Das Internet of Things (IoT) ermöglicht es, physische und virtuelle Gegenstände miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen. Das verspricht große Vorteile, beispielweise in der Maschinen-Wartung. Unternehmensübergreifend vernetzte Maschinen und Geräte gefährden aber auch die IT-Sicherheit in Unternehmen. Security-Experten sagen warum und worauf IT-Verantwortliche achten müssen.
ANGRIFFE auf das Internet of Things (IoT) beschränken sich meist noch auf Ziele mit geringem Gefahrenpotenzial wie Webcams oder Android-Fernsehgeräte. Doch mit der rasanten Ausbreitung intelligenter, vernetzter Geräte in allen Industrien muss sich die Gesellschaft auch auf ganz neue Herausforderungen vorbereiten. So lautete das Fazit der Podiumsdiskussion IT-meets-Press, eine Expertenrunde aus dem Analysten-, Anwender- und Herstellerumfeld.
Lebenskritische IT-Umgebungen stehen vor großen Herausforderungen
Vor allem lebenskritische IT-Umgebungen, beispielsweise in Kliniken, stehen hier vor großen Herausforderungen, wie Matthias Straub (Foto links), Director Professional Services bei NTT Security, dem IT-Security Dienstleister der Dimension Data Germany, erläuterte. Einer seiner Kunden, ein Universitätsklinikum, betreibt heute schon 5000 Internet-of-Things (IoT)-Geräte im Netz, weitere 5000 sollen folgen. „Es gibt bis heute keinen gemeinsamen technischen Standard dafür“, moniert Straub, und warnt: „Die Probleme für die Sicherheitsbeauftragten sind immens groß. Die Geräte werden täglich benötigt, aber in der Regel bleiben die Sicherheitsfragen ungeklärt.“
Auch die zunehmende Vernetzung von Industriesteuerungen steigert das Risiko böswilliger Manipulationen und Angriffe. Wie real hier die Bedrohung durch ungeschützte IoT-Geräte und Industriesteuerungen ist, zeigt schon eine kurze Suche bei der zum Auffinden solcher Endgeräte spezialisierten Suchmaschine Shodan oder Riskviz.
Datenschutz und Security sind nicht mehr auf die IT allein begrenzt
Allen Beteiligten in Wirtschaft, Gesellschaft und Politik sollte somit klar sein, dass sich Datenschutz und Security nicht mehr auf die IT allein begrenzen lässt. Durch die Industrie 4.0 und Internet of Things werden auch traditionell nicht IT gesteuerte Systeme ans Internet angebunden und liefern Daten. „Wenn diese Datenströme unterbrochen, manipuliert oder gestohlen werden, kann das die Existenz von Unternehmen bedrohen“, befürchtet Patrick Quellmalz, Leiter VOICE Services im VOICE Bundesverband der IT-Anwender e.V. und Geschäftsführer der VOICE-CIO Service GmbH.
Um ein ausreichende Sicherheits- und Datenschutzniveau zu erreichen, müssen laut Quellmalz alle Betroffenen, also Anwender, Anbieter, Wissenschaftler und Politiker zusammenarbeiten. Deshalb fordert VOICE eine Expertengruppe, die messbare Sicherheitsziele definiert und Strategien für ihre Umsetzung entwickelt. In diesen Strategien sollen sich folgende Grundsätze spiegeln:
- Security by Cooperation – mehr Sicherheit durch den intensiven Austausch von Angriffstrends, Lagedaten und Best Practice aller Beteiligten (Anwenderunternehmen, Anbieter, Forscher, Sicherheitsbehörden)
- Security by Design – Security muss inhärenter Bestandteil des Software-Entwicklungsprozesses werden. Es sollten Kriterien entwickelt und kontrolliert werden, die die Sicherheit von Softwareprodukten messbar beschreiben (ähnlich dem CE-Zertifikat).
- Security by State – Der Gesetzgeber muss klare Regeln dafür schaffen, was im digitalen Raum verboten ist.
„Wenn Sie ein Auto kaufen, liegt die Verantwortung für die Bremsen beim Hersteller. Diese Form der Haftung muss auch in der IT kommen.“
Generelle Produkthaftung gefordert
Um zukünftig die Gefahren einzudämmen, forderte die Experten-Runde neue Ansätze wie eine generelle Produkthaftung. Aus Sicht der Anwenderunternehmen unterstrich Patrick Quellmalz vom VOICE noch einmal diese Problematik: „Wenn Sie ein Auto kaufen, liegt die Verantwortung für die Bremsen beim Hersteller. Diese Form der Haftung muss auch in der IT kommen. Der Anwender kann nicht erst als Betatester eingesetzt und dann noch juristisch belangt werden.“ Er mahnte dabei auch noch eine stärkere Vernetzung der Behörden und Verbände wie BSI, BMWI und BMI an, sowie einen besseren Austausch der Anwender untereinander.
Bei der weiteren Ursachenforschung der Sicherheitsrisiken rückt vor allem das Patchmanagement ins Blickfeld, das in einem Spannungsfeld zwischen Kostendruck einerseits und regulatorischen Vorgaben andererseits steht. Produkte aus dem Massenmarkt wie die Webcam für 39 Euro werden in der Regel nur kurz mit Patches versorgt und stehen dann irgendwann angreifbar im Netz. Am oberen Ende des Marktes hingegen behindern oft regulatorische Vorgaben, wie Jörg Spilker (Foto rechts), Leiter Datenschutz und Informationssicherheit bei der Datev erklärt: „In der Medizin und der Chemie ziehen sich Zertifizierungsprozesse über Monate und Jahre hin. Sobald man dann per Patch nur ein Bit ändert, muss das System wieder in den Abnahmeprozess.“
IT-Performance und Usability rangiert vor Security
Wie weit Unternehmen auf die sich rasant verändernde Sicherheitslage im Zeitalter des Internet-of-Things vorbereitet sind, hat Ekkehart Schnedermann, Senior-Analyst bei Crisp Research (Foto oben), in einer aktuellen Studie befasst. Deren zentralen Ergebnis zufolge bedroht der aktuelle Digitalisierungstrend die IT-Sicherheit. Aber besorgniserregende zwei Drittel der Unternehmen haben diesbezüglich noch eine unklare oder keine Strategie. Vor allem die Balance zwischen IT-Performance und Benutzerfreundlichkeit einerseits und den Anforderungen der Sicherheit andererseits stellen demnach ein großes Problem dar: „Über zwei Drittel der Unternehmen ordnen die IT-Sicherheit den Anforderungen an Produkt-Performance und Usability unter.“
Die Experten der Podiumsdiskussion waren sich aber einig, dass leichtsinniges oder unbewusstes Fehlverhalten der Mitarbeiter am Arbeitsplatz nach wie vor für einen großen Teil von Sicherheits-Vorfällen verantwortlich ist. hei
IT-Matchmaker.guide Industrie 4.0
Standardreferenz und Einkaufsführer für IT-Entscheider
- Tabellarische Lösungsübersicht
- Anbieterprofile
- Projektberichte
- Experten beiträge
