Archiv der Kategorie: IOT – IoT-Security

Die vier häufigsten Missverständnisse unter Cloudnutzern

Das fortschrittsfeindliche Werk von wirtschaftsfremden Bürokraten? Oder eine notwendige Modernisierung veralteter Regelungen? Die neue Datenschutz-Grundverordnung der Europäischen Union hat für einige Kontroversen gesorgt. Nun ist sie allerdings beschlossen und in Kraft getreten – mit einer Übergangsfrist bis Mai 2018. Sie ersetzt die längst eingestaubte EU-Datenschutzrichtlinie aus dem Jahr 1995. Doch was das genau bedeutet und was sich ändern wird, ist nicht jedem bewusst.

Das neue Gesetz wurde nicht zuletzt mit dem Ziel verabschiedet, den Datenschutz im digitalen Zeitalter klarer zu gestalten. Gerade auch für Cloudnutzer soll in Zukunft eindeutiger sein, was erlaubt ist und was nicht. Zunächst einmal erreichen die neuen Regelungen jedoch das genaue Gegenteil: Sie sorgen für zusätzliche Verwirrung, wie nun mit Daten in der Cloud umgegangen werden soll.

Deshalb räumen wir im Folgenden mit den vier häufigsten Missverständnissen auf:

Missverständnis Nr. 1: Die Datenschutz-Grundverordnung verbietet Unternehmen, personenbezogene Daten in der Cloud zu speichern

Was müssen Unternehmen beachten, die personenbezogene Daten erheben, archivieren und verarbeiten? Dass sie in Zukunft vollends auf Cloud-Services und SaaS verzichten müssen, ist natürlich eine Fehlinformation. Es besteht neuerdings jedoch die Pflicht, den Datenaustausch mit der Cloud exakt zu dokumentieren. Außerdem sollen Unternehmen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um die unrechtmäßige Verarbeitung personenbezogener Daten und vergleichbares Fehlverhalten zu verhindern. Im Hinblick auf Daten, die nicht als personenbezogen klassifiziert werden können, ist die Richtlinie übrigens weniger strikt – spezifische Maßnahmen oder Vorkehrungen werden hier nicht gefordert.

Missverständnis Nr. 2: Unternehmen aus der Europäischen Union dürfen fortan keine Verträge mehr mit Cloud- oder SaaS-Anbietern abschließen

Die herrschende Verwirrung hat einige Unternehmen dazu bewogen, von Verträgen mit SaaS- und Cloud-Providern vorerst Abstand zu nehmen. Sie verzichten damit auf eine der wichtigsten Innovationen des digitalen Zeitalters – und das letztlich grundlos. Denn entscheidend ist lediglich, dass Unternehmen personenbezogene Daten in der Cloud angemessen schützen und den Datenaustausch dokumentieren. Sind diese Voraussetzungen erfüllt, steht der Nutzung entsprechender Services nichts im Weg.

Missverständnis Nr. 3: Unternehmen, die Daten in der Cloud speichern, erwartet eine Strafe

Wer in der Cloud mit personenbezogenen Daten hantiert, dabei seine Sorgfaltspflicht verletzt und dann Opfer eines Datendiebstahls wird, den erwartet tatsächlich eine Strafe. Sofern diese drei Bedingungen jedoch nicht gleichzeitig gegeben sind, haben Unternehmen nichts zu befürchten. Das einfache Speichern von Daten in der Cloud ist selbstverständlich nicht verboten und wird auch nicht bestraft.

Missverständnis Nr. 4: Kommt es zu einem Datendiebstahl, sehen Cloudnutzer hohen Geldstrafen entgegen

Die neue Datenschutz-Grundverordnung verlangt von Unternehmen, geeignete Maßnahmen zu ergreifen um sicherzustellen, dass alle persönlichen Daten in der Cloud ausreichend geschützt sind. Kommen sie dieser Verpflichtung nicht nach, erwarten sie im Falle einer Kompromittierung der Daten tatsächlich schwerwiegende Geldstrafen. Wer unverschuldet Opfer eines Datendiebstahls wird, hat jedoch keine zusätzliche Bestrafung zu befürchten. Es reicht deshalb aus, in Zukunft ein verstärktes Augenmerk auf Sicherheit zu legen.

