Laut einer aktuellen Umfrage unter leitenden IT-Fachkräften sind in mehreren wichtigen Sektoren in Deutschland die Auswirkungen des Internets der Dinge (IoT) in den Netzwerken bereits zu spüren. 84 Prozent aller Unternehmen im IT-/Telekommunikationssektor und 73 Prozent in der Finanzwirtschaft geben an, dass intelligente Dinge in ihrer Branche große Auswirkungen auf die IT-Sicherheit haben oder voraussichtlich haben werden. Insbesondere Unternehmen mit mehr als 1.000 Mitarbeitern bemerken diese erheblich. Die Zahlen sind deswegen alarmierend, weil die meisten IT-Verantwortlichen das Risiko unterschätzen.
Unternehmen müssen sich darüber im Klaren sein, dass IoT enorme Konsequenzen für ihre Sicherheitsarchitekturen haben wird. Wie groß die Herausforderung ist, macht ein Blick in das jüngste Bundeslagebild Cybercrime des BKA deutlich. Die Behörde rechnet damit, dass bis zum Jahr 2020 mehr als eine Billion Geräte mit dem Internet verbunden sein werden und will ein Bewusstsein für die Gefahren wecken, die sich aus dieser Entwicklung ergeben. Die intelligenten Geräte, mit denen Unternehmen ein nie dagewesenes Maß an Digitalisierung erreichen, dürften den größten Wandel seit den Anfängen der Informationstechnologie mit sich bringen.
- Schaltkreisdesign
Geht es um Connected Devices, müssen Unternehmen sicherstellen, dass Chip-Design und -Entwicklung sich an den neuen Systemanforderungen orientieren. Applikationen, die beispielsweise von Batterien abhängig sind, brauchen unter Umständen spezielle Schaltkreise um den Energieverbrauch zu minimieren oder gleich mehrere Chips und Sensoren auf einer Platine. - Mikrocontroller-Programmierung
Das IoT besteht aus Milliarden kleiner, miteinander vernetzter Devices. Die meisten dieser Devices brauchen zumindest einen Mikrocontroller, um Daten verarbeiten zu können. Mikrocontroller sind günstige, energiesparende Chips, deren Programm- und Datenspeicher Teil des Systems sind. - AutoCAD
AutoCAD ist die derzeit am meisten verbreitete Design Software für Applikationen und erfährt aufgrund der Komplexität von IoT-Devices einen enormen Boom. Das liegt daran, dass gerade diese vernetzten Geräte nach völlig neuen Design-Grundsätzen entwickelt werden müssen – zum Beispiel wenn es um Hardware-Standardisierung oder Personalisierung geht. - Machine Learning
Smarte Appliances und Applikationen entstehen durch Machine-Learning-Algorithmen, die Sensordaten verarbeiten. Diese Algorithmen können zu Zwecken der Predictive Data Analysis verwendet werden. Das erfordert allerdings Experten für Big Data Management und Machine Learning. - Security-Infrastruktur
Laut einer Studie von TEKsystems hindert die steigende Angst vor Datenlecks Unternehmen maßgeblich daran, im IoT durchzustarten. „Firmen die bereits Erfahrung in Sachen Cloud Security haben, verfügen bereits über eine gute Basis. Allerdings machen die weitergehende Skalierung und Komplexität des Internet of Things die Dinge kompliziert. - Big Data
Das Internet der Dinge hat die Menge der Daten, die Unternehmen sammeln und auswerten, vervielfacht. Die Kunst besteht nun darin, redundante Datensätze direkt bei der Erhebung auszusortieren und relevante Daten zu schützen. - Elektrotechnik
Die nächste Generation der Connected Devices braucht nicht nur Software, sondern auch technische Expertise. - Security Engineering
IT-Sicherheit gehört zu den größten Sorgenkindern für den IoT-Markt. Prominente Datenlecks und Hacks haben nicht nur bei Unternehmen, sondern auch bei den Konsumenten ein neues Bewusstsein für IT-Security geschaffen. - GPS-Entwicklung
Der GPS-Markt steht dank des Internet of Things vor einer Renaissance. Insbesondere bei Unternehmen, die im Bereich Wearables, Connected Cars oder Logistik tätig sind.
Das Internet of Things als Teil der digitalen Evolution
Das Internet of Things muss als Teil der digitalen Evolution betrachtet werden: Mitte der 1990er Jahre veränderten die PCs die Büroarbeit und Desktop-Computer wurden üblich; 1995 waren rund 200 Millionen Endgeräte im Netz. Der nächste Schritt folgte 2005 mit den tragbaren Laptops, die die Zahl der vernetzten Geräte auf eine Milliarde erhöhten. Nicht lange danach, ab ungefähr 2010, führten die Smartphones zu einer erneuten Ausweitung der Netzwerke. Heute sind 10 Milliarden Geräte online.
