IoT & Device Security

Going digital? – Ja, aber sicher!

13.12.2017
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Mit dem Internet der Dinge hat sich die Bedrohungslage für Unternehmen drastisch erhöht. Auf der Veranstaltung „IoT & Device Security“ diskutierten CIOs, CISOs und Hersteller über die neuen Cyberrisiken durch Botnets & Co. sowie die erforderlichen Präventivmaßnahmen.

IT-Sicherheitsverantwortliche haben derzeit nicht unbedingt die besten Karten, insbesondere, wenn sich ihr Unternehmen mit dem Thema IoT beschäftigt. "IoT erfordert den freien Fluss von Daten - dies ist aber ein klarer Widerspruch zu unseren gängigen Sicherheitszielen", erklärte Matthias Brose, CISO der Schaeffler AG in seiner Keynote auf "IoT & Device Security" in München. Deswegen müsse er sich häufig als Kritik von jungen Entwicklern im Hause die Frage anhören, wie Innovation stattfinden könne, wenn jeder auf seinen Daten sitzt und sie nicht teilt.

Angesichts der potenziellen Schäden sollten IT-Sicherheitsrisiken Chefsache sein.
Angesichts der potenziellen Schäden sollten IT-Sicherheitsrisiken Chefsache sein.
Foto: sdecoret - shutterstock.com

Natürlich sei es immer sexier, coole Apps zu entwickeln als die Performance mit lästigen Forderungen nach Sicherheit zu bremsen, räumte der Schaeffler-CISO ein. IT-Security bedeute aber auch, Geschäftsrisiken zu verwalten. Und dies sei nicht allein Aufgabe der Security-Spezialisten - IT-Sicherheitsrisiken müssten wie Risiken auf dem Finanzmarkt vom obersten Management behandelt werden.

Das Problem sei der große Ermessenspielraum, erklärt Brose: "Security ist wie Temperatur", es gibt kein pauschales 'Zu warm' oder 'Zu kalt'. Jeder kennt die Bedrohungen, aber muss selbst entscheiden, inwieweit er sich dagegen absichern will."

Auch wenn derzeit viele Unternehmen in Deutschland ihre Cybersecurity-Systeme upgraden, wird aus Sicht des ehemaligen Polizeikommissars immer noch zu wenig getan. "Wir kennen die Risiken, aber handeln nicht entsprechend", konstatiert er. Geht man wie Accenture davon aus, dass es im Schnitt 130 Security-Breaches je Firma und Jahr gebe, sollte das IT-Security Budget mindestens zehn Prozent des Sicherheits-Budgets ausmachen, empfiehlt der Schaeffler-CISO.

Wir kennen die Risiken, aber handeln nicht entsprechend, beklagt Matthias Brose, CISO bei der Schaeffler AG.
Wir kennen die Risiken, aber handeln nicht entsprechend, beklagt Matthias Brose, CISO bei der Schaeffler AG.

Was die oben erwähnten Apps angeht, fordert Brose von vornherein integrierte Sicherheitsfunktionen, also Security by Design. Ein smarter Toaster sollte selbst Bescheid geben, dass er Teil eines Botnets ist, führte er als Beispiel an: "Apps brauchen eine integrierte Security, das Unternehmen eine robustes IT-Störungs- und Krisenmanagement basierend auf einen Notfallplan."

Keine Wertschöpfung ohne angemessenes Risikomanagement

Luc Verheist, CIO der in Belgien ansässigen Metallo Group, stieß ins gleiche Horn wie sein Vorredner Brose. Zwar biete IoT in der Metallverarbeitung unter anderem die Möglichkeit, den Energieverbrauch deutlich zu senken. Es gebe jedoch keine Wertschöpfung ohne ein angemessenes Risiko-Management. "Wert, Change und Risiken müssen sich die Waage halten", so Verheist. Ohne ausreichende Absicherung biete IoT keinen Wert für die Gesellschafter.

