Achillesferse Security: IoT muss sicherer werden

Eine Unmenge verbundener Geräte, vielfältige Anwendungen sowie Hersteller, die in der Design-Phase den Faktor IT-Security vernachlässigen. Beim Thema "Sicherheit im IoT" gibt es noch viel zu tun. Basis für mehr Sicherheit sind intelligente, sichere Netzwerke, Automatisierung, mehr Standards und eine neue Sicherheitskultur. [...]

Das Internet der Dinge (Internet of Things, IoT) bietet grundsätzlich vier Einfallstore für Hacker und andere Cyberkriminelle: die Endgeräte, die App auf dem mobilen Gerät, das Backend und die Übertragungswege. Doch viele Anbieter und auch Kunden von IoT-Anwendungen vernachlässigen bei der Entwicklung den Faktor Sicherheit. Daher überrascht es nicht, dass die Teilnehmer des COMPUTERWOCHE-Round-Tables „IoT – im Spannungsfeld zwischen Security und Safety“ für die aktuelle Sicherheitslage im IoT auf einer Skala von 1 (=sicher) bis 10 (=katastrophal) im Schnitt eine 8,5 bis 9 vergaben.
„Es ist teilweise erschreckend, was die Kunden tun. Sie erstellen einen Proof of Concept ihrer Anwendung und gehen dann so schnell wie möglich produktiv. Die Sicherheit steht dabei im Hintergrund, da sie zu viel Aufwand kostet“, sagte Matthias Schorer, Lead Business Development Manager IoT, EMEA, bei VMware. „Das ist fatal, da die Gefahren und die Komplexität durch die zunehmende Vernetzung weiter steigen.“
Josef Meier, Manager Sales Engineering Germany bei Fortinet, sieht das ähnlich: „Bei vielen disruptiven Technologien stehen zunächst die Vorteile im Vordergrund. Der Gedanke an Sicherheit kommt erst nach einer gewissen Zeit der Nutzung. So ist es auch beim Thema IoT.“ Eine weitere Security-Problematik sieht er im großen Spektrum der IoT-Anwendungen, die von Wearables über das vernetzte Auto bis hin zu Produktionsanlagen reichten.
INDUSTRIE BESSER GESCHÜTZT ALS PRIVATANWENDER
Die Teilnehmer des Round Tables waren sich einig, dass man zwischen verschiedenen Anwendungsszenarien differenzieren müsse. „Im IoT sind die Scheunentore aktuell bei Privatanwendern noch weitaus offener als bei den Firmen. Unternehmen sind zwar meist besser geschützt, müssen aber die Innovationen des IoT weiterhin mit Sicherheit verknüpfen. Diese Sicherheit muss dabei bereits am Zugangspunkt von IoT-Geräten gewährleistet werden“, erklärt Nicolai Blonner, Account Manager bei Alcatel-Lucent Deutschland.
Auch Andreas Kaiser, Director von Rohde & Schwarz Cybersecurity, ist der Meinung, dass große Industriebetriebe schon relativ sicher seien und in vielen Fällen bereits auf Security by Design setzten. „Das IoT forciert die Konvergenz zwischen dem öffentlichen Internet und dem bisher geschlossenen Raum der Industrieanlagen. Firmen müssen daher Security ganzheitlich betrachten. Im privaten Bereich ist Security für viele Nutzer zu komplex. Daher würde ich hier auf der Skala von 1 bis 10 den Faktor 10 ansetzen.“
Smart-Home-Lösungen, Thermostate oder andere vernetzte Geräte in Privathaushalten werden zunehmend zum Ziel von Hackern. „Sicherheit ist hier immer auch eine Kostenfrage“, gibt Paul Haigh zu bedenken, Country Manager Germany IoT bei Vodafone. „IP-Kameras gibt es beispielsweise für 25 Euro, aber auch für 500 Euro. Ein teureres Gerät eines etablierten Herstellers hat wahrscheinlich auch ein viel sicheres System im Hintergrund.“
UMSTRITTEN: ERHÖHEN STANDARDS DEN SCHUTZ?
Endanwender haben bei der Wahl von IoT-Lösungen eine große Auswahl. „Die Vielfalt der Produkte erschwert aber die Entwicklung von Standards. Wir brauchen einige IoT-Standards, um die Sicherheit zu erhöhen, etwa bei den Schnittstellen“, fordert Axel Hansmann, VP M2M Portfolio & Strategy bei Gemalto. „Sicherheit darf nicht nur auf höhere Anlaufkosten reduziert werden, sondern kann als Wegbereiter neuer Geschäftsmodelle auch mehr Wertschöpfung ermöglichen.“
VMware-Mann Matthias Schorer ist beim Thema Standards etwas skeptischer. „Es dauert ewig, bis ein Standard umgesetzt ist. Die technische Entwicklung ist hier zu schnell. Und Standards alleine helfen nicht, wenn die IoT-Software Schwachstellen aufweist.“ Laut Schorer gibt es in der Industrie rund 2.000 verschiedene Protokolle, jeder Gateway-Hersteller setze seine eigene Linux-Software ein, der Wildwuchs an Betriebssystemen sei nur schwer in den Griff zu bekommen.
Martin Böker, Director B2B bei Samsung, fordert vor allem Schnittstellen-Standards für die sichere Kommunikation zwischen den vernetzten Geräten. „Die Geräte sollen offen sein, müssen sich aber in einem geschlossenen Umfeld bewegen. Die Standardisierungsgremien müssen hier ihre Prozesse überdenken und beschleunigen, damit sich die Standards schneller an neue Entwicklungen anpassen lassen.“
Standards seien insbesondere für die funktionale Sicherheit und Anwendungen notwendig, in denen menschliches Leben auf dem Spiel steht, meint Andreas Kaiser von Rohde & Schwarz Cybersecurity. „Das autonome Auto funktioniert ohne Standards nicht. Auch in kritischen Infrastrukturen und der Industrie geht nichts ohne Standards und Zertifikate für den Zugang zum Netz. Wir müssen wissen, was passiert, wenn sich ein Gerät mit einem Netzwerk verbindet.“


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*