Und dieses jüngste Wachstum ist nicht nur auf Fitness-Tracker und Smartwatches zurückzuführen. ZK Research sieht alle Voraussetzungen für den Beginn einer neuen Ära der Informationstechnologie erfüllt: Die digitale Transformation von Geschäftsprozessen, sinkende Preise bei den Sensortechnologien, die nötig sind, um Geräte ins Internet zu bringen, die Umstellung von IPv4 auf IPv6 zur Standardisierung der Maschine-zu-Maschine-Kommunikation (M2M), Big Data-Analysen und Cloud Computing - all das sind wichtige Faktoren, die zu einer massiven Zunahme der IoT-Geräte führen.
Auf dieser Grundlage aufbauend, werden nahezu sämtliche Aspekte der Geschäftsprozesse und des täglichen Lebens "smart" werden. Gemeint sind hier alle nicht standardisierten Endpunkte. Das können Kühlschränke, Fernseher oder Router sein, aber auch Produktionsanlagen, vernetzte Fahrzeuge und Netzwerkdrucker. Diese Endpunkte haben in der Regel eine hohe Rechenleistung und laufen mit speziell entwickelten Betriebssystemen, die auf quelloffenem Code basieren. Die meisten dieser eingebetteten Betriebssysteme weisen Sicherheitslücken auf, die nicht gestopft werden können. Und solange ein Gerät mit dem Netzwerk verbunden ist, können diese Sicherheitslücken ausgenutzt werden. Dem BKA bereitet Sorge, dass solche Systeme derzeit über keine oder nur unzureichende Sicherheitsmechanismen verfügen. Es herrscht zu wenig Bewusstsein für die fehlenden Schutzmechanismen, doch gleichzeitig wird die Zahl der Geräte aller Voraussicht nach weiter steigen.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
IoT-Risiken in den Griff bekommen
Das Internet of Things muss mit geeigneten Sicherheitsmechanismen geschützt werden. Die oben erwähnte Untersuchung zeigt jedoch, dass die meisten Unternehmen versuchen, solche Geräte mit herkömmlichen Mitteln abzusichern: Zwar geben 84 Prozent an, über eine Strategie zur Identifikation von IoT-Geräten in ihren Netzwerken zu verfügen, doch 72 Prozent verlassen sich auf rudimentäre Kontrollen oder Netzwerk-Kennwörter. Solche Maßnahmen haben sich jedoch als unzureichend erwiesen und schaffen ein enormes Sicherheitsrisiko.
Laut Gartner werden bis 2019 maßgeschneiderte IoT-Geräte für bestimmte Branchen üblich werden. Die Risiken werden dramatisch ansteigen: Allein für 2017 wird ein Wachstum des Internet of Things um 35 Prozent erwartet, doch die Unternehmen werden sich immer noch zu sehr auf die Suche nach Sicherheitslücken und Exploits konzentrieren, anstatt auf Segmentierung und andere langfristige Mittel zum Schutz des IoT.
In den deutschen Unternehmen ist die Entwicklung schon weiter fortgeschritten, als diese selbst glauben. Zum Beispiel sind intelligente Haustechnik und intelligente Messgeräte für Green IT und Sicherheitsaufgaben hierzulande üblicher als in anderen Ländern. Gleichzeitig ist jedoch die Anzahl der Sicherheitsverletzungen höher und die Vorbereitung schlechter. Frost & Sullivan befragte vor kurzem IT- und Sicherheitsfachleute zu den Sicherheitsvorfällen der letzten zwölf Monate in ihrem Unternehmen. Dabei schnitten die deutschen Unternehmen am schlechtesten ab. Nicht weniger als 83 Prozent der deutschen Umfrageteilnehmer räumten ein, dass sich bei ihnen fünf oder mehr Sicherheitsverletzungen ereignet hatten. In den USA und Großbritannien sind die Zahlen mit 67, beziehungsweise 69 Prozent zwar ebenfalls alarmierend hoch, doch am gravierendsten ist die Situation offenbar in den deutschen Unternehmen.
Die höhere Zahl der Sicherheitsereignisse deutet auf mangelndes Bewusstsein hin, was zeigt, dass die Unternehmen den Anschluss an die Entwicklung finden müssen. Das Internet der Dinge schafft neue Angriffsvektoren, und die Wahrscheinlichkeit ist groß, dass Cyberkriminelle schon bald gezielt IoT-Geräte angreifen werden, um in Netzwerke einzudringen und Informationen zu stehlen. Es gibt eine Vielzahl realistischer Szenarien für Angriffe, die sich in Unternehmen abspielen könnten.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.