Alle Beiträge von Sukamal Banerjee

Der 4-Punkte Security Plan

Der erste Schritt bei der Sicherung des IoT ist, zu verstehen, woher die Bedrohungen kommen und wer die Angreifer sind. Von unmittelbarer Bedeutung für Unternehmen werden passive Angreifer werden, die versuchen einen Vorteil aus Sicherheits-Schwachstellen in IoT-Geräten und Netzwerken zu ziehen und vertrauliche Daten zu stehlen. Diese Angriffe sind mitunter schwierig zu erkennen, da viele wohl von Unternehmensmitarbeitern selbst ausgehen. Unternehmen müssen deswegen auch intern auf der Hut sein.

Bedrohungen identifizieren

Weitere schwere Bedrohungen entstehen durch aktive Angreifer, die IoT-Geräte mit Remote-Zugriffsversuchen oder IoT-Netzwerke mit Techniken wie Sybil oder DDoS-eindringen, um Funktionsausfälle und Störungen zu verursachen. Solche Angriffe können schwere Konsequenzen nach sich ziehen: Dazu gehört, dass medizinische Geräte in einem Operationssaal im Krankenhaus einfach von außerhalb ausgeschaltet werden können. Eine Reihe von publizierten Fällen von Hackervorfällen hat bereits gezeigt, dass die Schwachstellen in Wireless-Webcams, CCTV-Kameras und sogar Babyfons ausgenutzt werden, um Personen auszuspionieren.

Wenn die Ausnutzung eines Sicherheitsproblems erst einmal gegen Unternehmensnetzwerke verwendet wird, was sicherlich meistens der Fall sein wird, ist das Risiko einer Störung immens.

In vier Schritten zu sicheren Anwendungen

Unternehmen, die IoT wirksam einsetzen, können sich es nicht leisten überrascht zu werden. Sie müssen neue Sicherheitsstrukturen entwickeln, die sich über die gesamten Cyberdienste und physische Strukturen erstrecken: Von der Device-Level-Authentifizierung bis hin zur Anwendungssicherheit und robusten Datensicherungsmaßnahmen.

Jedes Unternehmen ist anders, weswegen es keinen allgemeingültigen Ansatz gibt, um eine IoT Sicherheitspolitik zu schaffen. Aber es gibt eine Reihe von relevanten Aspekten, die berücksichtigt werden müssen:

  1. Sichere Entwicklung – eine Reihe von unsicheren Funktionen und Programmen in IoT-Geräten schaffen eine Schwachstelle in der Sicherheitskette, deshalb sollten Entwicklungsteams den Code ihrer IoT-Anwendungen überprüfen, um Unsicherheiten zu identifizieren. Es ist außerdem wichtig, die Herausforderungen der Fehlerbehebung großer Netzwerke von IoT-Sensoren und Geräte zu berücksichtigen, um alle neu entdeckten Schwachstellen auf die gleiche Art und Weise zu beheben, wie es auch bei einem Laptop oder Smartphone gelingen würde.
  1. Verschlüsselung von Daten – drahtlose Kommunikation und Protokolle in IoT sind meistens offen. Begrenzte Ressourcen für Sensoren und kleinere Geräte mit starken Algorithmen zur Datenverschlüsselung und Übertragung lassen sie anfälliger für Angriffe werden. Aus diesem Grund ist ein sorgfältig durchdachter Ansatz zur IoT-Sicherheit notwendig. Laut einem aktuellen Bericht greifen 70% der Internet-Geräte auf unverschlüsselte Netzwerk-Dienste zu. Sensible Daten sollten deswegen vor der Verwendung für jeden unbrauchbar gemacht werden, der in das Netzwerk eindringt.
  1. Datenschutz –Menschen sind zu Recht um ihre Privatsphäre besorgt, die durch Maschinen und Geräte angegriffen wird, indem sie Daten über Verhalten und Bewegungen sammeln. Es ist jedoch wichtig zu gewährleisten, dass Innovationen dadurch nicht gebremst werden. Einer der besten Ansätze wäre es erbeutete Daten zu anonymisieren, so dass jede unnötige PII zu Personen unterbunden und ihre Privatsphäre geschützt wird.
  1. Zugangsverwaltung – IoT-Geräte und Sensoren werden oftmals „over the air“ programmiert und sind deswegen anfälliger dafür, aus der Ferne gehackt zu werden. Unternehmen benötigen einen soliden Identifizierungsmechanismus, der die Verwendung digitaler Signaturen enthält. Damit kann sichergestellt werden, dass nur glaubwürdige und autorisierte Befehle und Codes von IoT-Geräten und Sensoren empfangen werden. Es wird notwendig werden rollenbasierte Zugriffsrechte zu implementieren, um die Gefahr von Insider-Bedrohungen von Mitarbeitern, Partnern und Lieferanten zu reduzieren, die Zugriff auf Daten, Geräte und Sensoren haben, die außerhalb ihres Zuständigkeitsbereichs liegen.