Dass sich dies in der heutigen Unternehmenslandschaft schwer umsetzen lässt, ist sich Verheist bewusst: Wegen IoT und Digitalisierung seien Organisationen gezwungen, sich immer schneller zu verändern. Das Problem, so der Belgier: "Der CIO muss folgen - ist man nicht agile genug, ist man tot." Zur Verdeutlichung verweist der Metallo-CIO auf das Beispiel Anwendungsentwicklung: "Früher musste eine Anwendung in drei Monaten fertig sein, heute gibt es Produkt-Sprints mit Updates alle zwei Wochen, die dann gleich live in Produktion gehen."

Verheist empfiehlt seinen Kollegen entsprechend die Einführung eines IT-Risk- und -Security-Framework und eine Risk-basierte Methodology, wie sie Beratungsfirmen wie PWC, McKinsey oder Bain & Company anbieten. Außerdem sollte die Risikobewertung Teil des Enterprise Architecture Framework sein. Letztes beginnt mit einer IT Security Policy auf Basis von ISO 27.001, diese sollte aber nicht 200, sondern etwas mehr als 20 Seiten dick sein.

Was den Schutz vor Cyberkriminalität und anderen Bedrohungen im IoT-Umfeld betrifft, rät der Belgier zu IoT 802.1x-Authentifizierung im Netzwerk und Encryption für alle Daten. "Unverschlüsselte Daten sind heute nicht mehr akzeptabel", so der Metallo-CIO. Außerdem sollten Unternehmen nicht an den 10.000 bis 15.000 Euro für einen jährlichen Pen-Test sparen und regelmäßig CIRT-Übungen vornehmen.

Wannacry als Weckruf für mehr Cyber-Security

"Als die Ransomware Wannacry über 200.000 Systemen in Organisationen aus 150 Ländern infizierte, war dies auch für unser Unternehmen ein Weckruf", berichtete Mun Valiji, CISO der britischen Supermarktkette Sainsbury's, am zweiten Tag der Veranstaltung. Seine erste Empfehlung für die anwesenden Security-Verantwortlichen: "Bekommen Sie die Grundlagen in den Griff."

Valiji betonte, dass Unternehmen nicht gleich mit der Technologie anfangen sollten. Vielmehr sei es wichtiger festzustellen, was am schützenswertesten ist und im Anschluss darauf nach geeigneten Security-Lösungen Ausschau zu halten. Und auch nach der Implementation sollten sich IT-Security-Verantwortliche nicht allzu sehr in Sicherheit wiegen, riet der CISO, sondern "testen, testen, testen".

Aus Sicht von Sebastian Hess, Cyber Risk Engineer DACH bei AIG Europe, sind sich viele Unternehmenslenker nicht bewusst, mit welchem Einsatz sie spielen, wenn sie im Bereich Cyber-Security sparen. Er rechnete vor, dass bei einer Ransomware-Attacke bereits auf kleine Unternehmen Kosten von rund 325.000 Euro zukommen. Bei einer großen Unternehmensgruppe könne sich der Schaden indes schnell auf über 80 Millionen Euro summieren.

Und falls bei einem weit verbreiteten IoT-Device eine Schwachstelle festgestellt würde, so Hess, kämen auch schnell Kosten von zehn Millionen Euro zustande. Dabei fielen allerdings die Aufwendungen, um einen Patch zu entwickeln und zu testen, nur geringfügig ins Gewicht. Richtig teuer werde es durch die Kosten, um die Anwender zu benachrichtigen, die Devices zurückzurufen sowie zu patchen.

Der Preis der Sicherheitslösung sollte nicht vom Materialpreis des IoT-Devices abhängig gemacht werden, sondern eher von den Konsequenzen einer Attacke, rät der Sicherheitsexperte und verweist auf die Rückrufaktion der US-Lebensmittel- und -Medizinbehörde FDA für 500.000 Herzschrittmacher in diesem Sommer. "Security by Design ist immer billiger als Security by Reactivity", so Hess.