Fazit: Die Cloud besser absichern

Die Datenschutz-Grundverordnung der Europäischen Union trifft Cloudnutzer weniger hart als oftmals befürchtet. Doch trotz aller Missverständnisse: Das neue Gesetz konfrontiert Unternehmen mit neuen Anforderungen. Wenn sie personenbezogene Daten in der Cloud speichern wollen, müssen sie in Zukunft verstärkt dafür sorgen, dass diese auch ausreichend geschützt sind. Außerdem muss der Datenaustausch sorgfältig dokumentiert werden. Kommen sie diesen Verpflichtungen nicht nach, erwarten sie Bußgelder in erheblicher Höhe. Das notwendige Know-how müssen entweder die eigenen Mitarbeiter bereitstellen oder externe Dienstleister, die auf Datenschutz und Sicherheit spezialisiert sind. Angesichts der gestiegenen Anforderungen auf die Cloud zu verzichten, wäre natürlich keine gute Idee: Unternehmen würden sich damit der wichtigsten Plattform für die Digitalisierung ihrer Geschäftsprozesse berauben – und somit zwangsläufig hinter ihre Konkurrenz zurückfallen.

Vier Tipps für sichere mobile Anwendungen

Das Ziel muss sein, alle Geräte abzusichern und dabei die Mitarbeiter nicht bei ihrer Arbeit einzuschränken. Da ständig neue Geräte auf den Markt kommen und die mitgebrachten Geräte stetig wechseln, ist es nicht ausreichend, die einzelnen Endgeräte im Netzwerk durch Mobile Device Management (MDM) oder Single Sign-On (SSO) abzusichern. Diese Schritte sind zwar nützlich, reichen aber nicht aus, wenn die auf dem Gerät vorhandenen Anwendungen nicht sicher sind. Hierbei hilft nur die Integration von Sicherheitskontrollen für jede mobile Unternehmens-App.

Da die Bring-Your-Own-Device-Philosophie heutzutage in kaum einem Unternehmen vermieden werden kann, gibt Julian Totzek-Hallhuber, Solution Architect beim Anwendungssicherheits-Spezialisten Veracode, im Folgenden vier Tipps für die sichere Bereitstellung von mobilen Apps und Geräten in Unternehmen:

  1. SQL Injections sind immer noch eine weit verbreitete Schwachstelle. Entwickler müssen nicht-vertrauenswürden Input davor schützen, als Teil eines SQL-Befehls interpretiert zu werden – und im Grunde ist alles, was aus dem Internet kommt, als nicht-vertrauenswürdig einzustufen. Der beste Weg, um SQL Injections zu stoppen, ist der Einsatz von parametrisierten Abfragen.
  1. Passwörter werden immer noch zu fahrlässig ausgewählt, niedergeschrieben oder gespeichert. Am sichersten ist es, aktuelle Verschlüsselungstechniken anzuwenden, um Passwörter zu schützen – beispielsweise einen nicht umkehrbaren Verschlüsselungsalgorithmus. Doch auch schon ein zufällig generierter Zahlencode hilft.
  1. Eine Anwendung sollte immer eine erneute Authentifizierung vom Nutzer erfordern, bevor eine Transaktion abgeschlossen wird. So wird ein Hijack der Nutzersitzung verhindert. Zudem sollte die App selbst Gebrauch von einer Multi-Faktor-Authentifizierung machen, sodass kein Fremder darauf zugreifen kann. Sollte dies nicht möglich sein, kann die Authentifizierung auch entsprechend in das SSO- oder MDM-Tool eingebunden werden.
  1. Zuletzt ist es unerlässlich, die Schwachstellen der gewählten Programmiersprache zu kennen und dafür zu sorgen, dass der Code vor diesen sicher ist. Die gängigsten Schwachstellen finden sich in der Top-10-Liste des Open Web Application Security Project (OWASP). Ideal wäre es, wenn die Entwickler wüssten, wie sich jede dieser Schwachstelle finden und fixen lässt. Doch es gibt auch unzählige Tools (z. B. von Veracode), die beim Aufspüren helfen können.

Für Unternehmen ist es sinnvoll, den Angestellten zu erlauben, ihre eigenen Geräte für die Arbeit zu nutzen und Unternehmensanwendungen für diese Geräte bereitzustellen. Dies spart enorme Kosten für die ständige Anschaffung aktueller Firmengeräte und die Mitarbeiter können ihre Arbeitszeit und den -ort flexibler gestalten. Auch die IT hat hierdurch keinen höheren Verwaltungsaufwand, denn auch für firmeneigene Geräte müssten die gleichen Sicherheitsvorkehrungen getroffen werden. Wichtig ist nur, dass Unternehmen sich umfassend über mögliche Risiken informieren und nicht davor zurückschrecken, Hilfe in Form von Expertenfachwissen anzunehmen. Anwendungssicherheit ist unverzichtbar, machbar und vor allem bezahlbar – man kann sich nur nicht vor Angriffen schützen, mit denen man überhaupt nicht rechnet.

