Risikobewertung

Wenn Vernetzung zum Risiko wird: Die Top 5 der risikoreichsten Gerätetypen

, ForeScout | Autor: Herbert Wieler

Wenn Vernetzung zum Risiko wird: Die Top 5 der risikoreichsten Gerätetypen

ForeScout Technologies, Anbieter von automatisierter Cyber Security, analysiert mit seiner Forschungseinheit Vedere Labs seit 2020 die Gefahr, die von vernetzten Geräten ausgeht. Während die vorausgehenden Berichte aus den Jahren 2020 und 2022 bereits Geräte aus den Kategorien IP-Kameras, VoIP und speicherprogrammierbare Steuerungen (SPS) auflisteten – insbesondere aufgrund ihrer Kritikalität oder der mangelnden Sensibilität der Anwender –, tauchen jetzt neue Gerätetypen auf, deren aktuelles Risikoniveau die neuesten Entwicklungen in der Bedrohungslandschaft widerspiegelt .

Die Analysten verfolgten für den Bericht erneut einen datenbasierten Ansatz: So wurden Millionen von Geräten in der ForeScout Device Cloud unter Anwendung der Methodik zur Multifaktor-Risikobewertung analysiert.

Die fünf risikoreichsten Gerätetypen in den Kategorien IT, IoT, OT und IoMT sind demnach:

Die in der Tabelle blau hinterlegten Felder kennzeichnen die Gerätetypen, die neu in die Liste der risikoreichsten vernetzten Geräte aufgenommen wurden.

Das sind die wichtigsten Erkenntnisse aus den Analysen

  • Die Geräte im Datensatz von ForeScout sind von mehr als 4.000 Schwachstellen betroffen. 78 Prozent davon befinden sich in IT-Geräten, 14 Prozent in IoT-Geräten, sechs Prozent in OT-Geräten und zwei Prozent in IoMT-Geräten. Die meisten Schwachstellen betreffen also die IT-Geräte, jedoch ist der Schweregrad bei fast 80 Prozent dieser Schwachstellen nur „hoch“. Im Gegensatz dazu weisen die IoMT-Geräte weniger Schwachstellen auf, allerdings sind 80 Prozent davon kritisch, was in der Regel die vollständige Übernahme eines Geräts ermöglicht. In den OT- und IoT-Geräten sind mehr als die Hälfte der Schwachstellen kritisch.
  • In allen Sektoren ist bei mindestens zehn Prozent der Geräte, auf denen ein Endpunktschutz installiert ist, dieser Schutz deaktiviert. Am höchsten ist die Zahl in Regierungseinrichtungen und bei den Finanzdienstleistern (beide mit fast 24 Prozent dicht gefolgt vom Gesundheitswesen (21 Prozent).
  • Das Gesundheitswesen ist im Jahr 2023 der Sektor mit den höchsten Risiken, gefolgt vom Einzelhandel und der Fertigungsindustrie. Bei Geräten im Gesundheitssektor ist die Wahrscheinlichkeit höher, dass gefährliche Ports offen sind.
  • Die stärkste Risikoreduzierung von 2022 bis 2023 konnte bei den Regierungseinrichtungen festgestellt werden. Allerdings wurden Anzeichen für Kompromittierungen (IOC), wie etwa bekannt bösartige IPs und Domains, am häufigsten in Regierungseinrichtungen entdeckt (63 Prozent der IOC), gefolgt vom Gesundheitswesen (19 Prozent) und dem Finanzdienstleistungssektor (8 Prozent).
  • IT-Netzwerkinfrastrukturen und Security Appliances sind die Geräte, die im Internet am stärksten gefährdet sind. Es folgen IoT-Geräte wie IP-Kameras (die mit 23 Prozent eine überwältigende Mehrheit der anfälligen IoT-Geräte ausmachen), NAS (sieben Prozent) und VoIP (drei Prozent). Gefährdet sind auch zahlreiche Bürogeräte – etwa Drucker und NAS – in Regierungseinrichtungen (19 Prozent) sowie Betriebstechnologien im Finanzdienstleistungssektor (sechs Prozent, meist USV).
  • Herkömmliche Betriebssysteme wie Windows und Linux machen in allen Sektoren die Mehrheit aus. Spezialbetriebssysteme, wie etwa eingebettete Firmware, sind besonders oft im Einzelhandel (14 Prozent), im Gesundheitswesen (13 Prozent) und in Regierungseinrichtungen (zwölf Prozent) zu finden. Nicht mehr unterstützte Legacy-Versionen zu verwalten, den Überblick über die verschiedenen Spezialbetriebssysteme zu wahren und die systematischen Sicherheitsprobleme in eingebetteter Firmware im Griff zu behalten – all das sind Aufgaben, die Sicherheitsteams Alpträume verursachen.
  • Auf spezialisierten Geräten laufen wesentlich häufiger veraltete Windows-Versionen als auf IT-Geräten für allgemeine Zwecke. So ist beispielsweise auf 63 Prozent der OT-Geräte und 35 Prozent der IoMT-Geräte, auf denen Windows läuft, eine veraltete Version dieses Betriebssystems installiert. Gründe dafür gibt es mehrere: die lange Lebensdauer solcher Geräte; die älteren Anwendungen, die auf ihnen ausgeführt werden; sowie die zwingend notwendige Bestätigung durch die Hersteller, dass die Geräte sicher auf neuere Betriebssysteme aufgerüstet werden können.

