Das Internet of Things bietet für Unternehmen jede Menge neuer Chancen und Möglichkeiten. Gleichzeitig stellt es für die IT-Sicherheit jedoch eine massive Herausforderung dar.
Laut einer aktuellen Umfrage unter leitenden IT-Fachkräften sind in mehreren wichtigen Sektoren in Deutschland die Auswirkungen des Internets der Dinge (IoT) in den Netzwerken bereits zu spüren. 84 Prozent aller Unternehmen im IT-/Telekommunikationssektor und 73 Prozent in der Finanzwirtschaft geben an, dass intelligente Dinge in ihrer Branche große Auswirkungen auf die IT-Sicherheit haben oder voraussichtlich haben werden. Insbesondere Unternehmen mit mehr als 1.000 Mitarbeitern bemerken diese erheblich. Die Zahlen sind deswegen alarmierend, weil die meisten IT-Verantwortlichen das Risiko unterschätzen.
Unternehmen müssen sich darüber im Klaren sein, dass IoT enorme Konsequenzen für ihre Sicherheitsarchitekturen haben wird. Wie groß die Herausforderung ist, macht ein Blick in das jüngste Bundeslagebild Cybercrime des BKA deutlich. Die Behörde rechnet damit, dass bis zum Jahr 2020 mehr als eine Billion Geräte mit dem Internet verbunden sein werden und will ein Bewusstsein für die Gefahren wecken, die sich aus dieser Entwicklung ergeben. Die intelligenten Geräte, mit denen Unternehmen ein nie dagewesenes Maß an Digitalisierung erreichen, dürften den größten Wandel seit den Anfängen der Informationstechnologie mit sich bringen.
Diese IoT-Skills brauchen Unternehmen
Schaltkreisdesign Geht es um Connected Devices, müssen Unternehmen sicherstellen, dass Chip-Design und -Entwicklung sich an den neuen Systemanforderungen orientieren. Applikationen, die beispielsweise von Batterien abhängig sind, brauchen unter Umständen spezielle Schaltkreise um den Energieverbrauch zu minimieren oder gleich mehrere Chips und Sensoren auf einer Platine.
Mikrocontroller-Programmierung Das IoT besteht aus Milliarden kleiner, miteinander vernetzter Devices. Die meisten dieser Devices brauchen zumindest einen Mikrocontroller, um Daten verarbeiten zu können. Mikrocontroller sind günstige, energiesparende Chips, deren Programm- und Datenspeicher Teil des Systems sind.
AutoCAD AutoCAD ist die derzeit am meisten verbreitete Design Software für Applikationen und erfährt aufgrund der Komplexität von IoT-Devices einen enormen Boom. Das liegt daran, dass gerade diese vernetzten Geräte nach völlig neuen Design-Grundsätzen entwickelt werden müssen – zum Beispiel wenn es um Hardware-Standardisierung oder Personalisierung geht.
Machine Learning Smarte Appliances und Applikationen entstehen durch Machine-Learning-Algorithmen, die Sensordaten verarbeiten. Diese Algorithmen können zu Zwecken der Predictive Data Analysis verwendet werden. Das erfordert allerdings Experten für Big Data Management und Machine Learning.
Security-Infrastruktur Laut einer Studie von TEKsystems hindert die steigende Angst vor Datenlecks Unternehmen maßgeblich daran, im IoT durchzustarten. „Firmen die bereits Erfahrung in Sachen Cloud Security haben, verfügen bereits über eine gute Basis. Allerdings machen die weitergehende Skalierung und Komplexität des Internet of Things die Dinge kompliziert.
Big Data Das Internet der Dinge hat die Menge der Daten, die Unternehmen sammeln und auswerten, vervielfacht. Die Kunst besteht nun darin, redundante Datensätze direkt bei der Erhebung auszusortieren und relevante Daten zu schützen.
Elektrotechnik Die nächste Generation der Connected Devices braucht nicht nur Software, sondern auch technische Expertise.
Security Engineering IT-Sicherheit gehört zu den größten Sorgenkindern für den IoT-Markt. Prominente Datenlecks und Hacks haben nicht nur bei Unternehmen, sondern auch bei den Konsumenten ein neues Bewusstsein für IT-Security geschaffen.
GPS-Entwicklung Der GPS-Markt steht dank des Internet of Things vor einer Renaissance. Insbesondere bei Unternehmen, die im Bereich Wearables, Connected Cars oder Logistik tätig sind.
