-Tracker. All dies sind „Edge-Geräte“ – Geräte, die sich draußen in der Welt befinden, nicht in Ihren sicheren, geschützten Gebäuden, und die alle eine Verbindung zum Zentrum benötigen, um ihre Aufgaben zu erfüllen. Sie sind funktionsfähig, sie sind dezentral verteilt, und in den allermeisten Fällen sind sie für die Sicherheitsteams, die für den Schutz des Unternehmens verantwortlich sind, praktisch unsichtbar.

Diese Unsichtbarkeit war nicht beabsichtigt. Die Geräte wurden so konzipiert, dass sie funktionieren, ohne überwacht zu werden – doch genau das ist nun ein Schwachpunkt.

Die Dreifachkombination, die Angreifer lieben

Aus der Perspektive eines Angreifers vereinen Edge- und IoT-Geräte drei außerordentlich attraktive Eigenschaften.

Die erste ist die Größenordnung. Wir sprechen hier von Millionen von Geräten weltweit und selbst innerhalb einer einzigen Organisation von potenziell Tausenden einzelner Angriffsflächen. Allein diese Größenordnung verändert die Rechnung grundlegend. Sobald man die Marke von ein paar hundert Geräten überschreitet, lautet die Frage nicht mehr, ob man angegriffen wird, sondern wann. Das ist reine Arithmetik, kein Pessimismus.

card1_en

card2_en

Der zweite Faktor ist die Uneinheitlichkeit. Selbst zwei identische Geräte desselben Herstellers, die im Abstand von sechs Monaten eingesetzt wurden, können unterschiedliche Firmware-Versionen ausführen.

Multipliziert man das mit Dutzenden von Hardware-Anbietern mit unterschiedlichen Update-Richtlinien – von denen einige Firmware-Patches ohne Vorwarnung bereitstellen –, ergibt sich eine Umgebung, die sich kaum einheitlich auf dem neuesten Stand halten und sichern lässt.

Die verständlicherweise reflexartige Reaktion im Betrieb besteht darin, automatische Firmware-Updates zu deaktivieren, um unerwartete Ausfallzeiten zu vermeiden. Und genau darauf hoffen Angreifer natürlich.

 

 

Der dritte Punkt istdie Unsichtbarkeit v . Diese Geräte generieren nicht die Art von Telemetriedaten, mit denen Sicherheitsteams normalerweise arbeiten. Ihr Laptop meldet sich ständig, sei es zum Akkustatus, zur Speicherauslastung, zur installierten Software oder zu anderen Verhaltenssignalen. Edge-Geräte tun das nicht.

Sie melden sich erst, wenn sie Daten zu übermitteln haben – nicht, um zu sagen: „Ich bin da, ich bin in Ordnung, hier ist, was passiert ist.“ Und da sie oft auf abgespeckten oder proprietären Betriebssystemen laufen, werden sie von den Anbietern herkömmlicher Sicherheitslösungen einfach nicht unterstützt; man kann keinen normalen Sicherheitsagenten darauf installieren, selbst wenn man es wollte.

 

card3_en

 

Das Ergebnis: eine riesige, verteilte, uneinheitliche Geräteflotte, die niemand wirklich im Blick hat…

Mirai: Der Weckruf, den wir immer noch ignorieren

Im Jahr 2016 legte eine Malware namens Mirai einen erheblichen Teil des Internets lahm. Twitter. Netflix. Reddit. GitHub. In weiten Teilen der USA und Europas waren diese Dienste stundenlang nicht erreichbar.

Was Mirai so bemerkenswert machte, war nicht seine Raffinesse. Es nutzte weder Zero-Day-Exploits noch fortgeschrittene Techniken. Es durchsuchte einfach kontinuierlich das Internet nach IoT-Geräten, die noch mit Standard-Zugangsdaten liefen, kompromittierte diese automatisch und rekrutierte sie in ein riesiges Botnetz. Das Ausmaß dessen, was es aufbaute – nämlich Hunderttausende von Geräten –, führte zu einem DDoS-Angriff, für dessen Abwehr niemand über die nötige Infrastruktur verfügte.

Die Lehre daraus war eindeutig: Angreifer müssen nicht clever sein, wenn das Ökosystem nachlässig ist. Standardpasswörter, veraltete Firmware, fehlende Überwachung – mehr braucht es nicht.

Fast ein Jahrzehnt später bestehen viele dieser Bedingungen immer noch. Einige dieser ursprünglichen Geräte aus der Mirai-Ära sind noch immer in Betrieb, noch immer funktionsfähig und weisen möglicherweise immer noch dieselben Schwachstellen auf. Langlebige Betriebsumgebungen, bestehend aus industriellen Systemen, Infrastruktur im Gesundheitswesen und Versorgungsunternehmen – also solchen, in denen Hardware nur selten ausgetauscht wird. Und die Geräte selbst sind oft mit vielschichtigen, komplexen Software-Stacks ausgestattet: Firmware von Drittanbietern, eingebettete Linux-Distributionen, Open-Source-Bibliotheken, Cloud-APIs verschiedener Anbieter. Irgendwo in diesem Stack können sich fest codierte Anmeldedaten, undokumentierte Debug-Schnittstellen aus der Entwicklungsphase oder legitime Telemetriekanäle von Anbietern befinden, auf denen sich ein Angreifer mitnehmen lassen kann. Das Unternehmen hat diese Risiken nicht selbst geschaffen. Es hat sie geerbt.

