Verantwortung für ausreichende Sicherheit: Cyberhygiene und das Internet der Dinge

Illustration: Absmeier, TheDigitalArtist

Das Internet der Dinge (IoT) hat unser Leben und Arbeiten drastisch verändert, und das weltweit. Vom Babyphone, zur Überwachungskamera für zu Hause, über den tragbaren Fitness-Tracker bis hin zu intelligenten Fahrzeugen, Stromnetzen und dem Entstehen intelligenter Städte. Was früher das Internet der Dinge war, ist heute eher das Internet von Allem, wenn man bedenkt wie umfassend es inzwischen bereits geworden ist.

Der kommende Monat Oktober ist traditionell European Cyber Security Month (ECSM) und somit die perfekte Gelegenheit, um IoT-Geräte und die von ihnen ausgehenden Sicherheitsbedrohungen unter die Lupe zu nehmen. Bei den Bedrohungen wollen wir natürlich nicht stehen bleiben. Vielmehr geht es darum, wie Unternehmen den Komfort und die Effizienz von IoT-Systemen für sich im Rahmen einer starken IoT-Governance-Strategie sicher nutzen können.

Dazu betrachten wir zunächst die Voraussetzungen und warum man zwingend eine solche Strategie braucht.

Anzeige

Experten schätzen, dass heute bereits über 30 Milliarden IoT-Geräte im Einsatz sind. Kein Zweifel, mit der massiven Verbreitung und Expansion vernetzter Geräte gehen Risiken einher. Die Technologie hinter den IoT-Geräten ist verhältnismäßig jung, wenig ausgereift und vergleichsweise ungeregelt. Obwohl IoT-Geräte über Prozessoren verfügen können – und einige sogar über Elemente einer Benutzeroberfläche (z. B. Touchscreen, Tastatur) – sind sie nicht unbedingt Computer. Computer lassen sich über eine Vielzahl von Tools (etwa Firewalls, Anti-Malware-Systeme) kontrollieren, und für die Geräte existieren umfangreiche Sicherheitsmaßnahmen. Das gilt nicht für die aktuell im Umlauf befindlichen IoT-Devices.

IoT-Geräte dienen meist einem sehr konkreten Anwendungsfall, wohingegen Computer in der Regel für eine breite Palette von Anwendungsfällen eingesetzt werden. Obwohl Computer sicherlich nie zu 100 % sicher sind, gibt es weitaus mehr Werkzeuge und Methoden, um die Stabilität in Sachen Sicherheit zu erhöhen. Der andere heikle Aspekt: IoT-Geräte geben meistens keinerlei verräterische Anzeichen eines Missbrauchs zu erkennen. Aber welcher Schaden kann allein durch den Zugriff auf einen intelligenten Lichtschalter oder Sensor entstehen? Von Krypto-Mining oder dem Verschieben von Daten und Informationen von einem Gerät auf ein anderes im selben Netzwerk, über DDoS-Angriffe bis hin zur Verbreitung von Malware – vernetzte Geräte bringen ein hohes Risiko mit sich, wenn sie nicht verantwortungsbewusst verwaltet werden.

Zurzeit üben Regierungen noch keinen ausreichenden Druck auf die Gerätehersteller aus, Sicherheit in Form von gesetzlichen Normen in den Designprozess einzubeziehen. Parallel dazu suchen Verbraucher oft nach der kostengünstigsten Version eines Geräts. Es erfüllt dann zwar vielleicht gerade noch die Mindestanforderungen was die eigentliche Kaufmotivation anbelangt, aber eben nicht unbedingt die nötigen Sicherheitsanforderungen.

Anzeige

Noch reicht der Druck von Regierungen und Verbrauchern nicht für einen Sinneswandel bei den Herstellern. Und solange sich das nicht ändert, betrachten sie Sicherheit als nachranging bei der Produktion. Nur, so sollte es nicht sein.