Das Internet of Things als Teil der digitalen Evolution
Das Internet of Things muss als Teil der digitalen Evolution betrachtet werden: Mitte der 1990er Jahre veränderten die PCs die Büroarbeit und Desktop-Computer wurden üblich; 1995 waren rund 200 Millionen Endgeräte im Netz. Der nächste Schritt folgte 2005 mit den tragbaren Laptops, die die Zahl der vernetzten Geräte auf eine Milliarde erhöhten. Nicht lange danach, ab ungefähr 2010, führten die Smartphones zu einer erneuten Ausweitung der Netzwerke. Heute sind 10 Milliarden Geräte online.
Und dieses jüngste Wachstum ist nicht nur auf Fitness-Tracker und Smartwatches zurückzuführen. ZK Research sieht alle Voraussetzungen für den Beginn einer neuen Ära der Informationstechnologie erfüllt: Die digitale Transformation von Geschäftsprozessen, sinkende Preise bei den Sensortechnologien, die nötig sind, um Geräte ins Internet zu bringen, die Umstellung von IPv4 auf IPv6 zur Standardisierung der Maschine-zu-Maschine-Kommunikation (M2M), Big Data-Analysen und Cloud Computing - all das sind wichtige Faktoren, die zu einer massiven Zunahme der IoT-Geräte führen.
Auf dieser Grundlage aufbauend, werden nahezu sämtliche Aspekte der Geschäftsprozesse und des täglichen Lebens "smart" werden. Gemeint sind hier alle nicht standardisierten Endpunkte. Das können Kühlschränke, Fernseher oder Router sein, aber auch Produktionsanlagen, vernetzte Fahrzeuge und Netzwerkdrucker. Diese Endpunkte haben in der Regel eine hohe Rechenleistung und laufen mit speziell entwickelten Betriebssystemen, die auf quelloffenem Code basieren. Die meisten dieser eingebetteten Betriebssysteme weisen Sicherheitslücken auf, die nicht gestopft werden können. Und solange ein Gerät mit dem Netzwerk verbunden ist, können diese Sicherheitslücken ausgenutzt werden. Dem BKA bereitet Sorge, dass solche Systeme derzeit über keine oder nur unzureichende Sicherheitsmechanismen verfügen. Es herrscht zu wenig Bewusstsein für die fehlenden Schutzmechanismen, doch gleichzeitig wird die Zahl der Geräte aller Voraussicht nach weiter steigen.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
IoT-Risiken in den Griff bekommen
Das Internet of Things muss mit geeigneten Sicherheitsmechanismen geschützt werden. Die oben erwähnte Untersuchung zeigt jedoch, dass die meisten Unternehmen versuchen, solche Geräte mit herkömmlichen Mitteln abzusichern: Zwar geben 84 Prozent an, über eine Strategie zur Identifikation von IoT-Geräten in ihren Netzwerken zu verfügen, doch 72 Prozent verlassen sich auf rudimentäre Kontrollen oder Netzwerk-Kennwörter. Solche Maßnahmen haben sich jedoch als unzureichend erwiesen und schaffen ein enormes Sicherheitsrisiko.
Laut Gartner werden bis 2019 maßgeschneiderte IoT-Geräte für bestimmte Branchen üblich werden. Die Risiken werden dramatisch ansteigen: Allein für 2017 wird ein Wachstum des Internet of Things um 35 Prozent erwartet, doch die Unternehmen werden sich immer noch zu sehr auf die Suche nach Sicherheitslücken und Exploits konzentrieren, anstatt auf Segmentierung und andere langfristige Mittel zum Schutz des IoT.
In den deutschen Unternehmen ist die Entwicklung schon weiter fortgeschritten, als diese selbst glauben. Zum Beispiel sind intelligente Haustechnik und intelligente Messgeräte für Green IT und Sicherheitsaufgaben hierzulande üblicher als in anderen Ländern. Gleichzeitig ist jedoch die Anzahl der Sicherheitsverletzungen höher und die Vorbereitung schlechter. Frost & Sullivan befragte vor kurzem IT- und Sicherheitsfachleute zu den Sicherheitsvorfällen der letzten zwölf Monate in ihrem Unternehmen. Dabei schnitten die deutschen Unternehmen am schlechtesten ab. Nicht weniger als 83 Prozent der deutschen Umfrageteilnehmer räumten ein, dass sich bei ihnen fünf oder mehr Sicherheitsverletzungen ereignet hatten. In den USA und Großbritannien sind die Zahlen mit 67, beziehungsweise 69 Prozent zwar ebenfalls alarmierend hoch, doch am gravierendsten ist die Situation offenbar in den deutschen Unternehmen.
