BSI gibt Hilfestellung für das Internet der Dinge

Langsam wird zumindest den Fachleuten bewusst, was ungesicherte IoT-Geräte anrichten können. Die jüngsten Angriffe auf öffentlichkeitswirksame Ziele, bei denen Kameras und Router missbraucht wurden, haben vielerorts für Aufmerksamkeit gesorgt. Einige Sicherheitsprobleme werden sich erst abstellen lassen, wenn die Hersteller ihren Teil leisten und generell mehr Sicherheit in Systeme einbauen. Doch viele Angriffsvektoren könnten schon durch vernünftige Vorsichtmaßnahmen abgestellt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) trägt ganz aktuell seinen Teil mit einem neuen Baustein für IoT-Geräte bei. Ziel des hersteller- und funktionsneutral gehaltenen Dokuments ist es, IoT-Geräte so abzusichern, dass über diese weder die Sicherheit der Informationen und IT der eigenen Institution noch die von Außenstehenden beeinträchtigt wird. Daher sollte sowohl ein unautorisierter Datenabfluss als auch die Manipulation der Geräte verhindert werden, speziell mit Blick auf Angriffe auf Dritte.

Der Baustein steht als Community Draft zur Verfügung, IT-Grundschutz-Anwender sind dazu aufgerufen, das Dokument zu prüfen und zu kommentieren. Das IT-Grundschutz-Team arbeitet sukzessive Kommentare und Ergänzungen der Community ein und stellt die Dokumente dann in einer neuen Version zur Verfügung. Entsprechend dem neuen IT-Grundschutz-Konzept besteht das Dokument aus zwei Teilen, dem eigentlichen Baustein und den Umsetzungshinweisen. Im Baustein werden Gefährdungen von IoT-Geräten beschrieben und die Anforderungen an den sicheren Betrieb der Komponenten. Die Umsetzungshinweise gehen detaillierter auf das „Wie“ ein, also, welche Maßnahmen getroffen werden könne, um die geforderten Sicherheitsmaßnahmen umzusetzen. So wird im Baustein in SYS.4.4.A5 die Einschränkung des Netzzugriffs gefordert, zum Beispiel durch restriktive Konfiguration des Routings auf IoT-Geräten und Sensoren, entsprechende Signaturen auf Intrusion-Prevention-Systemen (IPS) sowie Virtual Private Networks (VPNs) zwischen den Netzen mit IoT-Geräten, Sensor-Netzen und Management-Netzen.

In den Umsetzungshinweisen gehen die Autoren zusätzlich auf praktische Anwendungsbeispiele ein. Sie empfehlen unter anderem, offene Ports, so sie nicht ohnehin geschlossen oder geblockt sein können, durch Nicht-Standard-Ports zu ersetzen, VLANs zu verwenden und beim Einsatz von VPNs ausreichend starke kryptografische Verfahren zu nutzen. Die Maßnahmen sind in Basis-, Standard- und Maßnahmen für erhöhten Schutzbedarf aufgeteilt, so dass man leicht die grundlegenden Maßnahmen von den Maßnahmen für erweiterte Zeit- und Ressourcen-Budgets trennen kann.

Die meisten aufgelisteten Ratschläge sind nichts Neues. Dokumentieren, Härten, Zugriff einschränken und ähnliches sind eigentlich Standardmaßnahmen, die jedem Admin vertraut und in Fleisch und Blut übergegangen sein sollten. Doch zum einen zeigt die Forensik von Vorfällen, dass immer wieder beim Grundlegenden geschludert wird, zum anderen sind viele, mit IoT-Geräten betraute Mitarbeiter keine IT-Admins. Für sie ist eine kurze Zusammenfassung der wichtigsten Aspekte – die Umsetzungshinweise sind etwas mehr als zehn Seiten lang – eine wertvolle Arbeitserleichterung. Technisch umsetzbar sind die meisten Sicherheitsmaßnahmen heute schon auf sehr hohem Niveau. Wo das IoT-Gerät an sich den Einsatz verwehrt, weil beispielsweise nicht genug Rechenleistung für einen VPN-Client vorhanden ist, kann man sich in der Regel mit einem Workaround behelfen. So bietet NCP ein IoT-Gateway an, das die Datenströme der IoT-Geräte lokal bündelt und verschlüsselt an den Empfänger weiterreicht. Doch bevor man sich über solche Anwendungen Gedanken macht, dürfte es sinnvoll sein, einen Blick auf die Dokumentation und das Datum ihres letzten Updates zu werfen.