Anwender wollen leicht zugängliche Technologien. Immer mehr Geräte werden vernetzt und mit Unternehmensnetzwerken verbunden. Was aber dabei oft auf der Strecke bleibt, ist die Sicherheit. Ein Kommentar von Simon Bryden, Consulting System Engineer bei Fortinet. [...]
Seit die ersten Netzwerk–Firewall-Geräte auf den Markt gekommen sind, haben Anzahl, Vielfalt und Komplexität von Bedrohungen mit alarmierender Geschwindigkeit zugenommen. Infolgedessen ist auch die Vielfalt der installierten Security-Geräte gestiegen, mit denen sich Unternehmen vor unterschiedlichsten Angriffsformen über Kanäle wie E-Mail, Web oder Social Media schützen wollen.
Diese Situation hat in Unternehmen häufig zu einem Flickwerk von Security-Lösungen geführt, die nur einzelne Sicherheitsaspekte abdecken. Zugleich ist der Verwaltungs- und Wartungsaufwand bei Einzellösungen enorm, wenn nicht sogar von Nachteil. Darüber hinaus bieten einzelne Geräte oft nicht die notwendige, umfassende Transparenz, um komplexe Angriffe zu erkennen und abzuwehren.
IoT lässt ganzheitliche Security-Lösungen wichtiger werden
In dieser komplexen, feindlichen Bedrohungslandschaft werden ganzheitliche, lückenlose und automatisierte Security-Lösungen wie die Fortinet Security Fabric immer wichtiger, bei denen Komponenten zusammenarbeiten, die Informationen austauschen, Ereignisse korrelieren und geeignete Maßnahmen ergreifen können – von Erkennung und Schutz bis hin zur Alarmierung des Security-Operations-Teams. Transparenz ist das A und O. Auch müssen Daten so präsentiert werden, dass Mitarbeiter die relevanten Informationen einfach sehen können – ohne mit Log-Meldungen oder falsch-positiven Erkennungen überschüttet zu werden.
Durch das Internet der Dinge und die Industrie 4.0 kommen immer mehr vernetzte Geräte mit unglaublich schlechter IT-Security auf den Markt. Die Forderungen nach Sicherheitsvorschriften für das IoT (und das IIoT) nehmen zu, allerdings sollte man hier nicht vorschnell handeln: Es gibt Bereiche, in denen eine staatliche Regulierung sinnvoll ist. So zum Beispiel in Umgebungen, in denen sich Benutzer möglicherweise nicht der Gefahren bewusst sind, die scheinbar harmlose Geräte mit sich bringen.
Staatliche Regulierung teilweise sinnvoll
Dies ist vor allem im Markt für Consumer-IoT der Fall, wo nicht nur die Leistung der erhältlichen Geräte zunimmt, sondern auch ihr Potenzial, durch Kriminelle ausgenutzt zu werden. Beispiele dafür sind Haus- und Gebäudetechniksysteme, die kompromittiert werden können, um Einbrecher mit „hilfreichen“ Informationen zu versorgen.
Zum Beispiel können die Bilder von Videokameras abgefangen werden, um Informationen über Einrichtung, Wertgegenstände, Bewohner und Anwesenheit zu erhalten. Auch mit der Systemtechnik vernetzte Türschlösser lassen sich so knacken. Und natürlich kann jedes dieser Geräte zur Teilnahme an kombinierten bösartigen Angriffen wie den massiven IoT-DDoS-Angriffen im Vorjahr missbraucht werden.
Da Hersteller alles daransetzen, mehr Funktionen zu geringeren Kosten anzubieten, wäre eine gesetzliche Regelung mit Mindestsicherheitsanforderungen für IoT-Geräte (und damit auch für IIoT-Geräte) sinnvoll. Dann könnten sich Verbraucher in gewissem Maße darauf verlassen, dass ein Produkt ausreichende Sicherheit bietet und keine Gefahr für ihr Zuhause darstellt. Dies dürfte den – heute leider noch fehlenden – Anreiz für Anbieter schaffen, die Security gleich bei der Produktentwicklung mit einzuplanen.
Innovation darf nicht gehemmt werden
Gleichermaßen muss bei einer professionelleren Nutzung des IoT – insbesondere bei industriellen und kritischen Infrastruktur–Anwendungen – darauf geachtet werden, dass eine solche Regulierung keinen Einfluss auf Innovation und Wettbewerb hat. Hier ist es äußerst wichtig, dass Netzwerk-Teams über die erforderlichen Informationen, Fähigkeiten und Tools verfügen, um sicherzustellen, dass Geräte und Systeme je nach Einsatz angemessene Sicherheitsstandards erfüllen.
*Simon Bryden ist Consulting System Engineer bei Fortinet.
Be the first to comment