Die höhere Zahl der Sicherheitsereignisse deutet auf mangelndes Bewusstsein hin, was zeigt, dass die Unternehmen den Anschluss an die Entwicklung finden müssen. Das Internet der Dinge schafft neue Angriffsvektoren, und die Wahrscheinlichkeit ist groß, dass Cyberkriminelle schon bald gezielt IoT-Geräte angreifen werden, um in Netzwerke einzudringen und Informationen zu stehlen. Es gibt eine Vielzahl realistischer Szenarien für Angriffe, die sich in Unternehmen abspielen könnten.
Die größten Hacks 2016
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
So schützen Sie sich
Die Lösung ist einfach: Jeder Endpunkt muss sofort überprüft werden, sobald er sich im Netzwerk anzumelden versucht. Was Unternehmen brauchen, ist eine Lösung für automatische Erkennung und Klassifizierung, die weitere Sicherheitsprodukte aktivieren kann. Manuelle Verfahren reichen nicht mehr aus. Dabei müssen Unternehmen darauf achten, dass die Lösung ohne Agenten auskommt: IoT-Geräte unterstützen in der Regel weder Agenten noch standardmäßige Authentifizierungmethoden wie 802.1x. Eine bewährte Methode ist beispielsweise der Einsatz einer agentenlosen Lösung, die Geräte wie die aus dem IoT automatisch erkennt, klassifiziert und dann automatisch in ein spezielles IoT-VLAN verlegt, dass durch eine zusätzliche Firewall vom Unternehmensnetz getrennt ist.
Gartner schlägt die Umsetzung eines adaptiven Sicherheitsmodells vor, bei dem Sicherheitsverletzungen jederzeit durch richtlinienbasierte, automatisierte Reaktionen auf Anfälligkeiten eingedämmt werden können - und das nicht nur, bevor es zu einem Sicherheitsereignis kommt, sondern auch, während es im Gang ist und danach. Sichtbarkeit, Transparenz und Problembehebung müssen gewährleistet sein, um die Bedrohung zu minimieren. Der Schwerpunkt liegt dabei also nicht ausschließlich auf der Beendigung eines Angriffs, sondern auf der Minimierung des Schadens, den er anrichten kann.
Eine agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugriffskontrolle erfordert keine Installation von Clients oder Agenten und unterstützt sowohl virtuelle Infrastrukturen als auch ausgedehntere (aus mehreren Subnetzen bestehende) Netzwerkumgebungen, sowie Remote- oder nicht ständig verbundene Geräte, wie diejenigen aus dem IoT. Auch Endpunkte, die im Netzwerk einen relativ kleinen Footprint hinterlassen, können erfasst werden; selbst dann, wenn sie keine 802.1X-Protokolle unterstützen.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Fazit: IoT-Security jetzt angehen
Mit dem Internet der Dinge steht Unternehmen ein neues Zeitalter in der Evolution der Informationstechnologie ins Haus. Das Potenzial für Unternehmen und Konsumenten ist enorm, und die Anzahl der vernetzten Endpunkte wächst mit jeder Sekunde. Die Menschen sehen die Vorteile, und tagtäglich werden neue Innovationen präsentiert: vernetzte Fahrzeuge, Fitness-Tracker, medizinische Apparate, Steuersysteme - um nur einige Beispiele zu nennen.
Dies verändert die Anforderungen in vielen Bereichen. Derzeit planen bereits 45 Prozent aller Unternehmen in Deutschland, neue Technologien zum Schutz des IoT zu integrieren. Die gute Nachricht ist, dass entsprechende Sicherheitsmechanismen bereits existieren und sofort einsetzbar sind. Die Unternehmen müssen jedoch nach den richtigen Lösungen Ausschau halten, und sie sollten es bald tun. Agentenfreie Sichtbarkeit, Transparenz und Kontrolle ist ein leicht implementierbarer Ansatz, um Geräte zu schützen. Dank der Fähigkeit, Sicherheitsaufgaben zu orchestrieren und Informationen mit bestehenden Sicherheitstools auszutauschen, können Unternehmen Richtlinien umsetzen und Compliance für ihr gesamtes Netzwerk gewährleisten. (fm)