Wenn Daten das neue Öl sind, warum verhalten wir uns dann nicht auch so?

Springer-Chef Matthias Döpfner, BITKOM-Präsident und Datev-Chef Dieter Kempf oder GfK-CEO Matthias Hartmann – um nur einige wenige zu nennen – sie alle haben den Vergleich von Daten mit Gold oder Öl hinsichtlich der ökonomischen Bedeutung bereits bemüht. Doch wie es scheint, überlassen wir es in der praktischen Gegenwart eher den Tech-Konzernen aus den USA, diese immateriellen Bodenschätze zu heben. In Deutschland beschränkt man sich bislang auf die Rolle als Rohstofflieferant – in der Regel gegen Glasperlen. Schlimmer noch: Unvorstellbar, dass ein westlicher, marktwirtschaftlich geprägter Staat auf die Idee gekommen wäre, reichhaltiges Ölvorkommen um jeden Preis von der Vermarktung fernzuhalten, den Verkauf möglichst zu unterbinden, ja sogar unter Strafe zu stellen, anstatt aus diesem Ressourcenglücksfall einen Markt zu schaffen, der das ökonomische System beflügelt, für Wohlstand sorgt und somit über Besteuerung auch der öffentlichen Hand Einnahmen beschert. Würde dazu noch der Rohstoff an andere Staaten verschenkt, würden Konzessionen und unbegrenzte Zugriffsrechte auf die Ressourcen ermöglicht und sogar forciert – die politisch Verantwortlichen dürften normalerweise mit Schimpf und Schande aus dem Amt gejagt werden.

Der Unterschied zwischen Daten und Öl

Beim Öl und beim Gold wäre dieses Szenario schlicht undenkbar. Bei Daten jedoch passiert in Deutschland genau das. Während die inländische Wirtschaft in ein immer engeres Korsett gepresst wird, was die Verwendung von personenbezogenen Daten betrifft, unterliegen gleichzeitig aber deren internationale, vor allem US-amerikanische Konkurrenten aufgrund der internationalen Vernetzung naturgemäß nicht den selben Beschränkungen. Noch viel schlimmer jedoch: Eigentlich besteht die Aufgabe des Staates, ja im Schutz der Bürger und deren Interessen sowie darin, die ökonomische und gesellschaftliche Funktionsweise sicherzustellen. Tatsächlich aber beschränkt er Wirtschaft und Bürger in ihrer Handlungsfreiheit und ihren Rechten, protegiert er konkurrierende Unternehmen aus dem Ausland, wie Google und Facebook, sowie ausländische Geheimdienste wie die NSA im gleichen Maße. Ökonomisch führt dies zu einer Marktverzerrung zu Lasten der Unternehmen im eigenen Land, ja sogar zu staatlich unterstützter Industriespionage. Aus gesellschaftlicher Perspektive ist dies hingegen als Verramschung von Volkssouveränität und Rechtsstaatlichkeit zu werten.

Es bedarf einer Wertediskussion um die „Datenidentität“

Offensichtlich brauchen wir dringend eine Diskussion um den Wert und die Bedeutung von Daten in unserer immer digitaleren Welt: Wem gehören Daten? Wer ist ihr Eigentümer? Und wer hat das Recht diese zu vermarkten – derjenige, der sie erhebt und veredelt oder derjenige, in dessen „Sphäre“ sie angefallen sind? Die Rechtswissenschaft meint gemeinhin zumindest bei Personendaten hier klare Antworten geben zu können. Doch wie verhält es sich bei Maschinen- und Objektdaten im „Internet der Dinge“? Und lässt sich dann noch eine Trennung zwischen dinglichen und „menschlichen“ Daten vollziehen? Auch wenn die Bereitschaft in der Bevölkerung für einen entsprechenden Diskurs derzeit nicht allzu hoch ist und die digitale Kompetenz der politischen Entscheidungsträger in der überwiegenden Zahl der Fälle bei weitem nicht ausreicht, um substanziell an der Diskussion teilzunehmen: mit der Datenfrage berühren wir inzwischen die grundlegenden Prinzipien unserer „Freiheitlich Demokratischen Grundordnung“. Wenn Daten tatsächlich diese eminent hohe Bedeutung zukommt, ist es essentiell für Demokratie und Rechtsstaatlichkeit, dass wir bürgerliche Datenrechte und Selbstverantwortlichkeiten sowie den Schutz vor staatlicher Willkür und Missbrauch verfassungsrechtlich verankern.

