Security-Profis notwendig

Internet der Dinge: So wichtig ist Security

17.07.2015
Von Colin Neagle
Das Internet der Dinge stellt vieles in Aussicht, etwa tolle neue Geräte für Endkunden und Geschäftsleute. Oder Kopfschmerzen - jedenfalls wenn Sie ein Enterprise IT Security-Profi sind.

In vielen Wirtschaftszweigen können es Manager aller Couleur gar nicht erwarten, smarte Endgeräte und das Internet der Dinge (Internet of Things, IoT) zu nutzen. Die Begeisterung könnte aber ungleich geringer ausfallen, wenn sie sich die damit verbundenen Sicherheitsrisiken vor Augen führen. In einer Umfrage unter IT-Managern und -Profis durch den Security-Experten Tripwire gaben 63 Prozent der C-Level-Manager an, dass sie das IoT "wahrscheinlich" nutzen werden, um die Produktivität und Effizienz ihres Unternehmens zu steigern. Dagegen äußerten lediglich 27 Prozent "ernsthafte Bedenken" wegen der damit verbundenen Sicherheitsrisiken.

Andererseits erklärten gerade einmal 30 Prozent, dass ihr Unternehmen überhaupt in der Lage ist, die Sicherheit des IoT und der damit verbundenen Produkte zu überprüfen. 59 Prozent der Angestellten in mittleren und großen Unternehmen gehen gar davon aus, dass das IoT "das mit Abstand größte Risiko in ihrem Netzwerk" darstellt.

Wenn Unternehmen also ins Internet der Dinge aufbrechen wollen, dann müssen zunächst die damit verbundenen Risiken erkannt und verstanden werden. Hier sind fünf Tipps, wie Sie das am besten bewerkstelligen:

Risiken vom Internet of Things nicht unterschätzen

Das Internet der Dinge ist längst schon Ziel von echten Cyberattacken: Im Januar legte der Sicherheitsexperte Proofpoint Beweise für einen Angriff auf Smart Home Appliances vor. Ein Botnet mit mehr als 100.000 Endgeräten schleuderte mehr als 750.000 E-Mails mit Links auf Malicious Code in die Weiten des Netzes. Laut Proofpoint waren unter den 100.000 Endgeräten 25 Prozent Devices, die nicht als Computer oder Smartphones klassifiziert werden konnten, es handelte sich vielmehr um Smart TVs und … Kühlschränke.

Ein unternehmensnäheres Beispiel ist der massive Hack von Target im Jahr 2013. Im Nachgang wurde immer wahrscheinlicher, dass die Angreifer die Zugangsdaten über einen Anbieter von Klimatechnik erhielten, der für Target gearbeitet hatte. Der Sicherheitsexperte Brian Krebs warnte daher vor der weiten Verbreitung von Temperaturfühlern und -systemen, mit denen Unternehmen die Heizung in ihren Gebäuden regeln: "Die Anbieter solcher Regelsysteme müssen Zugang zum Gesamtsystem haben, etwa um Wartungsarbeiten oder Updates durchzuführen. Anstatt dafür eigenes Personal einzustellen, wird Dritten lieber Zugang zum Netzwerk gewährt."

Der fragliche Drittanbieter beim Target-Hack erklärte, er habe nie Remote-Zugriff auf das System gehabt. Unabhängig davon zeigen die Ausführungen von Krebs die Gefahren des IoT eindringlich auf. Die Zugangsdaten eines Drittanbieters für ein Unternehmensnetzwerk sind genau die Zutaten, die ein krimineller Geist braucht, um an sensible Daten zu kommen. Und das wirft ein neues Licht auf die Bemühungen vieler Manager, möglichst schnell das IoT zu nutzen.

Cybersicherheit ist im Internet of Things überlebensnotwendig.
Cybersicherheit ist im Internet of Things überlebensnotwendig.
Foto: wk1003mike_shutterstock.com

Traditionell ist es nicht die Aufgabe der Business-Manager, sich Gedanken über Cybersicherheit zu machen. Auch nicht dann, wenn sie die Büros neu ausstatten. Nun aber, da viele Ausstattungsgegenstände mit dem Internet verbunden sind, sollte die IT frühzeitig von ihrer Anschaffung in Kenntnis gesetzt werden.

