Agentenlose Sicherheit für das IoT

Durch die Vernetzung von mehr und mehr Endgeräten sehen sich Unternehmen neuen Herausforderungen bei der IT-Security entgegengestellt. Das Internet der Dinge optimiert zwar einerseits Produktionsvorgänge und sorgt dabei für eine effizientere Nutzung von Ressourcen, andererseits vergrößerst sich mit jedem weiteren Endpunkt die potentielle Angriffsfläche für Hacker-Attacken.

Ein besonderes Risiko geht dabei von Geräten aus, die sich nicht gezielt über Sicherheitssoftware absichern lassen. Diese können von Cyberkriminellen als Einfallstor für das Unternehmensnetz genutzt oder als Teil eines Botnets für gezielte DDoS-Angriffe missbraucht werden.

Der US-amerikanische Sicherheitsanbieter ForeScout will mit seiner agentenlosen CounterACT-Appliance eine Lösung zur Absicherung von IoT-Geräten im Unternehmensnetz liefern. Die ForeScout-Manager Brian Gumbel, Senior Vice President, Worldwide Commercial Sales, und Manager Markus, Regional Sales Manager, erläutern im Gespräch mit com! professional die Funktionsweise der Lösung.

com! professional: Herr Gumbel, wie lautet ihre Einschätzung zur allgemeinen Gefahrenlage, speziell im Hinblick auf IoT-Lösungen?

Brian Gumbel: Die Gefahrenlage spitzt sich zunehmend zu, unabhängig vom jeweiligen lokalen Standort. Die IoT-Security repräsentiert dabei für viele Firmen und Organisationen die größte Gefahrenquelle. Gleichzeitig bieten IoT-Strukturen für Hacker eine riesige Angriffsfläche, um Netzwerke zu infiltrieren.

All diese IoT-Geräte haben IP-Adressen und damit auch direkt oder indirekt Zugang zum Internet. Aktuell gibt es weltweit etwa sechs Milliarden Geräte mit Netzzugang, Schätzungen zufolge soll diese Zahl in absehbarer Zeit noch auf 20 – 30 Milliarden steigen. Auf 90 Prozent dieser Geräte lässt sich jedoch keine Agenten- oder Sicherheits-Software zur Verwaltung installieren. Das ist ein riesiges Problem und eine riesige Herausforderung für die IT-Security von nahezu allen Unternehmen und Organisation - egal ob groß oder klein. So sehen sich Unternehmen aller Branchen, das Gesundheits- und Finanzwesen sowie Regierungen denselben Gefahren gegenübergestellt.

com! professional: Abhilfe für dieses Problem soll nun ja Forescout CounterACT schaffen. Wie funktioniert diese Lösung und welchen Funktionsumfang bietet sie?

Gumbel: Mit Forescout CounterACT, das wir seit nunmehr 16 Jahren entwickeln, wollen wir diesem Problem begegnen. Dabei handelt es sich um eine IoT-Security-Plattform, die im Wesentlichen drei Aspekte abdeckt: See, Control, Orchestrate.

Wir bieten unseren Kunden zunächst Sichtbarkeit (See) als Schlüsselfunktion. Dies erlaubt Unternehmen, sämtliche mit ihrem Netzwerk verbundenen Geräte zu identifizieren. Dabei spielt es keine Rolle, um welche Art von Gerät es sich handelt und welches Betriebssystem zum Einsatz kommt. Sei es nun eine Überwachungskamera, ein Netzwerkdrucker, eine Telefonanlage, ein Smart TV oder dergleichen. Solange das Gerät über eine IP-Adresse verfügt und über das Netzwerk verbunden ist, kann Forescout CounterACT es ausfindig machen. Die Lösung arbeitet agentenlos, es ist also keine zusätzliche Software auf den Geräten zur Verwaltung notwendig.

Dies erlaubt beispielsweise einem Krankenhaus, neben den üblichen Geräten wie etwa den PCs und Notebook der Verwaltung auch sämtliche BYOD-Geräte von angestellten Ärzten und Technikern sowie natürlich alle medizinischen Geräte mit Netzanschluss zu identifizieren. Erst hierdurch ist eine saubere automatische Klassifizierung und Verwaltung aller Geräte in der Netzwerkumgebung möglich.

Nachdem nun alle Geräte im Netzwerk ausgemacht sind, gilt es diese zu verwalten (Control). Hierzu segmentiert CounterACT das Netzwerk und bildet separate virtuelle LANs (VLAN). So kann etwa festgelegt werden, dass ein verbundenes medizinisches Gerät keinen Zugang zu Netzwerkbereichen erhält, die es nicht benötigt, wie beispielsweise SAP-Server oder Finanzdatenbanken, etc. Sollte ein Gerät dennoch versuchen, auf kritische Bereiche zuzugreifen, kann die Technologie dieses Gerät entweder blockieren und einen Administrator alarmieren oder das Gerät in einen Quarantänebereich verschieben. Und falls es sich bei der Anfrage um ein Neugerät handelt, das den Zugang zu diesen Bereichen ohnehin erhalten soll, kann über unsere Lösung auch die Berechtigung hierzu erstellt werden. Die Überwachung der Geräte und der einzelnen Zugangsrechte erfolgt dabei komplett automatisiert.

Abschließend geht es noch um Orchestrierung der IT-Security. Viele Unternehmen haben sich im Laufe der Zeit unterschiedliche Sicherheitslösungen von verschiedenen Anbietern angeschafft, die leider nicht optimal miteinander arbeiten können. ForeScout bietet mit der Management Konsole „Orchestration Engine“, die über 80 verschiedene Sicherheitslösungen am Markt unterstützt, die Möglichkeit, sämtliche anfallenden Alarmmeldungen koordiniert zu verarbeiten.