Unternehmerisches Versagen bei der Datenwertschöpfung

Der Staat ist letztlich immer nur die Summe seiner Teile. Neben dem Wahlvolk tragen eben auch die Unternehmen ihren Teil der Schuld an diesem Problem bei. Viel zu lax wird mit dem eigenen „Datenvermögen“ umgegangen. Datengetriebene Geschäftsmodelle der Industrie, etwa in den Schlüsselsegmenten Maschinenbau und Automobil, jenseits von bloßer „Prozessoptimierung“ findet man selten. Gerade auch die Medienbranche offenbart hier eklatante Kompetenzprobleme: Im Kampf mit Google haben die deutschen Verleger ein mehr als zweifelhaftes „Leistungsschutzrecht“ mittels massivem Lobbyismus durchgesetzt. Dadurch sollen die Inhalte der Verlage besser geschützt werden. Gleichzeitig – trotz des „Daten-sind-das-neue-Öl“-Mantras – nutzt die überwältigende Mehrheit der deutschen Medienunternehmen Googles AdServer „Double Click“ zur Ausspielung von Werbung auf den eigenen medialen Plattformen. Damit erhält der Datenriese aus Mountain View den kompletten Zugriff auf deren sämtliche Nutzer – und wird dafür von den Verlagshäusern auch noch bezahlt. Während man also auf der einen Seite über das Recht an den Verpackungsmaterialien streitet, bezahlt man auf der anderen Seite noch dafür, Gold und Öl, das eigentliche Produkt, eimerweise verschenken zu dürfen. Paradox? Ja. Aber Realität im deutschen digitalen Klondike.

Der Beitrag erschien ursprünglich auf Nerdwärts.de

Vernetzte Autos: Ahnungslosigkeit und Sicherheitslücken öffnen Tür und Tor für Hacker

Die traditionsbewusste Automobilbranche stellt die Transformation vom Auto zum „rollenden Computer“ vor ganz neue Herausforderungen: So sieht sie sich nicht nur mit einem starken Wettbewerb konfrontiert, sondern muss auch in Sachen IT-Sicherheit neue Konzepte und Standards einführen. Denn dass vernetzte Fahrzeuge auch immense Risiken bergen, zeigt sich spätestens immer dann, wenn Sicherheitslücken und Hacker ins Spiel kommen. Vor allem im letzten Jahr bestimmten Schlagzeilen über spektakuläre Angriffe von Car-Hackern und gefährliche Manipulationen an unseren Autos die Nachrichten – von der potenziell lebensgefährlichen Fernsteuerung eines Jeeps bis zum Airbag-Hack. Auch wenn diese Hacks allesamt kontrolliert durchgeführt wurden und nicht von realen Cyberkriminellen, so zeigten sich doch in verschiedensten Modellen unterschiedlicher Hersteller signifikante Sicherheitslücken.

Vielfältige Angriffsmöglichkeiten
In einem modernen Fahrzeug sind bereits heute bis zu 100 Mikrocomputer verbaut, die unter anderem Lenkung, Bremsen oder Triebwerksbeschleunigung steuern. Hinzu kommen Infotainment-Systeme und Wi-Fi-Netzwerke für die GPS-Navigation sowie mobile Smartphone-Apps, die mit dem Auto kommunizieren. Cyberkriminellen bieten sich also viele Angriffspunkte, über die sie sich Zugriff zur Software eines Fahrzeugs verschaffen können. Dabei lassen sich grob zwei Angriffsszenarien unterscheiden: Physische Angriffe, bei denen sich der Hacker zunächst Zugang zum Fahrzeug verschafft und direkt am Auto manipulieren kann, z.B. mittels Code-Injection-Techniken, sowie Angriffe aus der Ferne, sogenannte Remote-Angriffe. Hier können Hacker Malware z.B. über Navigationssysteme, mit Bluetooth oder USB verbundenen Devices, SMS-Schnittstellen oder über manipulierte Smartphone-Apps einschleusen und weitere Fahrzeug-Anwendungen infizieren. Bereits vor knapp einem Jahr demonstrierte der Sicherheitsforscher Samy Kamkar, wie er über eine Sicherheitslücke in der beliebten OnStar-App von GM Fahrzeugfunktionen manipulieren kann. Nachdem es ihm gelungen war, sich zwischen die App und den Server des Unternehmens zu schleusen, erlangte er Zugriff auf alle App-Funktionen und konnte anschließend Autotüren fremder Wagen öffnen und sogar den Motor starten. Autodiebstahl 2.0 eben.

