IT Security Consulting: Mit Sicherheit gut beraten

IT-Security - Internet der Dinge und Industrie 4.0

IT-Security 4.0

Internet der Dinge und Industrie 4.0 im Visier von Cyberkriminellen

Auf der digitalen Agenda vieler deutscher Unternehmen ist es das Topthema: Das Internet der Dinge oder auch Internet of Things - (IoT) genannt. Noch in diesem Jahr wird es sich zum Kernantriebsfaktor für die digitale Transformation entwickeln, so die Marktforscher der IDC. Allerdings sind es nicht nur positive Aspekte, die vom IoT ausgehen. Unternehmen und hier vor allem die IT-Verantwortlichen müssen das Thema Sicherheit im Blick behalten.

„Hat 2014‚ Industrie 4.0 die Schlagzeilen beherrscht, erkennen im laufenden Jahr vor allem die Unternehmenslenker das Potenzial von IoT zur Steigerung ihres Umsatzes und des Wertbeitrags für ihre Kunden. Vor diesem Hintergrund werden auch die Ausgaben für Cloud Services und Mobility sowie für Data Analytics und Social weiterhin überdurchschnittlich steigen“, erwartet Lynn Thorenz, Director Research & Consulting bei IDC, einen Boom dieses Sektors.

Das Internet der Dinge sorgt ebenfalls für schnellere und effizientere Produktionsprozesse, „erhöht aber gleichzeitig das Risiko für Unternehmen, Opfer von Online-Attacken zu werden. Entsprechend wird der Datenschutz für Firmen immer komplexer, zeitaufwändiger und teurer“, so eine neue Studie von Roland Berger Strategy Consultants. Der Grund sind die neuen Wertschöpfungsnetze, die durch das IoT entstehen. Wenn Milliarden von Dingen miteinander vernetzt werden, steigert sich automatisch deren Verwundbarkeit. „Hackerangriffe zu bewältigen ist sehr problematisch, da oft verschiedene Bereiche der Wertschöpfungskette eines Unternehmens gleichzeitig angegriffen werden“, erklärt dazu Roland Berger-Partner Manfred Hader. „Klassische IT-Sicherheitsbereiche haben aber meist nur die Business IT im Blick, wie etwa Kommunikationssysteme oder Geschäftsanwendungen. Firmen sollten daher die Problematik der Cyber Security ganzheitlich angehen“, so der Berater.

Lückenlose Security ist Voraussetzung

„Ganzheitlich“ bedeutet in diesem Zusammenhang vor allem Transparenz über sicherheitskritische Bereiche und mögliche Bedrohungsszenarien. Denn die Bedrohung im Internet der Dinge und der Industrie 4.0 beträfe nicht nur die klassische Business IT, „sondern auch in Produkten verbaute Software, Architekturen und Produktions-IT sowie die Vernetzung dieser Produkte, sei es in der Maschinenbau-, Flugzeug- oder Automobilindustrie oder bei kritischen Infrastrukturen“, so die Roland Berger Consultants. „Eine gute Schutzstrategie setzt eine ganzheitliche Bestandsaufnahme voraus“, rät Carsten Rossbach, Partner von Roland Berger Strategy Consultants und ergänzt: „In unserer immer stärker vernetzten Welt darf Cyber Security im Unternehmen nicht mehr in Silos verankert sein.“

Fachleute erwarten neuartige Cyberattacken

Eine Haltung, die Prof. Dr. Frank Schönefeld bestätigt. „In der vernetzen Welt des Internets der Dinge und der Industrie 4.0 werden wir nicht mehr nur allein Angriffe auf Webseiten oder IT-Systeme erleben, sondern deutlich öfter beispielsweise auch Cyberattacken auf Maschinen-Infrastrukturen. Diese können dann komplette Betriebsabläufe lahmlegen oder Fließbänder zum Stillstand bringen. Darauf müssen sich Unternehmen vorbereiten“, so der Security-Experte aus der Geschäftsleitung der T-Systems Multimedia Solutions. Und: „Schützen kann sich nur dasjenige Unternehmen, das sowohl betriebliche Sicherheit, Arbeitssicherheit, IT-Sicherheit als auch Datenschutz- und Datensicherheit stimmig kombiniert“, so der Fachmann weiter.

Wie stimmig diese Einstellung ist, beweist eine aktuelle Untersuchung des Sicherheitsunternehmens Symantec bei bereits vorhandenen Internet of Things-Installationen. Von 50 der analysierten Smart Home-Geräten hatten viele nicht einmal einen Basisschutz. Keines der Geräte nutzt eine gegenseitige Authentifizierung, besteht auf starke Passwörter oder schützt gegen so genannte Brute-Force-Attacken. Beinahe 20 Prozent der mobile Apps, die zur Kontrolle der Smart Devices genutzt werden, senden die Daten unverschlüsselt in die Cloud beziehungsweise zum Server. Von 15 geprüften Smart Home Cloud-Schnittstellen wiesen zehn, zum Teil kritische, Web-Schwachstellen auf. Durch diese können Angreifer ein Haus per Fernsteuerung aufsperren. Und durch unsignierte Firmware Updates für Smart Home Geräte können Angreifer vollständig die Kontrolle über das entsprechende Gerät erlangen.