In einem Interview mit der Network World im vergangenen Jahr warnte der Gartner Research Vice President Hugh LeHong vor der Ausbreitung von sogenannter "smarter" Technik in Unternehmen, von medizinischen Hightech-Geräten bis zu Getränkeautomaten im Pausenraum. Aktuell gehören diese nicht in den Bereich der IT. Noch nicht. Im Zeitalter des IoT wird die IT-Abteilung auch bei der Anschaffung eines neuen Wasserspenders involviert sein müssen.

"CIOs sollten dafür ein Gespür entwickeln. Auch wenn der Firma der Wasserspender nicht gehört, muss die IT sich doch um ihn kümmern", so LeHong. "Wir nennen das Konvergenz: OT (Operational Technology) und IT sind keine getrennten Welten mehr. Die Verantwortlichen dafür müssen gemeinsam Themen wie Governance, Security, Software Licensing und Maintenance besprechen."

Bleiben Sie bei den Software Updates für Smart Devices auf dem Laufenden

IBM Global Lead Network Architect Kirk Steinklauber schrieb kürzlich im IBM-eigenen Security Intelligence Blog, dass "wenn wir heute schon darüber klagen, dass unsere Computer, Smartphones und Tablets immer auf dem neusten Stand sein müssen, was werden wir dann sagen, wenn wir Millionen verschiedener Geräte updaten und von Bugs frei halten müssen?" Und damit seien nicht nur "Handhelds" gemeint, sondern auch die Applikationen, die diese verwalten. Schließlich kann von jedem Gerät aus auf sie zugegriffen werden.

Das verdeutlicht neuerlich, dass IT und OT künftig beim Aufbau des IoT eng zusammenarbeiten müssen. Es sollten strenge Prozesse und Protokolle für Software eingeführt werden, noch bevor diese auf neue Geräte gespielt wird. Wie man heute dank BYOD weiß, ist es ein Horror, im Gebrauch befindliche Geräte von Softwarebugs zu befreien. Besser also vorher strenge Regeln aufstellen.

Sensibilisieren Sie Mitarbeiter für Sicherheitsrisiken

Einige Organisationen werden gegen ihren Willen ins Internet der Dinge gezogen. Laut der Studie von Tripwire greifen 75 Prozent aller Heimarbeiter, Außendienstler und ITler von ihrem Hausnetzwerk aus auf das Firmennetzwerk zu. In diesen Haushalten finden sich in 25 Prozent aller Fälle Smart Devices, die sich ebenfalls ins Netzwerk eingewählt haben. Das ist ein Problem.

Es braucht nicht viel um sich vorzustellen, was dadurch alles passieren kann. Tripwire selbst spricht beispielhaft die berühmt-berüchtigten USB-Ports an. Unzählige elektronische Helferlein docken daran an und könnten so Malware von einem Gerät des Mitarbeiters ins Unternehmensnetzwerk einschleusen. Abgesehen von immer höheren Sicherheitsmaßnahmen gibt es nicht viel, was Firmen dagegen tun können - außer, den Mitarbeitern die Gefahr bewusst zu machen.

Erläutern Sie der die Feinheiten des IoT

Das IoT befindet sich noch immer in einer frühen Phase. Dutzende von Hightech-Firmen suchen gerade nach sinnvollen Standards, noch gibt es keine dominanten Plattformen wie etwa iOS und Android im mobilen Bereich. Entsprechend müssen sich auch IT-Profis erst ihren Weg durch den IoT-Dschungel bahnen. Cisco reagierte darauf, indem es im Oktober vergangenen Jahres ein Konsortium, bestehend u.a. aus Bildungseinrichtungen und Personalberater, ins Leben rief, das gerade gestandenen ITler über die Gefahren des kommenden IoT aufklären soll.

Noch ist nicht klar, welche Fähigkeiten ein IT-Profi für das IoT entwickeln muss. Für Unternehmen, die nicht die Ressourcen haben, heute schon ins IoT einzusteigen und die damit verbundenen Risiken zu managen, sollten daher vielleicht im Moment die Finger davon lassen. (Networkworld)