Die im Auto verbauten Systeme wandeln sich zudem zunehmend weg von Mikrocontrollern hin zu Mehrprozessorarchitekturen von ARM und Intel mit komplexeren Betriebssystemen, wie wir sie von PCs und mobilen Geräten her kennen. Typische Beispiele sind die in der Head-Unit und der Mittelkonsole verbauten Systeme. Damit werden die bereits zahlreich bekannten Angriffe auch auf diesen Systemen möglich. Hinzu kommt, dass OEMs oder auch die Zulieferindustrie die Software nicht gänzlich selbst schreiben, sondern einen Drittmarkt eröffnen. Sie verteilen Software Development Kits (SDK), um attraktive und bekannte Software auf ihre Plattformen zu bekommen. Und auch diese SDKs bieten potenzielle Angriffsmöglichkeiten.

Sicherheitsbewusstsein auf Seiten der Nutzer – Sicherheitsstandards auf Seiten  der Hersteller
Um Szenarien wie diese zukünftig verhindern zu können, bedarf es gezielter Aufklärungsarbeit, gesteigertem Sicherheitsbewusstsein und moderner Sicherheitstechnologien auf jeder Ebene der Fahrzeug-Technik.  Wie groß die Unwissenheit vieler Autofahrer in Sachen Car-IT ist, zeigt auch die Studie von BearingPoint und TNS. Demnach sind sich 39 Prozent der der Autobesitzer nicht einmal darüber bewusst, dass vernetzte Funktionen in ihren Fahrzeugen vorhanden sind. Und auch auf Seiten der Händler werden Fehler gemacht: So gaben nur 40 Prozent aller Befragten an, über die technischen Funktionen ihres Autos ausreichend informiert worden zu sein. Viele monierten zudem die fehlenden Kenntnisse der Händler in Bezug auf vernetzte Funktionen. Ein großes Risiko, denn nur wer gut über die im Fahrzeug eingebetteten Anwendungen informiert ist, wird auch verfügbare Softwareupdates regelmäßig herunterladen, was im Falle entdeckter Sicherheitslücken unabdingbar ist. Autohersteller müssen ferner darauf achten, dass Softwareaktualisierungen auch jenseits der Werkstatt einfach via Mobilfunknetz ins System überspielt werden können. Denn je geringer der Aufwand für ein Update ist, desto wahrscheinlicher ist es, dass der Fahrzeugnutzer dieses auch zeitnah installiert. Natürlich sind auch hier höchste Sicherheitsmaßnahmen notwendig, damit die Mobilfunkverbindung  keine neue Risikoquelle eröffnet.

Aber auch auf Seiten der Softwareentwickler müssen neue Sicherheitsstandards etabliert werden. Jegliche im Fahrzeug eingebettete Software sowie alle mobilen Apps, die mit dem Auto interagieren müssen mit wirksamen Härtungs-Technologien ausgestattete sein, die den Binärcode der Anwendungen vor jeglichen Manipulationen schützt und das Einschleusen von Malware verhindern. Zudem gilt es sicherzustellen, dass die Anwendungen ausschließlich mit den „richtigen“ Servern kommunizieren.

Wie wahrscheinlich ist ein Angriff auf mein Auto?
So beunruhigt mancher Autofahrer bei all den Schlagzeilen rund um gehackte Autos auch sein mag, bisher haben Cyberkriminelle kein wirkliches Interesse an Autos und ihren Unterhaltungssystemen gezeigt. So hat es bisher keinen öffentlichen Fall eines durch einen Hackerangriff verursachten Unfalls gegeben. Dass Connected Cars noch nicht im Hauptfokus der Hacker liegen, dürfte vor allem dem Mangel finanzieller Anreize geschuldet sein. Das Hacken von PCs und Mobilgeräten, die jede Menge wertvolle Banking- und Kredtitkartendaten enthalten, aber auch Cyber-Angriffe auf vernetzte Industrieanlagen sind deutlich profitabler. Wenngleich auch Fahrzeug-Software eine Reihe von Betrugsmöglichkeiten mit finanziellen Vorteilen bereithält. So entsteht laut einer Untersuchung des ADAC durch manipulierte Tachos jährlich ein Schaden von rund sechs Milliarden Euro. Private Gebrauchtwagenkäufer bezahlten für derart manipulierte Autos im Schnitt 3000 Euro zu viel. Aber auch Ideen wie automatisches Zahlen an Tank- und Elektroladestellen, über die heute bereits nachgedacht wird, dürften das Hackerherz erfreuen. Aus Sicht der Security ergeben sich hier dann dieselben Herausforderungen wie beim mobilen Bezahlen mit Handy und Co.

