Sie sind hier: Home » Fachbeiträge » Grundlagen

Eine sichere Zukunft für das Internet der Dinge

IoT-Sicherheit: Die enorme Anzahl vernetzter Dinge und damit verbundener Prozesse bringt naturgemäß mehr Schwachstellen mit sich
Erfolgreiche IoT-Anwendungen beschränken sich längst nicht auf Geräte für Endverbraucher - Mit der starken Automatisierung in der produzierenden Industrie und im Maschinenbau hat das Industrielle Internet der Dinge (Industrial Internet of Things - IIoT) Einzug gehalten.

John Grimm, Senior Director of IoT Security Strategy bei Thales eSecurity

Mittlerweile kontrollieren wir die Steuerung von Licht und Heizung über Amazon Echo, lassen die Leistung des PKW remote analysieren und potenzielle Fehler diagnostizieren, und wir verlassen uns auf die automatisierte Verwaltung von Systemen in betrieblichen Umgebungen. Das Internet der Dinge (Internet of Things - IoT) bestimmt bereits viele Aspekte dessen wie wir arbeiten und leben. Ein Ende des Booms ist nicht abzusehen. In immer neuen Studien gehen die prognostizierten Zahlen weiter nach oben. Inzwischen gehen Schätzungen davon aus, dass die Zahl der vernetzten Geräte innerhalb der nächsten drei Jahre auf 30 Milliarden anwachsen wird, bereits im Jahr 2025 soll sie sogar bei 80 Milliarden Dingen liegen.

Diese enorme Anzahl vernetzter Dinge und damit verbundener Prozesse bringt naturgemäß mehr Schwachstellen mit sich. Schon jetzt zeichnet sich ab, dass wir in Zukunft nicht nur mehr Angriffe zu erwarten haben, sondern auch eine größere Bandbreite an Attacken. Bei einer derart riesigen Angriffsfläche sind die potenziellen Schäden kaum absehbar.

Dass die Gefahr inzwischen real ist, haben wir in der jüngeren Vergangenheit schon mehrfach beobachten dürfen. So konnte etwa eine Schwachstelle in dem Netzwerk-Controller identifiziert werden, den die meisten aktuellen Fahrzeugtypen verwenden. Über diese Schwachstelle haben Angreifer beispielsweise die Möglichkeit, die Sicherheitsfunktionen des betreffenden PKW auszuhebeln wie etwa das ABS-Bremssystem, die Servolenkung oder die Air Bags. Bekannt auch der in den USA aufgetretene Fall, als die "Food and Drug Administration" 465.000 Patienten, Träger eines bestimmten Typs vernetzter Herzschrittmacher, aufforderte, ihren Arzt aufzusuchen um ein Update der Firmware einzuspielen. Der Grund für die Aufsehen erregende Aktion waren Schwachstellen, über die ein Hacker die Geräte übernehmen und die Patienten einem gesundheitlichen Risiko aussetzen könnte.

Das ist nur die Spitze des Eisbergs. Etliche solcher Schwachstellen existieren vermutlich seit Jahren im Verborgenen. Bisher hat sie nur noch niemand gefunden. Mit der Zahl der für unterschiedliche Bereiche eingesetzten Geräte, werden die Ziele für Hacker zunehmend interessanter. Ein Trend, der uns sicherlich noch eine Weile begleiten wird.

Betriebssicherheit und IT-Sicherheit zusammen denken
Erfolgreiche IoT-Anwendungen beschränken sich längst nicht auf Geräte für Endverbraucher. Mit der starken Automatisierung in der produzierenden Industrie und im Maschinenbau hat das Industrielle Internet der Dinge (Industrial Internet of Things - IIoT) Einzug gehalten. Ein Paradigmenwechsel. Denn hier bringt die Technologie zwei bisher mehr oder weniger getrennt voneinander existierende Ebenen näher zusammen: die der betrieblichen Prozesse, die Operational Technology (OT), und die IT. Sicherheitsüberlegungen in der produzierenden Industrie beschränkten sich traditionell auf die physische Sicherheit und die Sicherheit der Mitarbeitenden.

Allerdings sind Fabrikhallen heute zunehmend vernetzt. Ganze Produktionsanlagen und Fertigungsstraßen können aus vernetzten Geräten bestehen. Das bringt traditionelle Sicherheitskonzepte mit solchen für die IT-Sicherheit näher zusammen, stellt aber auch hohe Anforderungen an die Cybersicherheit. Denn es gilt sowohl Fabrikationsgebäude als auch Produktionsanlagen vor Bedrohungen von Außen zu schützen. Ebenso wie die Mitarbeitenden.

