Homeoffice – Chance und Herausforderung zugleich

Für Arbeitgeber gelten seit Mittwoch, dem 27.01.2021 neue Vorgaben zum Thema Homeoffice. Ab diesem Zeitpunkt trat die „SARS-CoV-2-Arbeitsschutzverordnung“ des Bundesarbeitsministeriums in Kraft und Arbeitgeber werden laut Ministerium rechtlich verbindlich dazu „verpflichtet“, Beschäftigten in bestimmten Fällen das Arbeiten von zu Hause im Homeoffice zu ermöglichen, so Arbeitsminister Hubertus Heil.

Doch was gibt es bei einem Homeoffice Arbeitsplatz zu beachten und welche Risiken sind damit verbunden?
Grund genug für uns, diese Thematik näher zu beleuchten.

Lies weiter

AMNESIA:33 Forescout deckt Sicherheitslücken in Millionen von Endgeräten auf

Mehr als 80 % von Unternehmen und Organisationen nutzen IoT oder OT Devices für geschäftskritische Anwendungen in Verwaltung und Produktion und nahezu 20 % davon haben bereits IoT/OT basierende Angriffe in den letzten drei Jahren entdeckt. Die Lage hat sich mittlerweile dramatisch verschärft. Die Sicherheitsforscher von Forescout haben aktuell 33 Sicherheitslücken in vier weit verbreiteten Open Source TCP/IP Stacks identifizieren können. Diese TCP/IP Stacks werden vor allem auch in der gesamten IoT, OT und IT-Infrastruktur verwendet. Auch in der Vergangenheit gab es bereits sicherheitsrelevante Probleme wie beispielsweise „Ripple20“ Angriffe. Allerdings betrifft AMNESIA:33 im Gegensatz zu Ripple20 eine Vielzahl von Open Source TCP/IP Stacks und ist damit ein weitaus größeres Problem.

Die Forscher von Forescout haben aktuell weit verbreitete TCP/IP Stacks auf sicherheitsrelevante Lücken untersucht und dabei 33 Zero-Day Schwachstellen in vier Open Source TCP/IP Stacks entdeckt. Die Ergebnisse hierzu wurden unter dem Namen AMNESIA:33 veröffentlicht. Die Sicherheitslücken betreffen eine Vielzahl von Endgeräten. Man geht davon aus, dass mehr als 150 Hersteller und Millionen von Endgeräten davon betroffen sind. Diese TCP/IP Open Source Stacks werden heutzutage nicht nur im Consumer Umfeld sondern auch in vielen kommerziellen Unternehmen eingesetzt.

Eine Vielzahl von Endgeräten ist davon betroffen u. a. :

  • Netzwerk Switche und Router
  • IoT Devices:
    Umgebungssensoren, (z. B. Temperatur, Luftfeuchtigkeit), intelligente Beleuchtungssysteme, Lesegeräte, medizinische Geräte, IP Kameras zur Überwachung, Sensoren und Steuerungen in der Gebäudeautomatisierung, Steuerungen, Stromzähler
  • intelligente Drucker
  • RFID Tracker
  • Betriebssysteme für embedded devices
  • Systems-On-a-Chip (SoC)

Aufgrund der weiten Verbreitung der aufgeführten Geräte stellt die aufgedeckte Sicherheitslücke weltweit ein großes Problem dar.

Risiken und Angriffsszenarien

Ein Angreifer, der die bekannten Sicherheitslücken nutzt, kann Kontrolle über das jeweilige IoT/OT Endgerät erlangen und z. B. darüber Zugang zum Unternehmensnetzwerk erhalten oder die kompromittierten IoT Geräte zu Fehlsteuerungen veranlassen und damit Chaos im gesamten Unternehmen verbreiten.

Im privaten Bereich kann ein Angreifer Zugriff auf ein IoT Device erlangen und dieses dann im Rahmen eines Botnets nutzen, ohne dass der Enduser darüber überhaupt Kenntniss erlangt.

Typische Angriffsszenarien im kommerziellen Umfeld sind u. a.:

  • der Angreifer kann sich Zugang zu IoT/OT Endgeräten verschaffen und damit z. B. das Patientenmonitoring stören oder gar unterbrechen
  • physikalische Zugangssysteme können ausgeschaltet werden und damit Personen in geschlossenen Abteilungen eingesperrt werden
  • der Angreifer kann das Brandmeldesystem kompromittieren, dieses deaktivieren oder Fehlalarme auslösen
  • der Angreifer nutzt ein IoT Endgerät, um damit massenhaft fehlerhafte TCP/IP Pakete in das Netzwerk zu senden, das dann zu großen Verzögerungen innerhalb des Unternehmensnetzwerkes führt, das den gesamten Betrieb lahmlegen kann.
  • der Angreifer kompromittiert Netzwerkswitche und verursacht Unterbrechungen und Ausfälle in Teilen des Netzwerks
  • der Angreifer verschafft sich Zugang zum Unternehmensnetzwerk und kann über Protokoll Gateways daran angeschlossene serielle Geräte in der Produktion (z. B. Transportbänder, Sensoren und Aktuatoren) kompromittieren, die teilweise oder die komplette Produktion stillegen oder falsche bzw. fehlerhafte Daten für die Qualitätssicherung injizieren