 

Es braucht neue, innovative Lösungen. Man kann nicht davon ausgehen, dass Standardpraktiken der Netzwerk-Sicherheit ausreichen, um alle Formen von Geräten abzudecken.

Kein einziges Unternehmen kann diese Art von Sicherheitsproblemen alleine lösen. Regierungsbehörden, die Wissenschaft und globale Unternehmen müssen zusammenarbeiten und schnell reagieren, um mit angemessener Kraft, soliden Sicherheitsmaßnahmen und Infrastrukturen aufzubauen.

Eine große Herausforderung ist es, Sicherheit zu gewährleisten. Diese muss jedoch in einer beschleunigten und fokussierten Weise umgesetzt werden, um das volle Potenzial des Internets der Dinge zu gewährleisten. Die potenziellen Vorteile, die sich aus dem Einsatz der Technologie ergeben, überwiegen die Sicherheitsrisiken bei weitem – während also die Sicherheitsanforderungen verstärkt werden, sollte die Einführung des Internets der Dinge fortgesetzt und beschleunigt werden.

Wie das Internet der Dinge die Unternehmenslandschaft verändert

Dies ist die Geschichte einer neuen Technologie. Über die Jahre hat sie sich schon viele Male abgespielt. Die Möglichkeiten der neuen Transformationstechnologie stoßen zunächst auf überschäumende Begeisterung, werden in den ersten Testzyklen und Phasen der Verbesserung dann von düsteren Befürchtungen abgelöst. Und am Ende wird die neue Technologie dann doch mit dem verbreiteten Glauben aufgenommen, dass sie positiven Wandel bringt. Das war jüngst bei der Einführung von Cloud-Computing und Big Data so, und aktuell ist es bei dem Internet der Dinge (IoT) zu beobachten.

Die letzten Jahre waren gespickt mit Geschichten von intelligenten Maschinen, die miteinander kommunizieren und Berichten über nutzerfreundliche, smarte Geräte. Diese neuen Veränderungen bringen natürlich auch neue Bedenken, wie Interoperabilität und Sorgen um die Sicherheit mit sich. Trotzdem profitieren die Ersten schon von dem Wandel.

Vertrauensvorschuss

Immer mehr Konzerne – vom Start-up bis hin zu großen Unternehmen – stellen sich auf das IoT ein. Eine IDC-Studie berichtet, dass 73% der Befragten IoT-Lösungen bereits im Einsatz haben oder planen dies innerhalb des nächsten Jahres zu tun. Das disruptive Potenzial dieser Technologie gewinnt schnell Anerkennung.

In der Gesundheitsbranche gaben 72% der Befragten an, dass sie das IoT als transformierend einstufen, das glauben auch 67% der Befragten aus dem Transportwesen und 66% aus der Fertigung. In Europa wird die IoT-Initiative unter dem Sammelbegriff Industrie 4.0 zusammengefasst und ist eine handfeste Bewegung.