Aber, selbst wenn ein Gerät in Bezug auf Sicherheit noch unausgereift ist, gibt es eine Reihe von praktikablen Möglichkeiten die Situation zu verbessern. Zumindest lässt sich sicherzustellen, dass die eingesetzten Geräte so verwaltet werden, dass sie das geringstmögliche Risiko darstellen:

  1. Stellen Sie IoT-Geräte in ein eigenes Netzwerk ein. Dadurch ist sichergestellt, dass im Falle einer Datenschutzverletzung, die ein oder mehrere Geräte betrifft, das betriebliches Netzwerk nicht direkt beeinträchtigt wird.
  2. Katalogisieren Sie alle verwendeten IoT-Geräte und vollziehen Sie deren Aktivitäten nach. Katalogisieren Sie, wie bei jedem verwendeten Gerät oder jeder verwendeten Software im Unternehmen auch, alle vernetzten Geräte und vollziehen Sie deren Aktivitäten kontinuierlich nach. Wenn Sie einen scheinbar harmlosen Smart-Switch überwachen, stellen Sie vielleicht eine ungewöhnliche Netzwerkkommunikation fest, die sich als schädlich erweisen kann. Intensivere Kommunikation oder Kommunikation mit unbekannten Servern kann ein guter Hinweis sein, dass etwas nicht ganz in Ordnung ist.
  3. Seien Sie vorsichtig bei Software für IoT-Geräte. Jegliche Software und mobile Apps, auf einem IoT-Gerät oder innerhalb eines IoT-Ökosystems, bergen potenzielle Sicherheits- und Datenschutzrisiken. Halten Sie die Inventarisierung immer auf dem aktuellen Stand. Handeln Sie sofort, wenn ein Patch/Update oder eine bekannte Schwachstelle veröffentlicht wird.
  4. Statten Sie Ihre Mitarbeiter mit vertrauenswürdigem Equipment aus. Statten Sie Ihre Mitarbeiter mit vertrauenswürdigem Equipment aus und schränken sie die Verwendung anderweitiger Systeme und Geräte ein, bei denen die Vertrauenswürdigkeit nicht gewährsleistet ist. Mit anderen Worten: Wählen Sie vertrauenswürdige Marken, die Sicherheit ernst nehmen. Auf diese Weise ist es deutlich leichter, ein Governance-Modell für die Verwendung dieses Gerät zu entwickeln. Private Geräte, die Mitarbeiter von zu Hause mitbringen (Smartwatches, Fitness-Tracker), sollten per se als nicht vertrauenswürdige Geräte eingestuft werden und sich nur mit einem separaten Netzwerk verbinden können. Das erlaubt den Mitarbeitern die Nutzung und schützt das primäre Netzwerk.
  5. Schulen Sie Ihre Mitarbeiter. Schulungen sind für die unterschiedlichen Positionen innerhalb eines Unternehmens relevant, je nachdem wie diese IoT-Geräte handhaben. Alle Mitarbeiter sollten Grundlagenwissen zu IoT-Geräten haben, wissen, dass sie sich um Updates / Patches kümmern müssen, und dass diese Geräte nicht uneingeschränkt im Unternehmensökosystem verwenden werden können. Schulen Sie das technische Personal zur richtigen Wartung und darin, wie man verdächtige Aktivitäten am besten erkennt. Schulen Sie das Netzwerkpersonal und stellen Sie Tools zur Verfügung, mit denen man die Geräte überwachen und den Zugang zum Netzwerk einschränken kann.
  6. Schränken Sie die Internet-Nutzung nach Möglichkeit ein. Wenn Geräte einen Internetzugang für das Update des Dienstes benötigen, führen Sie Updates manuell durch oder definieren Sie ein Wartungsfenster, in dem das Gerät auf das Internet zugreifen und das Update einspielen kann. Ein IoT-Gerät, das ständig mit dem Internet verbunden ist, erhöht den potenziellen Bedrohungsgrad.
  7. Achten Sie auf die Governance Ihrer Lieferkette und die Einhaltung von Datenschutzvorgaben. Jedes IoT-Ökosystem ist anders. Viele IoT-Hersteller verfügen über eigene Managementportale und Speichersysteme sowie Apps, die auf Computern oder Mobilgeräten zur Steuerung oder Einrichtung der Geräte eingesetzt werden können. Diese Elemente sollten Teil Ihrer Richtlinien zur Governance der Lieferkette sein. Sie sollten zusätzlich überprüfen, ob Lieferanten und Hersteller diesen Richtlinien entsprechen, ob die Software vertrauenswürdig ist und die Daten Ihren eigenen Richtlinien und Vorschriften, wie beispielsweise denen der DSGVO, entsprechen.

