IoT-Security

Gefahr erkannt, doch nicht gebannt

10.01.2017
Von 
Markus Auer Sales Director Central Europe bei BlueVoyant. Davor war er als Regional Sales Manager Central Europe bei ThreatQuotient beschäftigt. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne.
Das Internet of Things bietet für Unternehmen jede Menge neuer Chancen und Möglichkeiten. Gleichzeitig stellt es für die IT-Sicherheit jedoch eine massive Herausforderung dar.

Laut einer aktuellen Umfrage unter leitenden IT-Fachkräften sind in mehreren wichtigen Sektoren in Deutschland die Auswirkungen des Internets der Dinge (IoT) in den Netzwerken bereits zu spüren. 84 Prozent aller Unternehmen im IT-/Telekommunikationssektor und 73 Prozent in der Finanzwirtschaft geben an, dass intelligente Dinge in ihrer Branche große Auswirkungen auf die IT-Sicherheit haben oder voraussichtlich haben werden. Insbesondere Unternehmen mit mehr als 1.000 Mitarbeitern bemerken diese erheblich. Die Zahlen sind deswegen alarmierend, weil die meisten IT-Verantwortlichen das Risiko unterschätzen.

Unterschätztes Risiko IoT-Sicherheit?
Unterschätztes Risiko IoT-Sicherheit?
Foto: BeeBright - shutterstock.com

Unternehmen müssen sich darüber im Klaren sein, dass IoT enorme Konsequenzen für ihre Sicherheitsarchitekturen haben wird. Wie groß die Herausforderung ist, macht ein Blick in das jüngste Bundeslagebild Cybercrime des BKA deutlich. Die Behörde rechnet damit, dass bis zum Jahr 2020 mehr als eine Billion Geräte mit dem Internet verbunden sein werden und will ein Bewusstsein für die Gefahren wecken, die sich aus dieser Entwicklung ergeben. Die intelligenten Geräte, mit denen Unternehmen ein nie dagewesenes Maß an Digitalisierung erreichen, dürften den größten Wandel seit den Anfängen der Informationstechnologie mit sich bringen.

Das Internet of Things als Teil der digitalen Evolution

Das Internet of Things muss als Teil der digitalen Evolution betrachtet werden: Mitte der 1990er Jahre veränderten die PCs die Büroarbeit und Desktop-Computer wurden üblich; 1995 waren rund 200 Millionen Endgeräte im Netz. Der nächste Schritt folgte 2005 mit den tragbaren Laptops, die die Zahl der vernetzten Geräte auf eine Milliarde erhöhten. Nicht lange danach, ab ungefähr 2010, führten die Smartphones zu einer erneuten Ausweitung der Netzwerke. Heute sind 10 Milliarden Geräte online.

Und dieses jüngste Wachstum ist nicht nur auf Fitness-Tracker und Smartwatches zurückzuführen. ZK Research sieht alle Voraussetzungen für den Beginn einer neuen Ära der Informationstechnologie erfüllt: Die digitale Transformation von Geschäftsprozessen, sinkende Preise bei den Sensortechnologien, die nötig sind, um Geräte ins Internet zu bringen, die Umstellung von IPv4 auf IPv6 zur Standardisierung der Maschine-zu-Maschine-Kommunikation (M2M), Big Data-Analysen und Cloud Computing - all das sind wichtige Faktoren, die zu einer massiven Zunahme der IoT-Geräte führen.

Auf dieser Grundlage aufbauend, werden nahezu sämtliche Aspekte der Geschäftsprozesse und des täglichen Lebens "smart" werden. Gemeint sind hier alle nicht standardisierten Endpunkte. Das können Kühlschränke, Fernseher oder Router sein, aber auch Produktionsanlagen, vernetzte Fahrzeuge und Netzwerkdrucker. Diese Endpunkte haben in der Regel eine hohe Rechenleistung und laufen mit speziell entwickelten Betriebssystemen, die auf quelloffenem Code basieren. Die meisten dieser eingebetteten Betriebssysteme weisen Sicherheitslücken auf, die nicht gestopft werden können. Und solange ein Gerät mit dem Netzwerk verbunden ist, können diese Sicherheitslücken ausgenutzt werden. Dem BKA bereitet Sorge, dass solche Systeme derzeit über keine oder nur unzureichende Sicherheitsmechanismen verfügen. Es herrscht zu wenig Bewusstsein für die fehlenden Schutzmechanismen, doch gleichzeitig wird die Zahl der Geräte aller Voraussicht nach weiter steigen.

IoT-Risiken in den Griff bekommen

Das Internet of Things muss mit geeigneten Sicherheitsmechanismen geschützt werden. Die oben erwähnte Untersuchung zeigt jedoch, dass die meisten Unternehmen versuchen, solche Geräte mit herkömmlichen Mitteln abzusichern: Zwar geben 84 Prozent an, über eine Strategie zur Identifikation von IoT-Geräten in ihren Netzwerken zu verfügen, doch 72 Prozent verlassen sich auf rudimentäre Kontrollen oder Netzwerk-Kennwörter. Solche Maßnahmen haben sich jedoch als unzureichend erwiesen und schaffen ein enormes Sicherheitsrisiko.

Laut Gartner werden bis 2019 maßgeschneiderte IoT-Geräte für bestimmte Branchen üblich werden. Die Risiken werden dramatisch ansteigen: Allein für 2017 wird ein Wachstum des Internet of Things um 35 Prozent erwartet, doch die Unternehmen werden sich immer noch zu sehr auf die Suche nach Sicherheitslücken und Exploits konzentrieren, anstatt auf Segmentierung und andere langfristige Mittel zum Schutz des IoT.

In den deutschen Unternehmen ist die Entwicklung schon weiter fortgeschritten, als diese selbst glauben. Zum Beispiel sind intelligente Haustechnik und intelligente Messgeräte für Green IT und Sicherheitsaufgaben hierzulande üblicher als in anderen Ländern. Gleichzeitig ist jedoch die Anzahl der Sicherheitsverletzungen höher und die Vorbereitung schlechter. Frost & Sullivan befragte vor kurzem IT- und Sicherheitsfachleute zu den Sicherheitsvorfällen der letzten zwölf Monate in ihrem Unternehmen. Dabei schnitten die deutschen Unternehmen am schlechtesten ab. Nicht weniger als 83 Prozent der deutschen Umfrageteilnehmer räumten ein, dass sich bei ihnen fünf oder mehr Sicherheitsverletzungen ereignet hatten. In den USA und Großbritannien sind die Zahlen mit 67, beziehungsweise 69 Prozent zwar ebenfalls alarmierend hoch, doch am gravierendsten ist die Situation offenbar in den deutschen Unternehmen.

Die höhere Zahl der Sicherheitsereignisse deutet auf mangelndes Bewusstsein hin, was zeigt, dass die Unternehmen den Anschluss an die Entwicklung finden müssen. Das Internet der Dinge schafft neue Angriffsvektoren, und die Wahrscheinlichkeit ist groß, dass Cyberkriminelle schon bald gezielt IoT-Geräte angreifen werden, um in Netzwerke einzudringen und Informationen zu stehlen. Es gibt eine Vielzahl realistischer Szenarien für Angriffe, die sich in Unternehmen abspielen könnten.