Ausschließen lassen sich Hackerangriffe auf Fahrzeuge in Zukunft selbstverständlich nicht, wobei wir uns eher vor Datenklau und illegalen Überwachungen fürchten sollten als vor Manipulationen von Bremse und Co. Auch dürften Dienstwägen und Fahrzeugflotten von Unternehmen gefährdeter sein als Privat-Autos.

Die Zukunft fährt autonom
Noch hat die Digitalisierung und Vernetzung unserer Mobilität ihren Höhepunkt nicht erreicht, denn die Zukunft gehört dem autonomen Fahren. Fahrerlose Autos oder LKWs sollen in den kommenden Jahren nicht nur Komfort und Effizienz erhöhen, sondern vor allem für mehr Sicherheit im Straßenverkehr sorgen. Damit dieser Ansatz aber letztlich aufgeht und die gewollte Sicherheit nicht mehr Unsicherheiten mit sich bringt, müssen Automobilhersteller und Technologie-Unternehmen reichlich in den Schutz unserer Car-IT und die dazugehörige die Aufklärungsarbeit investieren.

Von Produktionsausfall bis Spionage – Warum sich die Industrie gegen Hackerangriffe rüsten muss

Die zunehmende Verschmelzung von IT und Automatisierungstechnik und die daraus resultierende intelligente Zusammenarbeit aller am Produktionsprozess beteiligten Komponenten versprechen dem Unternehmen Effizienzsteigerung,  eine Flexibilisierung des Ressourcenmanagements und nicht zuletzt eine Individualisierung der Massenproduktion. Schon heute steht fest: Um dauerhaft wettbewerbsfähig zu bleiben, müssen Unternehmen die Potenziale der Digitalisierung voll ausschöpfen.

Zunehmende Vernetzung bedeutet Gefahrenanstieg

Security-Experten begegnen der Idee der smarten Fabrik indes mit Misstrauen, da sie in Hinblick auf Datenschutz, Schutz des geistigen Eigentums und möglicher Manipulationen der Produktionsanlagen von außen enorme Sicherheitsrisiken mit sich bringt. Tatsache ist, dass ein Großteil der bestehenden Industrieanlagen weder für eine Vernetzung mit dem Internet konzipiert, noch mit einem Fokus auf IT-Sicherheit entwickelt wurde. Während die wertvollen Produktionsmaschinen heute höchsten physischen Schutz durch modernste Überwachungs- und Alarmanlagen genießen, wird die Sicherheit der mindestens ebenso wertvollen Software hingegen sträflich vernachlässigt – mit fatalen Folgen. Unzureichend geschützte Netze, Applikationen und embedded Systeme können für Industrieanlagen zur großen Gefahr werden, denn sie sind Einfallstor für Cyberkriminelle und Hacker. Sind die Angreifer erst einmal in eine Anwendung vorgedrungen, können sie Anlagen, Maschinen und Abläufe nach Belieben manipulieren oder fremdsteuern. Von vereinzelten Störungen innerhalb der Produktionsabläufe bis hin zum kompletten Stillstand, von Stromausfällen, dem Verlust sensibler Unternehmensinformationen bis hin zur Industriespionage – die denkbaren Szenarien für Hackerangriffe auf Industrieanlagen oder kritische Infrastrukturen sind vielfältig.

Wie real diese Gefahren tatsächlich sind, zeigte sich nicht nur 2010, als der Computerwurm Stuxnet eine iranische Urananreicherungsanlage sabotiert hat, sondern auch  im Jahr 2014, als Cyberkriminelle den Hochofen eines deutschen Stahlwerkes manipulieren konnten und ein geregeltes Herunterfahren des Ofens verhindert haben. Auch die Schäden, die Industriespionage und Reverse Engineering nach sich ziehen, können beziffert werden. Wie der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA) in seiner aktuellen Studie zur Produktpiraterie ermittelt hat, entstehen Unternehmen in Deutschland durch den illegalen Nachbau von Maschinen und Anlagen jährlich Schäden in Höhe von 7,3 Milliarden Euro. Immerhin 70 Prozent der deutschen Unternehmen sind von illegalen Plagiaten betroffen. Reverse Engineering ist dabei mit 69 Prozent die häufigste Ursache von Plagiaten.