Das ist natürlich längst nicht alles, was zu einer umfassenden IoT-Governance gehört, aber es ist eine Grundlage, auf der man aufbauen kann. Unterstützende Technologien wie Bluetooth, WLAN und das neue 5G-Netz sind zusätzliche Einstiegspunkte für Exploits. Inzwischen diskutieren Regierungen, was das IoT im Rahmen einer staatlichen Nutzung bedeutet. Das führt vielleicht in einer nicht allzu fernen Zukunft zu Richtlinien oder sogar zu branchenweiten Regulierungsstandards.

Das Internet der Dinge ist eine relativ neue Technologie. Solange der Druck von Verbraucher- und Regierungsseite auf die Gerätehersteller nicht ausreicht, und die Hersteller zwingt, sich mehr um Sicherheitsbelange zu kümmern, solange liegt die Verantwortung für ausreichende Sicherheit beim Nutzer, ob Endverbraucher oder Unternehmen. Überdenken Sie die Risikolandschaft, erstellen Sie ein Bedrohungsmodell, um potenzielle Schwachstellen zu untersuchen, und tragen Sie diesem Rechnung.

Boris Cipot, Senior Security Engineer, Synopsys Software Integrity Group

 

1740 Artikel zu „IoT Sicherheit“

Die Top-Mythen der IoT-Sicherheit

Konventionelle Ansätze der Cybersicherheit konzentrieren sich auf ein grundlegendes Konzept: jedes in Sichtweite befindliche Gerät schützen, um Hacker, Angreifer und Diebe fernzuhalten. In einer hochgradig vernetzten Welt, in der sich eine Vielzahl von Sensoren, Geräten und Systemen gegenseitig mit Daten versorgen, ist dieses Konzept jedoch überholt. Das Internet der Dinge wächst. IDC prognostiziert, dass es…

Maschinelles Lernen für bessere Security: Sieben wichtige Erkenntnisse zur IoT-Sicherheit

Unternehmen von heute bewegen sich mit großer Geschwindigkeit in Richtung digitaler Transformation. Die Definition ihres Netzwerks ändert sich dabei ständig – mit Hybrid-Clouds, IoT-Geräten und jetzt auch Heimarbeitsplätzen. Angesichts des wachsenden Datenverkehrs am »Rand« des Netzwerks (Edge) steigt auch das Sicherheitsrisiko, verbunden mit häufigen, schweren und ausgeklügelten Cyberangriffen – wie Palo Alto Networks beobachtet. Um…

IoT-Sicherheit: Von Türklingeln und Kühlschränken bis zu Atomreaktoren

Die aktuelle und künftige Relevanz von Cybersicherheit im IoT-Kontext. Da die Welt immer vernetzter wird, werden immer mehr Geräte miteinander verbunden. Der Fitness-Tracker am Handgelenk überträgt drahtlos Daten auf das Smartphone, das wiederum die Entertainment-Hubs in den vernetzten Autos auf der Fahrt steuert. Das Smartphone ist auch der Dreh- und Angelpunkt der meisten Geschäftsverbindungen –…

Kein Unternehmen kommt ohne IoT-Sicherheit aus – Hohes Potenzial in lernenden Systemen

Das Internet der Dinge setzt sich in großem Stil durch, weil die potenziellen Vorteile immens sind. Ob es sich um Gebäude- und Straßenlichtsensoren, Überwachungskameras, IP-Telefone, Point-of-Sale-Systeme, Konferenzraumtechnik und vieles mehr handelt, das IoT ist im Netzwerk und im Unternehmen längst Realität. Es ist zu einem wesentlichen Teil der Infrastruktur für jedes Unternehmen und jede Branche…