Die Angriffsfläche minimieren

Risiken sind nicht nur eine Frage der Angriffswahrscheinlichkeit, sondern hängen auch von anderen Faktoren ab, beispielsweise davon, wie kritisch die betroffenen Systeme für ein Unternehmen sind. Nichtsdestotrotz ist davon auszugehen, dass einige der ermittelten Geräte in diesem Jahr zu den am häufigsten angegriffenen zählen werden. Bei den Geräten der IT-Netzwerkinfrastruktur, wie Router, Security Appliances und VPN-Gateways, sowie den NAS im IoT gibt es sogar Anzeichen dafür, dass sie in der Gunst der Hacker steigen.

Um das unmittelbare Risiko einzudämmen, sollten sich Unternehmen auf veraltete Windows-Systeme und kritische Schwachstellen in ihrer OT- und IoMT-Umgebung konzentrieren und im Zuge dessen die betroffenen Geräte aktualisieren, ersetzen oder im Ernstfall isolieren. Ein weiterer wichtiger Schritt wäre die automatische Überprüfung und Durchsetzung der Gerätekonformität. Auf diese Weise lässt sich sicherstellen, dass nicht konforme Geräte keinen Zugang mehr zum Netzwerk erhalten. Was ungeschützte Geräte, wie IP-Kameras und gefährliche offene Ports betreffen, gilt es sicherzustellen, dass die Vorkehrungen für die Netzwerksicherheit, einschließlich der Segmentierung, optimiert werden.

Mit der Einhaltung dieser spezifischen Empfehlungen ist es allerdings noch nicht getan. Vielmehr müssen sich Unternehmen angesichts der erhöhten Risikoprofile unterschiedlichster Geräte, wie Security Appliances, VPN-Gateways, NAS, OOBM und Blutzuckermessgeräte, der Tatsache stellen, dass die moderne, veränderliche Bedrohungslandschaft neue Sicherheitsansätze erfordert.

Um die klassischen Maßnahmen für die Endpunktsicherheit zu umgehen, weichen Angreifer konsequent auf Geräte aus, mit denen sie sich leichter Zutritt zum Netzwerk verschaffen können. Ein modernes Risiko- und Gefährdungsmanagement sollte daher Geräte jeder Kategorie einbeziehen, um das Risiko unternehmensweit zu reduzieren. Lösungen, die sich nur für bestimmte Gerätegruppen eignen, sind mehr oder weniger blind für vereinzelte Teilbereiche des Netzwerks. So können beispielsweise reine OT- oder IoMT-Lösungen das Risiko für IT-Geräte nicht einschätzen, während reinen IT-Lösungen wiederum Details zu Spezialgeräten fehlen.

Daher gilt es, über die Risikobewertung hinaus, automatisierte Kontrollmaßnahmen anzuwenden, die sich nicht nur auf Sicherheitsagenten stützen. Solche Maßnahmen sollten sich auf das gesamte Unternehmen erstrecken statt nur auf Teilbereiche, wie das IT- bzw. OT-Netzwerk oder andere Gruppen von IT-Geräten.