Sicherheit von Anfang an
Mit der steigenden Zahl von Angriffen und Datenschutzverletzungen, die es mittlerweile routinemäßig in die Nachrichtensendungen und Schlagzeilen schaffen, sind die Konsumenten in Sachen Sicherheit deutlich aufmerksamer geworden (um nicht zu sagen misstrauischer). Wir sind derzeit noch nicht an einem Punkt an dem Datenschutzverletzungen und potenziell auszunutzende Schwachstellen die Kaufentscheidungen der Verbraucher signifikant beeinflussen.

Aber das Blatt beginnt sich zu wenden. Um sich das Vertrauen der zunehmend sicherheitsaffineren Konsumenten zu erhalten, müssen die Hersteller selbst die Initiative ergreifen. Es gilt existierende Schwachstellen aufzudecken und zu adressieren. Wenn Anbieter es nicht schaffen potenzielle Datenlecks effizient und sicher zu beseitigen, wird das dem Absatz der Produkte definitiv schaden. Die Folgen eines Vertrauensverlustes sind noch weitreichender. Sie betreffen nicht nur die Zahl der verkauften Produkte, meistens nimmt die gesamte Marke Schaden. Und dieser Vertrauensverlust betrifft mittelbar sämtliche IoT-Anwendungen.

Die Hersteller sind gefragt, auch im eigenen Interesse. Anbieter und Hersteller vernetzungsfähiger Geräte müssen stärker als bisher bewährten Empfehlungen folgen und das Sicherheitsdesign ihrer Produkte von Anfang an strenger beachten. Geräte für Endverbraucher zeichnen sich leider nach wie vor eher durch angesagte Features und einen erschwinglichen Preis aus. Bei diesen Geräten sind die Standardsicherheitsmaßnahmen keinesfalls ausreichend. Ein Beispiel dafür sind fest programmierte Passwörter, die der Benutzer nicht selbst verändern kann. Das öffnet einem unerwünschten administrativen Login eines remote agierenden Hackers Tür und Tor.

Um das zu verhindern, werden Hersteller nicht umhin kommen, der Softwaresicherheit mehr Aufmerksamkeit zu widmen. Das fängt schon bei der Entwicklung an. Sie folgt bisher nur selten den Best Practices der IT-Sicherheit. Die Software sollte, wie sonst auch, Schwachstellentests unterzogen werden, und vor allem sollte es Mechanismen geben, die über den gesamten Lebenszyklus hinweg Authentizität und Integrität absichern. Nur dann ist gewährleistet, dass sich Patches und Updates zukünftig einspielen lassen.

IoT-Sicherheit ist für existierende und zukünftige Anwendungen unumgänglich. Die Anbieter haben es in der Hand die Voraussetzungen dafür zu schaffen. An dieser Stelle sollten sich alle Beteiligten endlich davon verabschieden Sicherheit als Hürde zu betrachten statt als Eckpfeiler für geschäftsunterstützende Prozesse. Die Unternehmen, die Sicherheit richtig verstehen verfügen über einen immensen Wettbewerbsvorteil gegenüber denen, die sich an dieser Stelle schwer tun. Und das nicht zuletzt aus kommerziellen Überlegungen heraus. Verbraucher werden sich bei ihren Kaufentscheidungen zunehmend von Aspekten wie Betriebs- und IT-Sicherheit bei vernetzten Geräten leiten lassen. Das wird langfristig allen Anwendungen und Nutzern im IoT gut tun und die Entwicklung befördern.
(Thales eSecurity: ra)

eingetragen: 19.07.18
Newsletterlauf: 24.07.18

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Grundlagen

Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.
DDoS-Angriffe nehmen weiter Fahrt auf
DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.
Fluch und Segen des Darkwebs
Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Crashtest für die IT-Sicherheit Die menschliche Firewall

Fachartikel

Big Data bringt neue Herausforderungen mit sich
Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.
Bösartige E-Mail- und Social-Engineering-Angriffe
Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.
Zertifikat ist allerdings nicht gleich Zertifikat
Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.
Datensicherheit und -kontrolle mit CASBs
Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.
KI: Neue Spielregeln für IT-Sicherheit
Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.