Fazit: Industrie 4.0 und das Internet der Dinge erschließen Unternehmen neue Märkte, neue Umsatzchancen und neue, maximale Effizienzgewinne. Gleichwohl benötigen beide Phänomene aber auch neue Sicherheitskonzepte. Verschlüsselung und Authentifizierung müssen dabei den Weg in die Industriehallen finden, genauso wie innovative Berechtigungskonzepte für Menschen und Maschinen. Als größte Hindernisse auf dem Weg zur Industrie 4.0 werden von den befragten Unternehmen in einer aktuellen McKinsey-Studie das Wissen der Mitarbeiter, Datensicherheit und einheitliche Datenstandards gesehen. Dringend Zeit also, diese Hindernisse aktiv anzugehen und zu beseitigen.

IoT Security – Wie Standards für ein sicheres Internet der Dinge sorgen

IoT Security ist genauso so schwierig wie sie wichtig ist. Warum sie schwierig ist? Das Internet der Dinge ist wesentlich komplexer als gewöhnliche IT Technik. In der IoT Ära kommunizieren Maschinen miteinander (M2M Kommunikation). Daten werden in rauen Mengen in Clouds abgelegt und verarbeitet. Die Informationen fliegen durch unzählige wireless Verbindungen.

Für viele Firmen bedeutet das Internet of Things natürlich die Vereinfachung von Prozessen. IoT-Technik erleichtert ja nicht nur Verarbeitungsprozesse. Auch Anwendungsfälle in der Industrie 4.0 oder die Möglichkeiten des Smart Home gehören zum Portfolio. So sorgt das Internet der Dinge für viele kleine Wunder, die wie durch Geisterhand real werden. Aber wo es gute Geister gibt, gibt es leider auch böse. Und die werden in der Regel von Kriminellen gesteuert. Das heißt, dass Datenklau, Trojaner und Malware uns beim Internet der Dinge mehr denn je schaden können. Und zwar in einem viel erheblicheren Ausmaß, als es bisher bei Hackerangriffen möglich war. Der klassische Banküberfall war eben gestern.

IoT Security

Genau hier liegt das Problem der digitalen Welt. Das Thema IoT Security wird zu oft noch auf die gleiche Weise angegangen, wie Unternehmen ihre herkömmlichen IT Technologien schützen. Das Internet der Dinge erzeugt aber viel mehr Daten, die gesichert werden müssen. Außerdem ist es geografisch verteilter und konzentriert sich nicht allein auf einen Ort. Wir brauchen also nicht bloß einen gewöhnlichen Schutz à la Firewall oder Anti-Viren Scanner. Vielmehr brauchen wir eine umfassende Ghosbusters Armee, die unsere guten Geister vor den bösen beschützt.

Die aktuelle Lage in der IoT Security

Das Internet der Dinge erfährt mehr und mehr Akzeptanz. Es ist inzwischen mehr als nur ein Phänomen. Es wird zunehmend als Bereicherung verstanden. Consumer, Hersteller oder auch Mediziner wissen inzwischen, was es bedeutet, wenn die Maschinen uns durch Konnektivität unterstützen. Und natürlich wollen alle, dass das Internet of Things auch weiterhin ist. Genau das aber funktioniert nur, wenn auch die Sicherheit garantiert werden kann oder sich zumindest auf einem hohen Niveau befindet. Schließlich will man ja auch nicht, dass der Lieblingsneffe zum schwarzen Schaf mutiert. Bloß weil er von Kriminellen Individuen missbraucht wird und uns Schaden zufügt. Der Schaden kann schließlich immens sein.

Laut einer Gartner-Prognose sollen bis 2021 immer mehr drahtlose Netzwerke und Daten in Umlauf gebracht werden. Keine Frage, dass dabei aufregende Geschäftsmöglichkeiten entstehen. Gleichzeitig aber entsteht auch ein neuer Nährboden für eine Vielzahl neuer Sicherheitsbedrohungen. Immerhin ist diese Erkenntnis inzwischen bei vielen Nutzern angekommen. Niemand würde die Risiken heutzutage noch herunterspielen. Spätestens seit den Angriffen mit der Malware Mirai wissen wir, dass die Sicherheitsverfahren, die vielleicht in der IT etabliert sind, nicht für eine umfassende IoT Security sorgen. Trotzdem bleibt die Sicherheit ein Problem. Umfragen haben ergeben, dass viele Unternehmen ihre connected Devices mit althergebrachten Mitteln schützen. In der Realität sieht das so aus: 72 Prozent verlassen sich auf einfache Kontrollen und Netzwerk-Kennwörter. Genau das aber reicht nicht. Übliche Sicherheitsfeatures wie die gute alte Verschlüsselung sind ebenfalls zu wenig. Und in Zeiten, in denen Smarte Kraftwerke oder Connected Cars an den Start gehen, sollte Sicherheit natürlich an erster Stelle stehen.

