Die besten Parasiten töten ihre Wirte nicht. Sie schleichen sich unbemerkt ein, machen es sich gemütlich und gehen völlig unbemerkt ihrem Tagesgeschäft nach, wobei sie sich nach Belieben bedienen, während der Wirt seinen Alltag fortsetzt, ohne auch nur zu ahnen, dass sich etwas geändert hat.
Jahrelang basierte Cybersicherheit auf einer recht einfachen Idee: den Perimeter schützen. Das Rechenzentrum sichern. Das
Unternehmens-LAN absichern. Auf den Laptops ordentliche Software installieren. Dieses Modell funktionierte recht gut, als sich das meiste, was zählte, noch innerhalb einer definierten Grenze befand. Aber moderne Architekturen funktionieren so nicht mehr. Heutige Unternehmen verfügen über Hunderte oder manchmal Tausende von Geräten, die weit außerhalb dieser Grenze betrieben werden.
Ladeinfrastruktur für Elektrofahrzeuge. Medizinische Überwachungsgeräte. Einzelhandelssysteme. Industrielle Sensoren. Intelligente Kameras. Logistik-Tracker. All dies sind „Edge-Geräte“ – Geräte, die sich draußen in der Welt befinden, nicht in Ihren sicheren, geschützten Gebäuden, und die alle eine Verbindung zum Zentrum benötigen, um ihre Aufgaben zu erfüllen. Sie sind funktionsfähig, sie sind dezentral verteilt, und in den allermeisten Fällen sind sie für die Sicherheitsteams, die für den Schutz des Unternehmens verantwortlich sind, praktisch unsichtbar.
Diese Unsichtbarkeit war nicht beabsichtigt. Die Geräte wurden so konzipiert, dass sie funktionieren, ohne überwacht zu werden – doch genau das ist nun ein Schwachpunkt.
Aus der Perspektive eines Angreifers vereinen Edge- und IoT-Geräte drei außerordentlich attraktive Eigenschaften.
| Die erste ist die Größenordnung. Wir sprechen hier von Millionen von Geräten weltweit und selbst innerhalb einer einzigen Organisation von potenziell Tausenden einzelner Angriffsflächen. Allein diese Größenordnung verändert die Rechnung grundlegend. Sobald man die Marke von ein paar hundert Geräten überschreitet, lautet die Frage nicht mehr, ob man angegriffen wird, sondern wann. Das ist reine Arithmetik, kein Pessimismus. |
|
|
|
Der zweite Faktor ist die Uneinheitlichkeit. Selbst zwei identische Geräte desselben Herstellers, die im Abstand von sechs Monaten eingesetzt wurden, können unterschiedliche Firmware-Versionen ausführen. Multipliziert man das mit Dutzenden von Hardware-Anbietern mit unterschiedlichen Update-Richtlinien – von denen einige Firmware-Patches ohne Vorwarnung bereitstellen –, ergibt sich eine Umgebung, die sich kaum einheitlich auf dem neuesten Stand halten und sichern lässt. Die verständlicherweise reflexartige Reaktion im Betrieb besteht darin, automatische Firmware-Updates zu deaktivieren, um unerwartete Ausfallzeiten zu vermeiden. Und genau darauf hoffen Angreifer natürlich.
|
|
|
Der dritte Punkt istdie Unsichtbarkeit v . Diese Geräte generieren nicht die Art von Telemetriedaten, mit denen Sicherheitsteams normalerweise arbeiten. Ihr Laptop meldet sich ständig, sei es zum Akkustatus, zur Speicherauslastung, zur installierten Software oder zu anderen Verhaltenssignalen. Edge-Geräte tun das nicht. Sie melden sich erst, wenn sie Daten zu übermitteln haben – nicht, um zu sagen: „Ich bin da, ich bin in Ordnung, hier ist, was passiert ist.“ Und da sie oft auf abgespeckten oder proprietären Betriebssystemen laufen, werden sie von den Anbietern herkömmlicher Sicherheitslösungen einfach nicht unterstützt; man kann keinen normalen Sicherheitsagenten darauf installieren, selbst wenn man es wollte.
|
|
|
Das Ergebnis: eine riesige, verteilte, uneinheitliche Geräteflotte, die niemand wirklich im Blick hat…
Im Jahr 2016 legte eine Malware namens Mirai einen erheblichen Teil des Internets lahm. Twitter. Netflix. Reddit. GitHub. In weiten Teilen der USA und Europas waren diese Dienste stundenlang nicht erreichbar.
Was Mirai so bemerkenswert machte, war nicht seine Raffinesse. Es nutzte weder Zero-Day-Exploits noch fortgeschrittene Techniken. Es durchsuchte einfach kontinuierlich das Internet nach IoT-Geräten, die noch mit Standard-Zugangsdaten liefen, kompromittierte diese automatisch und rekrutierte sie in ein riesiges Botnetz. Das Ausmaß dessen, was es aufbaute – nämlich Hunderttausende von Geräten –, führte zu einem DDoS-Angriff, für dessen Abwehr niemand über die nötige Infrastruktur verfügte.
Die Lehre daraus war eindeutig: Angreifer müssen nicht clever sein, wenn das Ökosystem nachlässig ist. Standardpasswörter, veraltete Firmware, fehlende Überwachung – mehr braucht es nicht.