Sicherheit bis in den letzten Winkel des industriellen IoT

Moderne Sicherheitslösungen nutzen Analytik, um auch industrielle Anlagen innerhalb des industriellen IoTs überwachen zu können. IoT-Lösungen haben in den letzten Jahren nicht nur unser Zuhause erobert, auch in der Industrie kommen die smarten Geräte immer häufiger zum Einsatz. Das industrielle IoT (IIoT) bietet Unternehmen mannigfaltige Möglichkeiten und die Anwendungsfälle erstrecken sich über alle Branchen. Zu…

Must Have: IoT-Sicherheit auf Chipebene

Ein entscheidendes Element für IoT-Sicherheits-Chips ist eine Public Key Infrastructure (PKI). Alle IoT-Geräte mit diesen Chips brauchen eine starke Identität, die dann für die sichere Authentifizierung verwendet wird.   Das IoT hat sich zweifelsohne zu einer unglaublich erfolgreichen Industrie entwickelt. Umfrageergebnisse von Vanson Bourne und der Software AG aus dem Jahr 2018 unter 800 leitenden…

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

IoT-Geräte stellen Sicherheitsrisiken durch Cyberangriffe dar

IoT entwickelt sich immer mehr zum Haupttreiber für PKI, gleichzeitig sind Unternehmen nicht ausreichend auf Bedrohungen vorbereitet. Das IoT (Internet of Things) ist aktuell einer der Technologietrends mit dem stärksten Wachstum. Unternehmen setzen sich jedoch gefährlichen Cyberrisiken aus, indem sie in diesem Zusammenhang der PKI-Sicherheit nicht genügend Priorität beimessen. Das zeigen die neuesten Untersuchungsergebnisse von…

Es mangelt am Bewusstsein für IoT-Sicherheit

Die Ergebnisse einer Umfrage zeigen, dass Unternehmen weltweit deutliche Schwächen im Bereich Sicherheit im Internet der Dinge (Internet of Things, IoT) haben. Nur 14 Prozent der befragten IT- und Sicherheitsentscheider geben an, dass in ihren Unternehmen ein vollständiges Bewusstsein für IoT-Bedrohungen vorhanden ist. 37 Prozent der Befragten räumen ein, nicht immer ihre Security-Bedürfnisse definieren zu…

IoT-Sicherheit: Willkommen im Botnet

  Das Internet der Dinge steckt immer noch in den Kinderschuhen, aber hat sich bereits einen Ruf als ausgewachsenes Sicherheitsrisiko gemacht. Ob Router, Drucker, Smart-TV, Spielzeug oder Waschmaschinen – vernetzte Geräte werden für Cyberkriminelle zum Werkzeug für illegales Krypto-Mining, DDoS-Angriffe bis hin zur Lösegelderpressung durch angedrohte Datenlöschung, wie im Fall des Spielzeugherstellers Spiral Toys. Dessen…

IoT verändert Sicherheitsdenken: Warum PKI immer wichtiger wird

Die digitale Transformation hat inzwischen eine Vielzahl von Branchen erreicht. Nicht zuletzt angetrieben durch die rasante Weiterentwicklung des Internet of Things (IoT) und die darin liegenden unternehmerischen Möglichkeiten. Wie etwa den, sich Wettbewerbsvorteile gegenüber der Konkurrenz zu verschaffen. Richtig aufgesetzt haben IoT-Projekte das Potenzial, betriebliche Abläufe zu rationalisieren, neue Umsatzquellen zu erschließen und Dienstleistungen besser…

Sicherheitsverantwortliche haben nur wenig Mitspracherecht bei IoT-Entscheidungen

Eine weltweite Umfrage von Trend Micro zeigt, dass CISOs und Sicherheitsexperten nur für 38 Prozent der IoT-Projekte in Unternehmen konsultiert werden. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verantwortlich ist. Befragte Unternehmen berichten von durchschnittlich drei Angriffen auf vernetzte Industrieanlagen im vergangenen Jahr.  …

Drastische Zunahme von privaten Endgeräten und IoT-Devices in Unternehmensnetzwerken sorgt für enorme Sicherheitsrisiken