Vernetzte Produktionstechnologie erfordert ein Umdenken in Sachen IT-Security

Wenn Unternehmen von der Idee der Industrie 4.0 dauerhaft profitieren und einen klaren Wettbewerbsvorteil schaffen möchten, müssen sie daher nicht nur in die technische Aufrüstung ihrer Produktionsstätten und die Vernetzung ihrer Standorte investieren, sondern auch bestehende Sicherheitsstandards überdenken und aktualisieren. Traditionelle Sicherheits-Tools zum Schutz vor traditionellen Bedrohungen sind dabei weiterhin unabdingbar, müssen jedoch an die zunehmende Vernetzung angepasst und daher um neue innovative Abwehrmethoden ergänzt werden. Dass klassische Anti-Virus-Lösungen, Firewalls oder statische Verschlüsselungs- und Verschleierungsprogramme keinen ausreichenden Schutz bieten, ist längst bekannt, und doch sind wirksame, in den Programmen und Anwendungen fest verankerte Schutzmaßnahmen eine Ausnahme. Was die Industrie braucht sind Sicherheitslösungen, die die einzelnen Anwendungen und embedded Systeme in ihrem Inneren härten und vor Manipulationen, Reverse Engineering oder dem Einschleusen von Malware schützt. Nur wenn alle im Produktionsablauf beteiligten Applikationen selbst in der Lage sind, Angriffe zu erkennen und diese unabhängig von äußeren Schutzmaßnahmen abzuwehren kann, kann Sicherheit garantiert werden. Dabei sollte allerdings  die Verfügbarkeit aller kritischen Daten und Systeme stets gewährleistet sein. Die Sicherheitslösung darf laufzeitkritische Anwendungen niemals beeinträchtigen. Behindert oder verzögert etwa das Herunterladen eines Sicherheitsupdates einzelne Produktionsabläufe, kann es zu Fehlproduktionen oder Produktionsrückständen kommen.

In einer vernetzen Welt, in der die Digitalisierung rasant voranschreitet und auch in unseren Fabriken immer weiter Einzug hält, werden wir zwangsweise mit einer ständig wachsenden Zahl an Sicherheitslücken konfrontiert, die hin und wieder zu leichten, zunehmend aber auch schwerwiegenden Sicherheitspannen führen werden. Umso wichtiger ist es, dass sich Unternehmen ihrer Verantwortung bewusst sind und umfassende Security-Konzepte entwickeln, die die Sicherheit von Industrieanlagen und ihrer Software gezielt im Blick haben und jegliche Art von Cyberkriminalität adressiert. Nur so kann Industrie 4.0 letztlich erfolgreich funktionieren.

Internet der Dinge vergrößert Angriffsfläche für Cyber-Angriffe

(Maidenhead Berkshire, ) Dadurch ergeben sich ungeahnte Möglichkeiten. Eine Folge davon: Computer, wie wir sie heute kennen, werden allmählich durch intelligente, eigenständige Objekte ersetzt. Diese Vision wird mehr und mehr Realität: Je nach Schätzung werden bis 2020 zwischen 25 bis 50 Mrd. IoT-Geräte weltweit vernetzt sein.

Bei so viel Licht fällt auch Schatten: Computersysteme, die mit einem weltweiten Datennetzwerk verbunden sind, sind potenziell angreifbar. Das gilt auch für die oft winzigen Embedded Computer, die in IoT-Produkten zum Einsatz kommen. Angesichts der enormen Reichweite des Internets ist daher bei der Auslegung der Produkte sowie für Maßnahmen, die die von ihnen verarbeiteten Daten schützen sollen, eine besondere Sorgfalt erforderlich. Sonst besteht die Gefahr, dass Unternehmen, die das Internet der Dinge nutzen, einer potenziell erhöhten Gefahr gegenüber Cyber-Angriffen ausgesetzt sind.

Roland Messmer, Regional Director Central EMEA von LogRhythm, kommentiert:

„Viele Unternehmen sind sich der Sicherheitsgefahren nicht bewusst, die IoT mit sich bringt – oder sie ignorieren diese. Oft nimmt IoT innerhalb ihrer IT-Sicherheitsstrategie keinen hohen Stellenwert ein. Ein fataler Fehler, wie ein Beispiel verdeutlicht: Ein smarter, vernetzter Kühlschrank ist sicher praktisch. Doch kann das Gerät Sicherheitslücken beinhalten, über die Hacker sich möglicherweise Zugriff auf das Firmennetzwerk verschaffen können. Hier sollten Firmen nicht die Kreativität der Kriminellen unterschätzen! Hinzu kommt, dass mit der Zahl der vernetzten Gegenstände auch die Zahl angreifbarer Schwachstellen wächst.

Eine große Herausforderung für Unternehmen ist der Umgang mit den Daten, die diese IoT-Geräte über das Netzwerk senden. Angesichts des ständig wachsenden Datenvolumens benötigen Firmen einen bei weitem besser koordinierten und effizienteren Ansatz für das Aufdecken von Bedrohungen und das Ausführen geeigneter Gegenmaßnahmen. Sicherheitsteams sollten ihre Netzwerke heutzutage kontinuierlich überwachen, denn angesichts der zunehmenden Verbreitung des IoT wird das Aufspüren von Bedrohungen immer schwieriger. Die meisten Unternehmen haben viel Geld in Technologien investiert, die stündlich tausende Gefahren entdecken können. Doch dieser konstante Datenstrom potenzieller Gefahrenmeldungen kann IT-Sicherheitsteams überfordern.