Die Transparenzlücke, die sich CISOs nicht leisten können

Die Rolle eines CISO hat sich in den letzten Jahren erheblich gewandelt. Früher lautete die Devise: Malware verhindern.

Heute lautet die Aufgabe: die Betriebsresilienz aufrechterhalten, die Einhaltung gesetzlicher Vorschriften sicherstellen, das Vertrauen der Kunden schützen und die digitale Transformation vorantreiben – und das alles gleichzeitig, kontinuierlich und in einer Umgebung, die sich in alle Richtungen ausdehnt. Das ist schon ein bisschen anstrengend!

Edge-Geräte erschweren all das zusätzlich. Nicht nur, weil sie schwer abzusichern sind, sondern auch, weil die meisten Unternehmen gar nicht über die nötige Transparenz verfügen, um überhaupt zu wissen, wie „normal“ bei ihnen aussieht. Und wenn man nicht weiß, wie „normal“ aussieht, kann man Abweichungen auch nicht erkennen.

Sicherheitsteams wissen vielleicht, dass ein Gerät existiert. Aber wissen sie auch, mit welchen IP-Adressen es normalerweise kommuniziert? Wie viel Datenverkehr es sendet? Welche Protokolle es verwendet? Ob der leichte Anstieg der ausgehenden Verbindungen um 3 Uhr morgens an einem Dienstag in Ordnung ist oder ob es sich um laterales Scannen handelt?

In vielen Fällen nicht. Das wissen sie nicht. Und genau das sorgt dafür, dass der Angriff unsichtbar bleibt.

Ein kompromittiertes Gerät, das weiterhin seine Aufgabe erfüllt, gibt dir kein offensichtliches Signal. Die Malware ist genau darauf ausgelegt. Den normalen Betrieb zu stören, wäre wie ein Alarmsignal auszulösen. Deshalb tut sie es nicht. Sie führt einfach still und leise parallel zu ihren eigentlichen Aufgaben das aus, was ihr aufgetragen wurde.

In der Praxis bedeutet das: Wenn Sie sich darauf verlassen, dass „es immer noch funktioniert“, um daraus zu schließen, dass „es nicht kompromittiert ist“, gehen Sie von einer falschen Annahme aus.

So sieht eine gute Lösung aus

In Umgebungen, in denen Sie keine Agenten einsetzen können – und das gilt für das IoT und den Edge-Bereich im Grunde genommen für alle –, wird das Netzwerk zu Ihrem wichtigsten Beobachtungspunkt. Es könnte sogar Ihr einziger sein.

Das bedeutet, zu verstehen, wie das normale Verhalten jedes Geräts aussieht: Mit wem es kommuniziert, wann, in welchem Umfang und unter Verwendung welcher Protokolle. Erstellen Sie diese Basislinie, und plötzlich haben Sie einen Vergleichsmaßstab. Unerwartete ausgehende Verbindungen zu unbekannten IP-Adressen. Laterales Scannen. Ungewöhnliche DNS-Anfragen. Ein plötzlicher Anstieg des Datenverkehrsaufkommens ohne betriebliche Erklärung.

Keine dieser Erscheinungen ist für sich genommen schon ein eindeutiges Indiz. Aber es sind Signale, und derzeit erfassen die meisten Unternehmen sie nicht.

Die ermutigende Nachricht ist, dass die Verhaltensüberwachung auf Netzwerkebene zufällig auch eine der praktischsten Methoden ist, um die Einhaltung von Vorschriften und Rahmenwerken wie NIS2, ISO 27001 und PCI DSS 4.0 nachzuweisen – Vorschriften, die zwar nicht immer genau festlegen, wie man Transparenz in verteilten Umgebungen erreicht, die es aber ohne diese Transparenz praktisch unmöglich machen, die Einhaltung der Vorschriften nachzuweisen.

Die Angriffsfläche am Netzwerkrand verschwindet nicht. Wenn überhaupt, dann wächst sie! Es gibt mehr Geräte, eine größere Verteilung und mehr Komplexität. Die Unternehmen, die hier die Nase vorn haben, werden nicht unbedingt diejenigen sein, die jedes einzelne Gerät perfekt absichern. Das ist in großem Maßstab wohl unmöglich. Es werden diejenigen sein, die eine kontinuierliche Einblicke in das Verhalten ihrer gesamten Geräteflotte erzielen, sodass sie es bemerken, wenn sich etwas ändert.

Denn man kann nicht verteidigen, was man nicht beobachten kann. Und derzeit ist das meiste, was sich am Edge befindet, unsichtbar.

Lara Hellman ist Staff Product Manager bei Wireless Logic und leitet die Strategie und Entwicklung der Sicherheitsprodukte und Kundenplattformen des Unternehmens.

Die Anomalie- und Bedrohungserkennung von Wireless Logic wurde speziell für die Sicherheitsherausforderungen von IoT- und Edge-Umgebungen entwickelt. Agentenlos für eine schnelle Bereitstellung.

 

Häufig gestellte Fragen

Weitere Blogs ansehen