Durchschnittlich 1.856 private Endgeräte und IoT-Devices verbinden sich in Deutschland pro Tag und Unternehmen mit dem Netzwerk der Organisation – ungemanagt von der IT. Zugleich glauben fast 90 Prozent der IT-Verantwortlichen, eine effektive Sicherheits-Policy zu haben. Infoblox, Spezialist für Netzwerksteuerung und Anbieter von Actionable Network Intelligence, veröffentlicht Ergebnisse einer neuen Studie, die besorgniserregende Sicherheitslücken durch…

Paradigmenwechsel durch das IoT – Private IT-Sicherheit wird geschäftlich, geschäftliche IT-Sicherheit wird privat

  Ein erster Ausblick auf die Neuheiten der kommenden CES (Consumer Electronics Show) zeigt, dass die Annehmlichkeiten des Internets der Dinge auf das tägliche Leben immer häufiger sichtbar werden – von Schrittzählern bis hin zu intelligenten Haarbürsten. Während viele Konsumenten die Annehmlichkeiten dieser Geräte schätzen, sind sich nicht alle den Sicherheitsrisiken bewusst, die IoT-Geräte schaffen…

Beim Einsatz von IoT-Anwendungen gilt in Unternehmen die größte Sorge der IT-Sicherheit

Das Internet of Things ist eine der bedeutendsten Entwicklungen unserer Zeit. Die Vernetzung von Menschen und Dingen wird für Verbraucher immer selbstverständlicher. Und Unternehmen nutzen deren Möglichkeiten, um Produkte besser entwickeln, vermarkten, verteilen und verkaufen zu können. Die Erweiterung von Verbindungen hat die Anfälligkeit für Hackerangriffe exponentiell beschleunigt. BlackBerry Limited hat die Ergebnisse einer weltweiten…

Der ROI ist die größte Herausforderung der IoT-Branche – noch vor der Sicherheit

Während in den Medien vor allem über Sicherheitsbedenken berichtet wird, stellen der betriebswirtschaftliche Nutzen und die Kapitalrendite heutzutage die eigentlichen Herausforderungen für IoT-Verantwortliche dar.   In den zurückliegenden zwölf Monaten wurden mehr als 23.000 Artikel [1] zum Thema IoT-Sicherheit verfasst. Für IoT-Verantwortliche stellt im Jahr 2017 jedoch das Sicherstellen einer Kapitalrendite (ROI) die größte Herausforderung…

IoT: Softwarequalität ist der Schlüssel zur Sicherheit im Internet der Dinge

Die »Totalvernetzung« durch das Internet der Dinge – Internet of Things (IoT) – wird sich künftig auf alle Branchen ausbreiten und die Qualitätssicherung der IoT-Software ist der Schlüssel für die Sicherheit bei dieser Entwicklung. Zu dieser Einschätzung gelangt die internationale Technologieberatung Invensity (www.invensity.com) in ihrem aktuellen Bericht »Visionary Paper: Cyber Security im Zeitalter des Internet…

Sicherheitsrisiken bei IoT-Geräten – Unternehmen und Nutzer sollten Serviceanbieter in die Pflicht nehmen

Always on, das bedeutet in vielen Fällen auch »immer verletzlich« – zumindest wenn es um die Datensicherheit geht. Die Sicherheitsexperten von Palo Alto Networks warnen deshalb vor Sicherheitsrisiken bei IoT-Geräten. Viele Verbraucher unterschätzen dennoch die Gefahr, gehen sie doch davon aus, dass ihre Daten aus Fitnesstrackern und Co. unbedenklich seien. »In einer Welt, in der…

IoT: Internet-gestützte Endgeräte werden trotz Sicherheitsbedenken immer beliebter

IoT-Lösungen werden am häufigsten in Smart Buildings, bei der Videoüberwachung und im Bereich Sicherheit eingesetzt. Die Analysten von Gartner gehen davon aus, dass die Zahl der online angebundenen Endgeräte bis zum Jahr 2020 bei mindestens 20 Milliarden liegen wird. Dieses schnelle Wachstum des »Internet of Things« (IoT) hängt mit der raschen Weiterentwicklung intelligenter Technologien sowie…