Daher sind intelligente Sicherheitsmechanismen heute wichtiger denn je. Sie versetzen Organisationen in die Lage, die tatsächlich risikoreichen Bedrohungen herauszufiltern. Dadurch lässt sich Zeit für das Erkennen und Reagieren auf die relevanten Bedrohungen verkürzen. Solange Unternehmen ihre Netzwerküberwachung und die Antwortzeiten nicht verbessern, besteht die Gefahr, dass sie ihre vorhandenen Sicherheitsstrategien gefährden und geschäftswichtige Informationen einem erhöhten Risiko aussetzen.“

Terror, Cyber, Wetter: Deutschen Unternehmen drohen Höchstschäden

Deutschen Unternehmen drohen in diesem Jahr Höchstschäden. „Islamistischer Terror, Cyber-Angriffe und Wetter-Katastrophen – das Problem bei all diesen Bedrohungen ist: Wenn ein Schadenfall eintritt, wird er in der Regel sehr teuer“, sagt Hartmuth Kremer-Jensen, Mitglied der Geschäftsführung bei Aon in Deutschland. Der Versicherungsmakler legte jetzt eine Marktprognose für das Jahr 2016 vor.

Danach wird der islamistische Terrorismus in diesem Jahr staatliche Institutionen und Unternehmen in Deutschland vor große Herausforderungen stellen. „In den vergangenen Jahren war es häufig der Wachsamkeit der Sicherheitsbehörden oder glücklichen Umständen zu verdanken, dass Deutschland von großen Terroranschlägen verschont blieb. Doch die Ziele der Terroristen sind hierzulande die gleichen wie in Frankreich, in der Türkei und in Indien: Ereignisse mit großen Menschenansammlungen, Verkehrsknotenpunkte, sensible Infrastrukturen“, sagt Kremer-Jensen.

Laut Aon müssen Behörden und Unternehmen daher vor allem in deutschen Großstädten wie Berlin als Hauptstadt, Hamburg, München und Frankfurt als Finanzdienstleistungsstandort ein besonderes Augenmerk auf das Thema Sicherheit legen. „Aber in diesem anspruchsvollen Absicherungssegment wird auch die Versicherungswirtschaft besonders gefordert sein. Innovative Ansätze zum Terrorismus-Risikomanagement, Gefährdungseinschätzungen sowie Risikomodelle mit Höchstschaden- und Schwachstellenanalysen bilden dann die Basis für Versicherungskonzepte, die der Bedrohung gerecht werden müssen“, sagt Kremer-Jensen.

Auch die Cyber-Risiken der Unternehmen werden laut Aon-Prognose in diesem Jahr steigen – aufgrund des Trends zu Industrie 4.0. „Die Nutzung von miteinander kommunizierenden Maschinen in betrieblichen Produktions- und Bestellprozessen nimmt zu. Das stellt eine besondere Herausforderung für die Datensicherheit dar“, sagt Kremer-Jensen. Denn durch die fortschreitende Vernetzung würde die Verletzlichkeit der Unternehmen erhöht. Einen hundertprozentigen technischen Schutz gegen professionelle Hacker werde es aber nicht geben können. Die Versicherungsbranche sei somit gefordert, den Unternehmen ein effektives Risikomanagement kombiniert mit passenden Versicherungslösungen anzubieten.

Wetter-Risiken stellen, so die Aon-Prognose, die dritte große Gefahr für Unternehmen dar. „Überschwemmungen und Stürme werden auch im Jahr 2016 schwere Schäden anrichten und die Firmen vor große Herausforderungen stellen. Denn die Versicherer sind nur begrenzt bereit, Versicherungsschutz zu gewähren. Und wenn sie dazu bereit sind, lassen sie es sich teuer bezahlen. Unternehmen werden daher bei der Suche nach Deckungsschutz sehr strategisch und zielorientiert vorgehen müssen“, sagt Kremer-Jensen. Die entscheidende Frage werde oft sein, ob bei besonders hoher Gefahrenlage – also großen wahrscheinlichen Höchstschäden – Zusatzabdeckungen sinnvoll seien.

Die vollständige Prognose von Aon über die Entwicklungen auf dem deutschen Versicherungsmarkt im Jahr 2016 gibt es hier.