Ekkehart Schnedermann, Senior-Analyst bei Crisp Research, warnt: "Der aktuelle Digitalisierungstrend bedroht die IT-Sicherheit. Zwei Drittel der Unternehmen haben diesbezüglich keine oder nur eine unklare Strategie." In einer Expertenrunde aus Analysten, Anwendern und Herstellern bezog sich Schnedermann auf eigene Marktforschungsergebnisse, denen zufolge der steigende Digitalisierungsgrad in Unternehmen bereits zum drittgrößten Risikofaktor geworden sei. Nur unvorsichtige Mitarbeiter und Spionageangriffe würden von Entscheidern im IT-Security-Umfeld als noch riskanter angesehen.
"Mehr als zwei Drittel der Unternehmen ordnen die IT-Sicherheit anderen Aspekten, insbesondere Produkt-Performance und Usability, unter", sagte Schnedermann. Probate Mittel, um in einer Welt der vernetzten Gegenstände die Risiken im Griff zu behalten, seien Security by Design und bessere Sicherheitsstandards. Der Crisp-Analyst sprach anlässlich einer Roundtable-Diskussion zum Thema "Sicherheit und Datenschutz für die Digitale Welt" im Haus der Bayerischen Wirtschaft in München. Moderiert wurde die Veranstaltung vom IT-Meets-Press-Team Christoph Witte und Wolfgang Miedl.
IoT-Hacks könnten Wirtschaftskrisen auslösen
Einig war sich die Runde in der grundsätzlichen Feststellung, dass ein Umdenken nötig sei. Schon jetzt zeichnet sich ab, dass die vielen im Internet of Things (IoT) vernetzten Gegenstände gekapert und für Attacken missbraucht werden. Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev, brachte den Trend so auf den Punkt: "Wir schaffen ein digitales Ökosystem, öffnen uns und bieten verstärkt Schnittstellen zu unseren Produkten an. Aus Anwendersicht bringt das Flexibilität und viele Freiheiten mit sich. Für Datensicherheit, Zugriffs- und Datenschutz bedeutet es aber erhebliche Herausforderungen." Man könne sich das vorstellen wie einen hoch sicheren Bunker, in den man 20 Fenster einbaue, aber trotzdem das gleiche Sicherheitsniveau halten wolle.
Bislang seien die meisten Angriffe, die auf IoT-Infrastrukturen zurückgehen, noch vergleichsweise glimpflich abgelaufen, bilanzierte Mirco Rohr, Global Evangelist beim Antivirenspezialisten Bitdefender. "Die Angreifer gehen auf das schwächste Glied, zum Beispiel die vernetzte Waschmaschine oder den Mähdrescher." Im schlimmsten Fall könne es sogar in einer Wirtschaftskrise münden, wenn wichtige Maschinen fremd gesteuert würden oder ein Eigenleben entwickelten.
Matthias Straub, Director Professional Services bei NTT Security, sieht vor allem Einrichtungen wie Kliniken gefährdet, hier stünden Mammut-Aufgaben bevor. Straub berichtete von einem ungenannten Universitätsklinikum, in dem heute schon 5000 IoT-Geräte im Netz hingen, weitere 5000 sollen folgen. Für diese heterogene Gerätelandschaft gebe es keinen gemeinsamen technischen Standard. "Die Probleme für die Sicherheitsbeauftragten sind immens groß. Die Geräte werden täglich benötigt, aber in der Regel bleiben die Sicherheitsfragen ungeklärt", so der NTT-Security-Manager
Auch durch die zunehmende Vernetzung von Industriesteuerungen steigert das Risiko böswilliger Manipulationen und Angriffe. Wie real hier die Bedrohung durch ungeschützte IoT-Geräte und Industriesteuerungen ist, zeigt schon eine kurze Suche bei der zum Auffinden solcher Endgeräte spezialisierten Suchmaschine Shodan oder RiskViz.
Patchmanagement und Produkthaftung in der IT
Theoretisch wäre ein konsequentes Patchmanagement auf allen Ebenen nötig, praktisch ist das aber kaum umsetzbar. Spätestens wenn zur preiswerten Webcam aus dem Supermarkt gegriffen wird, entstehen große Probleme: Sie wird in der Regel nur kurzzeitig mit Patches versorgt und steht dann irgendwann angreifbar im Netz. Gerade Webcams werden für Angriffe sehr häufig gekapert und missbraucht.
Doch nicht nur fehlende Patches, auch langwierige regulatorische Prozesse behindern die Sicherheit. Datev-Manager Spilker beobachtet: "In der Medizin und der Chemie ziehen sich Zertifizierungsprozesse über Monate, manchmal sogar Jahre hin. Sobald man dann per Patch nur ein Bit ändert, muss das komplette System wieder in den Abnahmeprozess."
Neue Ansätze wie eine generelle Produkthaftung seien nötig, um die Gefahren einzudämmen, so der Tenor der Runde. Die Sicht der Anwender vertrat Patrick Quellmalz, Geschäftsführer VOICE CIO Services. "Wenn Sie ein Auto kaufen, liegt die Verantwortung für die Bremsen beim Hersteller. Diese Form der Haftung muss auch in der IT kommen. Der Anwender kann nicht erst als Betatester eingesetzt und dann noch juristisch belangt werden." Quellmalz mahnte eine stärkere Vernetzung der Behörden und Verbände wie BSI, BMWI und BMI an. Wichtig sei zudem der intensive Austausch der Anwender untereinander, die ihre Scheu ablegen müssten, auch über Sicherheitsfragen zu diskutieren.
DSGVO: Keine Panik, aber...
Hinsichtlich der EU-Datenschutzgrundverordnung (DSGVO) waren sich die Diskutanten einig, dass trotz des nahenden Termins im Mai 2018 noch relativ wenige Unternehmen das Thema ernst nähmen. Dazu einer der Teilnehmer: "Ich fragte den CISO eines Dax-Konzerns nach dem Stand der DSGVO-Vorbereitungen und bekam zur Antwort: Unser Datenschutzbeauftragter hat sich noch nicht bei mir gemeldet."
VOICE-Sprecher Quellmalz erinnerte daran, dass Unternehmen künftig ihren Kunden schnell sagen können müssen, welche Daten sie über ihn gespeichert haben. Außerdem müssen sie in der Lage sein, diese Daten auf Wunsch zu löschen - Aufgaben, denen die Anwender mit Respekt, aber nicht mit Sorge entgegensähen. "Panik gibt es nicht, aber wir werden schon gefragt, was zu tun ist", so der VOICE-Repräsentant.
Bitdefender-Manager Rohr hält einige Formulierungen in der DSGVO für schwammig, vor allem wenn es um den verpflichtenden Einsatz von Security-Lösungen gehe. Um die Regeln künftig einzuhalten, seien Anwender verpflichtet, "moderne, probate Tools" zu verwenden. Die Runde schloss daraus, dass umfangreiche Investitionen wohl erst einmal nicht nötig seien. Bis zur exakten Definition von "modernen und probaten Tools" durch Organisationen wie TÜV oder BSI werde wohl noch einige Zeit vergehen. Rohr bedauert zudem, dass die Chance verpasst wurde, wirklich wegweisende Aspekte in Sachen IT-Sicherheit verpflichtend festzulegen. "Security by Design hätte per Zwang verordnet werden können", so der Experte.