Fast ein Jahrzehnt später bestehen viele dieser Bedingungen immer noch. Einige dieser ursprünglichen Geräte aus der Mirai-Ära sind noch immer in Betrieb, noch immer funktionsfähig und weisen möglicherweise immer noch dieselben Schwachstellen auf. Langlebige Betriebsumgebungen, bestehend aus industriellen Systemen, Infrastruktur im Gesundheitswesen und Versorgungsunternehmen – also solchen, in denen Hardware nur selten ausgetauscht wird. Und die Geräte selbst sind oft mit vielschichtigen, komplexen Software-Stacks ausgestattet: Firmware von Drittanbietern, eingebettete Linux-Distributionen, Open-Source-Bibliotheken, Cloud-APIs verschiedener Anbieter. Irgendwo in diesem Stack können sich fest codierte Anmeldedaten, undokumentierte Debug-Schnittstellen aus der Entwicklungsphase oder legitime Telemetriekanäle von Anbietern befinden, auf denen sich ein Angreifer mitnehmen lassen kann. Das Unternehmen hat diese Risiken nicht selbst geschaffen. Es hat sie geerbt.
Die Rolle eines CISO hat sich in den letzten Jahren erheblich gewandelt. Früher lautete die Devise: Malware verhindern.
Heute lautet die Aufgabe: die Betriebsresilienz aufrechterhalten, die Einhaltung gesetzlicher Vorschriften sicherstellen, das Vertrauen der Kunden schützen und die digitale Transformation vorantreiben – und das alles gleichzeitig, kontinuierlich und in einer Umgebung, die sich in alle Richtungen ausdehnt. Das ist schon ein bisschen anstrengend!
Edge-Geräte erschweren all das zusätzlich. Nicht nur, weil sie schwer abzusichern sind, sondern auch, weil die meisten Unternehmen gar nicht über die nötige Transparenz verfügen, um überhaupt zu wissen, wie „normal“ bei ihnen aussieht. Und wenn man nicht weiß, wie „normal“ aussieht, kann man Abweichungen auch nicht erkennen.
Sicherheitsteams wissen vielleicht, dass ein Gerät existiert. Aber wissen sie auch, mit welchen IP-Adressen es normalerweise kommuniziert? Wie viel Datenverkehr es sendet? Welche Protokolle es verwendet? Ob der leichte Anstieg der ausgehenden Verbindungen um 3 Uhr morgens an einem Dienstag in Ordnung ist oder ob es sich um laterales Scannen handelt?
In vielen Fällen nicht. Das wissen sie nicht. Und genau das sorgt dafür, dass der Angriff unsichtbar bleibt.
Ein kompromittiertes Gerät, das weiterhin seine Aufgabe erfüllt, gibt dir kein offensichtliches Signal. Die Malware ist genau darauf ausgelegt. Den normalen Betrieb zu stören, wäre wie ein Alarmsignal auszulösen. Deshalb tut sie es nicht. Sie führt einfach still und leise parallel zu ihren eigentlichen Aufgaben das aus, was ihr aufgetragen wurde.
In der Praxis bedeutet das: Wenn Sie sich darauf verlassen, dass „es immer noch funktioniert“, um daraus zu schließen, dass „es nicht kompromittiert ist“, gehen Sie von einer falschen Annahme aus.
In Umgebungen, in denen Sie keine Agenten einsetzen können – und das gilt für das IoT und den Edge-Bereich im Grunde genommen für alle –, wird das Netzwerk zu Ihrem wichtigsten Beobachtungspunkt. Es könnte sogar Ihr einziger sein.
Das bedeutet, zu verstehen, wie das normale Verhalten jedes Geräts aussieht: Mit wem es kommuniziert, wann, in welchem Umfang und unter Verwendung welcher Protokolle. Erstellen Sie diese Basislinie, und plötzlich haben Sie einen Vergleichsmaßstab. Unerwartete ausgehende Verbindungen zu unbekannten IP-Adressen. Laterales Scannen. Ungewöhnliche DNS-Anfragen. Ein plötzlicher Anstieg des Datenverkehrsaufkommens ohne betriebliche Erklärung.
Keine dieser Erscheinungen ist für sich genommen schon ein eindeutiges Indiz. Aber es sind Signale, und derzeit erfassen die meisten Unternehmen sie nicht.
Die ermutigende Nachricht ist, dass die Verhaltensüberwachung auf Netzwerkebene zufällig auch eine der praktischsten Methoden ist, um die Einhaltung von Vorschriften und Rahmenwerken wie NIS2, ISO 27001 und PCI DSS 4.0 nachzuweisen – Vorschriften, die zwar nicht immer genau festlegen, wie man Transparenz in verteilten Umgebungen erreicht, die es aber ohne diese Transparenz praktisch unmöglich machen, die Einhaltung der Vorschriften nachzuweisen.
Die Angriffsfläche am Netzwerkrand verschwindet nicht. Wenn überhaupt, dann wächst sie! Es gibt mehr Geräte, eine größere Verteilung und mehr Komplexität. Die Unternehmen, die hier die Nase vorn haben, werden nicht unbedingt diejenigen sein, die jedes einzelne Gerät perfekt absichern. Das ist in großem Maßstab wohl unmöglich. Es werden diejenigen sein, die eine kontinuierliche Einblicke in das Verhalten ihrer gesamten Geräteflotte erzielen, sodass sie es bemerken, wenn sich etwas ändert.
Denn man kann nicht verteidigen, was man nicht beobachten kann. Und derzeit ist das meiste, was sich am Edge befindet, unsichtbar.
Lara Hellman ist Staff Product Manager bei Wireless Logic und leitet die Strategie und Entwicklung der Sicherheitsprodukte und Kundenplattformen des Unternehmens.
Die Anomalie- und Bedrohungserkennung von Wireless Logic wurde speziell für die Sicherheitsherausforderungen von IoT- und Edge-Umgebungen entwickelt. Agentenlos für eine schnelle Bereitstellung.