Best Practices um Risiken zu vermeiden

  • Erfassung, Klassifizierung und Identifizierung aller IoT und OT Geräte im Unternehmen
  • möglichst nur interne DNS Server einsetzen oder falls nicht möglich den externen DNS Verkehr monitoren, da
    einige AMNESIA:33 Sicherheitslücken einen mit Schadsoftware infizierten externen DNS Server nutzen
  • IPv6 Datenverkehr deaktivieren, da einige der AMNESIA:33 Sicherheitslücken sich auf IPv6 Pakete beziehen
  • da in der Regel die meisten IoT und OT Geräte NICHT gepatcht werden können, muss das Netzwerk zwingend segmentiert bzw. in Zonen aufgeteilt werden
  • Patchen wenn möglich. Das ist leichter gesagt als getan, da viele Hersteller von IoT und OT Deviices keine Patches zur Verfügung stellen
  • Überwachung und Monitoring des gesamten Netzwerkverkehrs auf fehlerhafte IP Pakete (falsche Feldlängen, Checksum Fehler). Fehlerhafter Netzwerkverkehr sollte nach Möglichkeit blockiert werden können (Segmentierung Firewall).
  • alle IoT und OT devices im WLAN sollten möglichst nicht mit Pre-shared-Key Verfahren ausgerüstet sein. Besser ist der Einsatz von Private-Pre-Shared-Keys und eigenen spezifischen Netzwerk Policies, da der Einsatz einer RADIUS Authentifizierung scheitert, da in der Regel keine entsprechenden Zertifikate auf IoT bzw. OT Geräten implementiert werden können

Wir unterstützen Sie im Rahmen unserer Netzwerk Kompetenz und helfen Ihnen bei der Herausforderung das Unternehmensnetzwerk weitgehend gegen die Bedrohungen durch den Einsatz von IoT und OT Endgeräten abzusichern.

6 GHz WLAN – Freigabe in Europa wird für Frühjahr 2021 erwartet

Nachdem die USA mittlerweile Wi-Fi 6E im 6 GHz Spektrum im Bereich 5925-7125 MHz (1200 MHz) freigegeben hat will nun die Europäische Union im Frühjahr 2021 nachziehen. In den USA stehen damit 29 zusätzliche Kanäle mit 20 MHz Bandbreite zur Verfügung. Für die Kanalbandbreiten stehen dann 20 MHz, 40 MHz, 160 MHz und bis zu 320 MHz zur Verfügung. Allerdings wird in Europa wohl nur ein Bereich von 500 Mhz (5925–6425 MHz) für die WLAN Nutzung im 6 GHz Band zur verfügung stehen.

Lies weiter

IEEE 802.ax (Wi-Fi 6) oder endlich mehr Datendurchsatz?

Wi-Fi 6 ist mittlerweile den Kinderschuhen entwachsen. Immer mehr Hersteller von WLAN Infrastruktur und Endgerätehersteller rüsten jetzt ihr Equipment mit den aktuellen Chipsets, die den neuen Wi-Fi 6 Standard unterstützen, aus.

Lohnt es sich jetzt umzusteigen? Was kann man von dem neuen Standard erwarten? In diesem Blog wollen wir darauf eine Antwort geben und die wichtigsten Neuerungen aufzeigen.

Lies weiter

10 Tipps zur WLAN Optimierung – Teil 5

Sollten sämtliche vorgenannten logischen Schritte trotz konsequenter Anwendung dennoch nicht die erhofften Verbesserungen bewirken, führen – in der Regel als letzte Möglichkeit – Änderungen an der physikalischen WLAN-Infrastruktur erfahrungsgemäß zum gewünschten Erfolg. Jedoch enden überstürzte und dadurch zuweilen unbedachte Veränderungen der WLAN-Infrastruktur nicht selten im Gegenteil des Beabsichtigten und verschlechtern u. U. den bisherigen ohnehin unbefriedigenden Zustand noch weiter.

Lies weiter

10 Tipps zur WLAN Optimierung – Teil 4

In einer WLAN-Infrastruktur mit Übertragung von Multimedia Inhalten (Voice, Video) sollten QoS Klassen mit WMM (Wireless Multimedia Extensions) Einsatz finden, die dabei die Anwendungen (Voice, Video, Best Effort und Background) unterschiedlich priorisieren. Die höchste Priorität hat dabei Voice, gefolgt von Video, Best Effort und Background Anwendungen.

Lies weiter

10 Tipps zur WLAN Optimierung – Teil 3

WLAN verwendet unlizenzierte Frequenzbänder. Der Vorteil dabei ist, dass keinerlei Lizenzkosten für die Nutzung dieser Frequenzen erhoben werden. Andererseits kann jeder diese Frequenzen nutzen – ohne Rücksicht auf andere Dienste im gleichen Frequenzband. Dies führt gearde im stark frequentierten 2,4 GHz Band zu nicht unerheblichen STörungen durch WLAN fremde Dienste.

Lies weiter

10 Tipps zur WLAN Optimierung – Teil 2

Bedingt durch den Umstand, dass WLAN nach dem Prinzip des Half-Duplex arbeitet – dabei kann immer nur jeweils ein Gerät, Client oder AP zum gleichen Zeitpunkt Daten übertragen – ist die „Airtime“, die Zeitspanne innerhalb derer der Kanal belegt wird, eine der wichtigsten und wertvollsten Ressourcen. Ziel sollte es somit prinzipiell sein, so viel Airtime wie möglich für die eigentliche Übertragung von Nutzdaten zur Verfügung zu stellen und unnötigen Traffic aufgrund von Management und Control Datenverkehr zu vermeiden

Lies weiter