Warum Standards für die IoT Security wichtig sind

Zum einen sorgt Inkompatibilität immer noch für größere Probleme. Damit das Internet der Dinge nämlich den gewünschten Wert erhält, sollten Geräte, Netzwerke und Anwendungen einwandfrei zusammenarbeiten können. Und dadurch auch die nötige Sicherheit ermöglichen. Verschiedene Bereiche des Internet of Things zu standardisieren, ist daher unerlässlich auf dem Weg zum sicheren Internet der Dinge. Ein IoT-System, das gewissen Standards unterliegt, bringt weniger Probleme in der Kommunikation, Verwaltung, oder Anwendung, da es keine Interoperabilitätsprobleme mit den anderen Elementen aufwirft. Oder eben auch zu mehr Sicherheit führt. Bei einem Standard wissen die Ghostbusters nämlich direkt, wie sie agieren können und müssen nicht erst wieder ein neues Handbuch lernen.

Natürlich ist es nicht einfach, zu definieren, was und wie standardisiert werden soll. Was hierfür hilfreich sein könnte, wäre eine Norm à la ISO 27001

Eine zertifizierte Norm könnte helfen

In der herkömmlichen IT hat sich der TÜV zertifizierte der ISO 27001-Standard bereits bewährt. In der ISO 27001 sind schließlich allgemeine Anforderungen formuliert, die risikoadäquat umgesetzt werden müssen. Dadurch wird verhindert, dass unterschiedliche Auffassungen von Sicherheit für Probleme sorgen. Mit der ISO 27001 Zertifizierung wird ein umfassendes IT-Sicherheitsmanagement eben zum Standard, da die Sicherheit von Informationen und IT-Umgebungen einer Norm nach bewertet wird. Auf diese Weise wissen auch der Kunde und der Geschäftspartner, wie es um die Security steht.

Eine solche Norm kann auch für mehr IoT Security sorgen. Ansätze gibt es bereits. Die IEC 62443 ist eine internationale Normenreihe über industrielle Kommunikationsnetze bzw. IT-Sicherheit für Netze und Systeme. Damit wäre ein wichtiger Ansatz in der Standardisierung bereits gegeben. Darüber hinaus bräuchte es aber auch eine Regelkonformität zur allgemeinen Einhaltung. Die Compliance Kultur zur Datensicherheit, welche Unternehmen, die mit IoT Systemen arbeiten, in ihren Code of Conduct aufnehmen, könnte das Gefahrenpotenzial weiter reduzieren.

Organisationen wie die Europäische Agentur für Netz- und Informationssicherheit (ENISA) gehen sogar noch weiter. Sie setzen sich für eine gesetzlich geregelte Sicherheitskultur ein.

Eine sichere Cloud für mehr IoT Security

Nicht allein Standards oder zertifizierte Normen können helfen. Sowohl als Endverbraucher, als auch als Unternehmer ist es zum Beispiel wichtig, Geräte mit integrierter Sicherheit zu kaufen. Des Weiteren heißt es: Updaten, updaten, updaten. Auf diese Weise können bekannte Sicherheitslücken rasch beseitigt werden. Und natürlich ist auch das Verschlüsseln und Authentifizieren von Daten und identifizieren Geräte immer noch unumgänglich.

Eingebettete kryptografische Tools etwa stellen eine hohe Personalisierung des IoT-Objekts sicher und sorgen für eine zuverlässige Geräteauthentifizierung in Netzwerken. Ebenso sollte der genutzte Cloud Provider eine sichere Datenverschlüsselung und umfassendes Portfolio zur Sicherung der Daten garantieren. So hat einer der großen Cloud-Anbieter Amazon seine Cloud-Infrastruktur bereits früh auf einen hohen Sicherheitsstandard ausgerichtet.

Der Amazon Web Services (AWS) verschlüsselt etwa alle Daten, die über das AWS Global Network fließen, zuerst auf der physischen Ebene. Das passiert automatisch, bevor die Daten die im hohen Maße gesicherten Standorte verlassen. Weitere Verschlüsselungsebenen wie sorgen für noch mehr IoT Security. Amazon hat damit schon mal einen eigenen Standard geschaffen.

Du möchtest mit unserem Team sprechen?

Experten-Chat

Was ist deine Meinung zum Artikel? Wir sind gespannt auf deine Gedanken. Melde dich für einen ganz entspannten Austausch mit einem unserer Fachexperten. Discovery Call vereinbaren Discovery Call Wir möchten mehr über dich erfahren! Erzähl uns von deinen Herausforderungen und deinem Bedarf, um herauszufinden, wie IOX dir helfen kann. 30-Minuten Demo vereinbaren

Click to rate this post! [Total: 1 Average: 5 ]

sharing is caring Tweet

IT Security Consulting: Mit Sicherheit gut beraten

Die TÜV NORD IT Secure Communications steht für unabhängiges und maßgeschneidertes Security Consulting und Programmmanagement in der sicheren Digitalisierung von Öffentlicher Hand und Wirtschaft.

Unsere Mitarbeiter:innen beraten Kunden in ihrem Bestreben, das Vertrauen in robuste, hoch verfügbare Infrastrukturen und Organisationen zu stärken und begleiten Auftraggeber auf ihrem Weg der digitalen Transformation.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels