Anzeige

IoT-Devices

Durschschnittlich 1.856 private Endgeräte und IoT-Devices verbinden sich in Deutschland pro Tag und Unternehmen mit dem Netzwerk der Organisation – ungemanagt von der IT. Zugleich glauben fast 90 Prozent der IT-Verantwortlichen, eine effektive Sicherheits-Policy zu haben.

Infoblox, Spezialist für Netzwerksteuerung und Anbieter von Actionable Network Intelligence, veröffentlicht die Ergebnisse einer neuen Studie, die besorgniserregende Sicherheitslücken durch ungesicherte „Schatten-Geräte” in Unternehmensnetzwerken aufzeigt.

Der Report mit dem Titel „What’s lurking on your network: Exposing the threat of shadow devices” offenbart, dass Unternehmensnetzwerke quer durch die USA, durch Großbritannien und Deutschland tausende von privaten, unzureichend gesicherten Schatten-Devices enthalten, die Netzwerke potenziell gefährden können. Gemeint sind unter anderem Geräte wie Laptops, Ebook-Reader und Smartphones, aber auch IoT-Devices wie etwa vernetzte digitale Assistenten, vernetzte Küchengeräte und andere Geräte, die – unbeachtet und kaum bis gar nicht gesichert – mit dem Unternehmensnetzwerk verbunden werden.

Über ein Drittel der befragten Unternehmen (35%) gaben an, dass sich täglich über 5.000 private Geräte mit ihrem Unternehmensnetz verbinden. In den USA und in Großbritannien räumten zudem zahlreiche Mitarbeiter ein, die eigenen Geräte beispielsweise für den Zugang zu Social-Media-Diensten (39 Prozent) oder für das Herunterladen von Apps, Filmen und Spielen (24, 13 und 7 Prozent) ins Netzwerk einzuloggen. Diese Gewohnheit macht Unternehmen höchst anfällig für Hacker-Angriffe, Phishing-Attacken und die Infektion mit Schadprogrammen.

In jedem dritten Unternehmen in den USA, in Großbritannien und Deutschland werden darüberhinaus an einem durchschnittlichen Tag mehr als 1.000 weitgehend unbeachtete IoT-Geräte mit dem Netzwerk verbunden. Am häufigsten finden sich folgende Schatten-IoT-Geräte, die mit den Netzwerken der befragten Organisationen verbunden sind:

  • Fitness-Trackers wie FitBit or Gear Fit (49 Prozent)
  • Digitale Assistenten wie etwa Amazon Alexa oder Google Home (47 Prozent)
  • Smart-TV-Geräte (46 Prozent)
  • Smarte Küchenutensilien, etwa Mikrowellen und Wasserkocher (33 Prozent)
  • Spielkonsolen, zum Beispiel Xbox oder PlayStation (30 Prozent)

Derartige Endgeräte sind für Cyberkriminelle leicht zu finden – zum Beispiel mit entsprechenden Suchmaschinen wie Shodan, die Geräte mit Internetverbindung aufspüren. Sogar wenig versierte Hacker sind damit in der Lage, enorme Mengen an Devices in Unternehmensnetzwerken zu identifizieren und als Ziel von Attacken in Visier zu nehmen.

Zu optimistisches Bild von der Wirkung der eigenen Sicherheits-Policies

Signifikant ist außerdem: Auch wenn in Unternehmen Richtlinien eingeführt wurden, um die Risiken durch private Endgeräte und IoT-Devices im Netzwerk in den Griff zu bekommen, haben IT-Verantwortliche offenbar ein zu optimistisches Bild von deren Wirksamkeit: Während 88 Prozent aller befragten IT-Zuständigen der Ansicht sind, die Sicherheits-Policy ihres Unternehmens sei entweder effektiv oder sogar sehr effektiv, wusste rund ein Viertel (24 Prozent) der befragten Angestellten in den USA und in Großbritannien nicht einmal, ob es in ihren Unternehmen überhaupt Richtlinien für netzwerkfähige private Devices und IoT-Geräte gibt.

In Deutschland sind sogar 89,1 Prozent der befragten IT-Verantwortlichen überzeugt, eine effektive oder sehr effektive Sicherheits-Policy für private Geräte zu haben. Trotzdem fanden sich in deren Organisationen im Schnitt rund 1.856 nicht-dienstliche Geräte, die weder von der Unternehmens-IT zur Verfügung gestellt wurden, noch von dieser gemanagt werden.

Frank Ruge, Senior Director & General Manager Central Europe bei Infoblox, betont: „Wegen des geringen Sicherheits-Levels bei privaten Devices und IoT-Geräten exisitiert eine massive Bedrohung aufgrund dessen, was alles unter dem Radar der traditionellen Sicherheits-Policy abläuft. Entsprechende Geräte stellen einen attraktiven Angriffspunkt für Cyberkriminelle dar und sind ein ernsthaftes Sicherheitsrisiko für Unternehmen. Diese Sicherheitsrisiken sollten möglichst nah an den Endpunkten erkannt und gebannt werden. Sicherheit muss hier über das Netzwerk erbracht werden. DNS ist ein hervorragender Kontrollpunkt, da schon vor dem ersten Anwendungspaket die Kommunikation unterbunden werden kann.”

Nötig sei daher neben dem Etablieren von Sicherheitsrichlinien und der Sensibilisierung der Mitarbeiter auch umfassende Transparenz im Netzwerk: Erst der vollständige Überblick über alle angeschlossenen Geräte, sei es vor Ort oder im Remote-Einsatz, erlaube valide Aussagen über Gefahrenquellen. „Durch die Verwendung intelligenter DNS-Lösungen, die anomale und potenziell bösartige Kommunikations-Vorgänge vom und zum Netzwerk identifizieren, können Sicherheitsteams in Organisationen Cyberkriminelle erkennen und stoppen“, so Ruge.

Der vollständige Report mit Handlungsempfehlungen steht hier zur Verfügung.

Methodik:

Die Studie wurde im März und April 2018 vom Meinungsforschungsinstitut Censuswide, einer internationalen Forschungsorganisation, online durchgeführt. Beauftragt hatte Infoblox die Befragung von 1.000 IT-Direktoren in den USA, Großbritannien, Deutschland und den Vereinigten Arabischen Emiraten (jeweils 300 in Großbritannien, den USA und Deutschland und 100 in den Vereinigten Arabischen Emiraten). Eine Umfrage unter 1.000 Mitarbeitern in den USA und Großbritannien im Alter von 20 bis 65 Jahren (500 in jeder Region) wurde zudem mittels der Online-Umfrage CitizenMe im März 2018 durchgeführt.
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!