Krisensichere digitale IT-Infrastruktur

IoT-Hype verdrängt Sicherheitsgefahren

05.06.2017
Von Bodo Meseke und Norbert Freitag
Im Rausch der Digitalisierung darf die Sicherheit nicht zu kurz kommen. Vollkommene IT-Sicherheit gibt es zwar nicht, aber Unternehmen können sich besser aufstellen.
  • Welche Sicherheitsfragen in der Praxis von CIOs gestellt werden
  • Aus Erfahrung gehen von mit heißer Nadel gestrickten IoT-Systeme besonders hohe Gefahren aus
  • Zu einer krisensicheren digitalen Infrastruktur gehören Governance sowie Sensibilisierung des Managements und Schulung der Betriebs- und Mitarbeiterkultur

Nachts um halb zwei, das Diensthandy klingelt. Am Apparat ist die IT-Abteilung: "Wir sind gehackt worden. Die Bänder stehen still, wir wissen nicht weiter." Was in der Regel folgt, sind aufreibende Wochen voll Unsicherheit und Ungewissheit. CIOs werden zunehmend mit genau diesem Szenario oder einer Variante davon konfrontiert. Das gepriesene Internet der Dinge verbindet alles mit allem. Produktionsanlagen mit Smartphones, die Fabrik mit dem Rest der Welt. Wo alles nützlicher, intelligenter und smarter wird, steigt aber auch das Risiko, von Hackern oder Datendieben angegriffen zu werden. In der Euphorie um dieIndustrie 4.0scheint der Gedanke an Sicherheit unterzugehen. Das muss sich ändern.

Produktionsroboter, die ihr Update selbst herunterladen oder Aufzüge, die sich melden, bevor sie hängenbleiben - die neue Welt des Internet of Things (IoT) scheint die Sorgen von Unternehmern sekundenschnell zu lösen. Trotz aller Euphorie: Industrie und Mittelstand sollten sich Schwachstellen frühzeitig anschauen und diese beseitigen. IT-Sicherheit ist Chefsache, von Anfang an. Denn mit jedem vernetzten Gerät vergrößert sich zugleich die Angriffsfläche.

Ganz ehrlich: Eine stabile Firewall und die neuesten Virenscanner reichen schon lange nicht mehr aus. Wer seine Anlagen vernetzt und Prozesse digital optimiert, möchte auf der anderen Seite nicht draufzahlen, wenn es zu Datendiebstahl und Missbrauch kommt.

Fehlendes Sicherheitsbewusstsein der Sicherheitsanbieter

Die Hersteller von Soft- und Hardware bieten zwar ein reichhaltiges Set an Features an, um sich von den Wettbewerbern abzuheben. Jedoch geht es ihnen zuvorderst um Usability und Produktivität, nicht umSicherheit und Datenschutz. Fehler werden erst mit Updates behoben. Warum das so ist? Die Produktlebenszyklen schrumpfen, ebenso wie die Entwicklungszeiten - immer schneller kommen die digitalen Helfer auf den Markt. Und zugleich steigt der Preisdruck.

Dieses fehlende Sicherheitsbewusstsein geben die Hersteller dann an ihre Kunden und Anwender weiter. Sie interessiert vorrangig, welche neuen Funktionalitäten ihnen nützen. Und denken dabei nicht: Was könnte mir schaden oder wie hoch ist der Preis für meine Daten? Hinterfragt wird selten, wo die Daten hingehen, wenn Hersteller und Zulieferer im Ausland sitzen - wo andere Sicherheitsregeln gelten. Eine neue Software ist schnell installiert. Und wenn dann erst einmal alles läuft, sind Sicherheitslücken zweitrangig.

Was im Hype der Digitalisierung oft vergessen wird

Die gute Nachricht: Die Strategien zum Schutz des Internet of Things werden vielfältiger, denn das Thema wird uns noch lange beschäftigen. Es ist schon lange keine Spezialdisziplin mehr, mittlerweile sind viele Cybersecurity-Lösungen auf dem Markt, die den hohen Ansprüchen der Realität tatsächlich genügen.

Wer aber vollkommene Sicherheit verspricht, der lehnt sich - mit Verlaub - etwas weit aus dem Fenster. Er vergisst vielleicht auch viel wichtigere Grundfragen: Muss wirklich alles mit allem vernetzt sein? Wo setzen wir uns unnötigen Risiken aus, dem nur ein kleiner Mehrwert gegenüber steht?

Fragen von CIOs, denen wir in der Praxis begegnen, lauten sinngemäß:

  1. Wo liegen die individuellen Schwachstellen?

  2. Deckt das bestehende Sicherheitskonzept diese bereits ab?

  3. Wo muss nachjustiert werden?

  4. Was kann investiert werden: in bessere Abwehrtechnik und Fachleute?

  5. Wie gehen Wettbewerber mit dem Risiko um?

  6. Welche Partnerschaften bieten sich an?

IT-Forensiker wie wir werden gerufen, um einen Angriff zu erkennen und zurückzuverfolgen, Lücken zu schließen und die Systemintegrität wieder herzustellen. Heute suchen wir Beweise nicht mehr nur auf typischen EDV-Systemen, sondern fragen zugleich, ob Angreifer mögliche Hintertüren in anderen vernetzten Geräten verstecken, wie dem neuen Smart-TV im Konferenzraum.

Die größten Gefahren in der Praxis

Die Praxis ist extrem vielfältig. Nahezu jedes Unternehmen hat andere Systeme in anderen Varianten - selbstredend, dass es keine One-fits-all-Lösung gibt. Aus unserer Erfahrung können wir sagen, es ist da besonders gefährlich, wo

  • neue IoT-Systeme mit der heißen Nadel gestrickt werden

  • nicht personalisierte Zugriffsrechte eingerichtet sind

  • unvollständige Sicherheitsstandards gelten, die zudem nicht für alle Bereiche des Unternehmens angewendet werden

  • qualifiziertes Personal fehlt

  • Investitionen in Sicherheit unverhältnismäßig gering sind

Nach dem Hack ist vor dem Hack

Wenn der Ernstfall eingetreten ist, kann es dauern, bis alle Systeme wieder laufen und das Unternehmen zur Normalität zurückkehrt. Auch wenn wir bei der Aufklärung von Angriffen schon sehr weit sind und Boden gut gemacht haben: Die Täter werden relativ selten gefasst. Die Angreifer sind heute extrem flexibel und international gut vernetzt. Sie arbeiten - im Gegensatz zu den meisten Ermittlungsbehörden - mit dem neuesten Stand der Technik.

Doch einige Ermittlungsbehörden und private IT-Dienstleister stocken seit Jahren ihr Personal auf und bauen länderübergreifende Expertennetzwerke. Wie dringlich und relevant das Thema ist, zeigt der Fakt, dass auch die Bundeswehr ein neues Cyber-Kommando gegründet hat.

Der Trend ist klar: Krisensicherere digitale Infrastruktur wird inmitten der vielen Potenziale, die das Internet der Dinge verspricht, mehr als "Nice-to-Have" sein - nämlich elementarer Baustein zeitgemäßer Governance, verlängert um Elemente von Sensibilisierung und Schulung in die Betriebs- und Mitarbeiterkultur hinein. Je nach Sensibilität des Managements für das Thema ist es mal leichter, mal schwerer, diesen Paradigmenwechsel zu vollziehen.