Nach Ripple20: Kritische IoT-Geräte härten

Das Bekanntwerden der Ripple20-Schwachstellen zeigt erneut die Unsicherheit bestehender IoT-Netzwerke. Was die 19 Schwachstellen, die Experten des israelischen Forschungslabors JSOF bereits im September 2019 entdeckten, besonders problematisch machen: Die betroffene Softwarebibliothek der Firma Treck ist vielerorts überhaupt nicht mehr identifizierbar. Die Softwarebibliothek bildet das Fundament für die Netzwerkkommunikation der IoT-Geräte und wird seit über 20 Jahren weltweit veräußert. Käufer können die Bibliothek nach ihren eigenen Anforderungen anpassen, weiterentwickeln und das Ergebnis nachfolgend unter eigenem Namen oder als Whitelabel weiterverkaufen. Die Spuren der Bibliothek sind größtenteils verwischt. Selbst Hersteller wie Schneider Electric, HP und Rockwell Automation können nicht sicher sein, ob sie alle Stellen in ihren IoT-Geräten identifizieren können. Denn in diesen können weitere Komponenten von Drittanbietern verbaut sein, in denen die Bibliothek womöglich unter anderem Namen integriert ist. Kurz: Die Ripple20-Schwachstellen in IoT-Geräten sind nicht vollständig patchbar. JSOF empfiehlt in ihrem technischen Paper deshalb, mittels Deep Packet Inspection anormalen IP-Verkehr auf IoT-Geräten zu identifizieren und konsequent zu blocken. Rhebo bietet mit Rhebo IoT Device Protection eine Lösung mit entsprechenden Funktionen, die auch in bestehende IoT-Netzwerke integriert werden kann. IoT-Geräte von Grund auf neu zu konzipieren, wäre unrealistisch und nicht zielführend. Aktuell sind bereits Hunderte Millionen IoT-Geräte im Einsatz. Jede Neuentwicklung schafft neue Lücken und Schwachstellen. Absolut sichere Technologie wird es nie geben. Realistisch ist ein Cybersicherheitsansatz, der unabhängig von den Funktionalitäten der IoT-Technologien wirkt. Dieser Ansatz muss Cybersicherheit in allen IoT-Geräten integrieren und auf deren spezifische Rahmenbedingungen anpassen. Rhebo empfiehlt dazu ihre oben genannte Lösung. Sie lernt aktiv mit, beschränkt sich also nicht ausschließlich auf bekannte Gefahrensignaturen. Stattdessen filtert sie auch nach Aktionen, die nicht in das eigentliche Verhaltensmuster des Geräts passen. Ein Großteil der durch Ripple20 ausführbaren Angriffstaktiken gleichen z.B. Kommunikationsvorgängen, die für Firewalls legitim wirken. Neben Signaturen wird deshalb auch anomales Verhalten erkannt, geblockt und gemeldet. Rhebos Lösung wird auf dem vernetzten IoT-Gerät integriert, um lokal zu wirken und die restliche Flotte der vernetzten IoT-Geräte zu schützen.

Das könnte Sie auch Interessieren