In Deutschland wurden zuletzt beispielsweise mehrere „Kompetenzzentren“ eröffnet, um die IoT-Einführung für kleine und mittlere Hersteller zu katalysieren.

Jetzt, da das Internet der Dinge große Fortschritte verzeichnet, müssen Unternehmen das IoT ernst nehmen. Grundsätzlich bedient sich die Technologie intelligenter Maschinen von unterschiedlicher Komplexität, die miteinander kommunizieren und mit den Daten, die sie schaffen, einen intelligenten und endgültigen Zustand der Autonomie erlangen. Damit können sie umfassende, unternehmensbezogene Prozesse ausführen. Aber wie erschafft dies wegweisende Chancen? Das ist der Haken an der Sache: Um den wahren Wert des IoT zu verstehen, müssen Unternehmen erkennen, dass es nicht allgemeingültig anwendbar ist. Es ist vielmehr davon abhängig, welche Ziele das Unternehmen erreichen möchte.

Das Internet meiner Dinge

Unternehmen sollten sich zuerst die Frage stellen, was das grundlegende Problem in ihrem Geschäft ist, bevor sie entscheiden, wie sie es lösen sollen. Es ist durchaus möglich, dass das IoT eine Lösung ist, aber es ist ein Fehler, von Anfang an darauf zu beharren, dass es die ultimative Lösung darstellt. Um die tatsächlichen Auswirkungen für ein Unternehmen zu verstehen, wäre es besser, wenn das IoT als ein „Internet meiner Dinge“ gesehen wird. Dieser Ausdruck unterstreicht die Tatsache, dass das Internet der Dinge eine ganz eigene Erfahrung für jeden Benutzer und damit einzigartige Vorteile in jedem Kontext bedeutet. Sobald dieser Umstand klar ist, kann das IoT seine transformierende Kraft demonstrieren und echte intelligente Lösungen für echte Probleme liefern. Dann kann ein noch nie dagewesener Wettbewerbsvorteil erzielt werden.

Es ist eine ganz neue Welt, die eine progressive Führungsgeneration benötigt, um Unternehmen nach vorne zu bringen. Wir brauchen eine neue Vision, um Auswirkungen auf Produktivität, Kosten, Umsatz, Effizienz und Fähigkeiten innerhalb eines völlig neuen Unternehmensmodells zu erkennen, die einen riesigen Sprung nach vorn bedeuten können.

Ohne IT-Sicherheit kein Internet der Dinge

Ob Produktion, Gesundheitswesen, Energie oder Transport – das IoT hält derzeit in zahlreichen Branchen Einzug, die zusammen fast zwei Drittel des globalen Bruttoinlandsprodukts erwirtschaften. Unter dem Schlagwort Industrie 4.0 machen sich hierzulande vor allem Unternehmen der Fertigungsindustrie die zunehmende Reife der IoT-Technologien zunutze. Politisch steht die Förderung der Digitalisierung ganz oben auf der Agenda. Im vergangenen Jahr hat das Bundesministerium für Wirtschaft und Energie im Rahmen der „Digitalen Strategie 2025“ mehrere sogenannte Mittelstand 4.0-Kompetenzzentren benannt, die vor allem kleinere und mittlere Unternehmen bei der Digitalisierung ihrer Produktionsprozesse unterstützen.

Hauptknackpunkt: Sicherheit des IoT

Während diese Entwicklung völlig neue Möglichkeiten für Unternehmen und Gesellschaft verspricht, werden jedoch auch zahlreiche Schwachstellen und Sicherheitsrisiken deutlich. Das IoT abzusichern, stellt Unternehmen vor große Herausforderungen. Denn allzu oft wird das Thema Sicherheit erst nachgelagert, als Technologiefolge fokussiert: Zuerst werden die neuen Technologien implementiert und erst im Nachhinein werden die erforderlichen Maßnahmen ergriffen, um sie vor cyberkriminellen Angriffen zu schützen. Hintergrund ist das hohe Innovationstempo und der steigende Wettbewerbsdruck, unter dem die meisten Unternehmen stehen. Die Folge sind Sicherheitslücken und Schwachstellen, die zunehmend professionell organisierte und kommerziell ausgerichtete Cyberkriminelle ausnutzen, um großen wirtschaftlichen Schaden anzurichten.

Bild: FFPR
Bild: HCL Technologies

IoT vergrößert Angriffsfläche um ein Vielfaches

Mit der stark zunehmenden Vernetzung im IoT entstehen für Unternehmen nicht nur neue Chancen, ihre Wettbewerbsfähigkeit zu steigern – sie machen sich dadurch auch angreifbar. Kernziel der Industrie 4.0 ist es, in der Produktion alle Anlagen, Maschinen, Werkstücke, Werkzeuge und Materialien mit Sensoren und eigenen Identitäten auszustatten und diese zu vernetzen, damit sie miteinander kommunizieren und die Produktion auf diese Weise automatisch steuern können. Dadurch entstehen unvorstellbar große Datenströme – die von Cyberkriminellen über die Vielzahl neu vernetzter Endgeräte angezapft werden können. Laut Gartner waren im vergangenen Jahr 4,9 Milliarden Geräte vernetzt. Bis 2020 sind es schätzungsweise 26 Milliarden – 26 Milliarden potenzielle Angriffsziele, über die Hacker Unternehmensnetze infiltrieren können.

Vor internen und externen Gefahren schützen

Daher müssen die ersten Maßnahmen dahin zielen, potenzielle Schwachstellen und Angreifer zu ermitteln. Dabei gibt es grundsätzlich zwei Kategorien:

  1. passive Angreifer, die Sicherheitslücken in IoT-Geräten und Netzwerken ausnutzen, um vertrauliche Daten – etwa Geschäftszahlen, Produktentwicklungen oder Ähnliches – zu stehlen. Diese Angriffe sind meist schwer zu erkennen, da sie häufig von internen Quellen ausgehen. Daher sollten Unternehmen ihre Mitarbeiter sensibilisieren und informieren, wie sie zur Sicherheit des gesamten Unternehmens beitragen können.
  2. aktive Angreifer, die IoT-Geräte und Netzwerke per Sybil- oder Distributed Denial of Service (DDoS)-Attacken angreifen. Ihr Ziel ist es, den Geschäftsbetrieb zu stören und bestimmte Anlagen oder Maschinen lahm zu legen. Diese Angriffe können schwerwiegende, teilweise sogar lebensgefährliche Folgen haben, wenn es sich beispielsweise um medizinische Geräte im Krankenhaus handelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte von einem solchen Angriff mit fatalen Folgen berichtet: Hacker verschafften sich mittels ausgefeilter Phishing-Taktiken Zugriff zum Netzwerk eines Stahlwerks. Dadurch konnten sie die Steuerung eines Hochofens manipulieren, sodass sich dieser nicht mehr herunterfahren ließ. Dies führte zu massiven Schäden in der Gießerei.

 

Sicherheit geht vor

Daher ist es für IoT-Projekte zwingend notwendig, sie von Anfang an auf Basis einer sicheren Infrastruktur aufzubauen. Dazu zählen neben der Einhaltung von Branchenrichtlinien, wie sie beispielsweise auch vom BSI empfohlen werden, auch regelmäßige Penetrationstests, die Unternehmen frühzeitig auf potenzielle Schwachstellen aufmerksam machen. Entscheidend ist dabei, dass die neuen Sicherheitsstrukturen sämtliche virtuellen und physischen Elemente abdecken, von der Authentifizierung auf Geräteebene bis hin zu Anwendungssicherheit und Datenschutz. Die Herausforderung, die jedes Unternehmen für sich lösen muss, ist es, ein individuelles, umfassendes Sicherheitskonzept zu entwickeln. Denn universelle Pauschallösungen für IoT-Sicherheit gibt es nicht.