IoT zwischen Sicherheit, Innovation und staatlicher Regulierung

Anwender wollen leicht zugängliche Technologien. Immer mehr Geräte werden vernetzt und mit Unternehmensnetzwerken verbunden. Was aber dabei oft auf der Strecke bleibt, ist die Sicherheit. Ein Kommentar von Simon Bryden, Consulting System Engineer bei Fortinet. [...]

Simon Bryden, Consulting System Engineer bei Fortinet
Simon Bryden, Consulting System Engineer bei Fortinet (c) Fortinet

Seit die ersten NetzwerkFirewall-Geräte auf den Markt gekommen sind, haben Anzahl, Vielfalt und Komplexität von Bedrohungen mit alarmierender Geschwindigkeit zugenommen. Infolgedessen ist auch die Vielfalt der installierten Security-Geräte gestiegen, mit denen sich Unternehmen vor unterschiedlichsten Angriffsformen über Kanäle wie E-Mail, Web oder Social Media schützen wollen.

Diese Situation hat in Unternehmen häufig zu einem Flickwerk von Security-Lösungen geführt, die nur einzelne Sicherheitsaspekte abdecken. Zugleich ist der Verwaltungs- und Wartungsaufwand bei Einzellösungen enorm, wenn nicht sogar von Nachteil. Darüber hinaus bieten einzelne Geräte oft nicht die notwendige, umfassende Transparenz, um komplexe Angriffe zu erkennen und abzuwehren.

IoT lässt ganzheitliche Security-Lösungen wichtiger werden

In dieser komplexen, feindlichen Bedrohungslandschaft werden ganzheitliche, lückenlose und automatisierte Security-Lösungen wie die Fortinet Security Fabric immer wichtiger, bei denen Komponenten zusammenarbeiten, die Informationen austauschen, Ereignisse korrelieren und geeignete Maßnahmen ergreifen können – von Erkennung und Schutz bis hin zur Alarmierung des Security-Operations-Teams. Transparenz ist das A und O. Auch müssen Daten so präsentiert werden, dass Mitarbeiter die relevanten Informationen einfach sehen können – ohne mit Log-Meldungen oder falsch-positiven Erkennungen überschüttet zu werden.

Durch das Internet der Dinge und die Industrie 4.0 kommen immer mehr vernetzte Geräte mit unglaublich schlechter IT-Security auf den Markt. Die Forderungen nach Sicherheitsvorschriften für das IoT (und das IIoT) nehmen zu, allerdings sollte man hier nicht vorschnell handeln: Es gibt Bereiche, in denen eine staatliche Regulierung sinnvoll ist. So zum Beispiel in Umgebungen, in denen sich Benutzer möglicherweise nicht der Gefahren bewusst sind, die scheinbar harmlose Geräte mit sich bringen.

Staatliche Regulierung teilweise sinnvoll

Dies ist vor allem im Markt für Consumer-IoT der Fall, wo nicht nur die Leistung der erhältlichen Geräte zunimmt, sondern auch ihr Potenzial, durch Kriminelle ausgenutzt zu werden. Beispiele dafür sind Haus- und Gebäudetechniksysteme, die kompromittiert werden können, um Einbrecher mit „hilfreichen“ Informationen zu versorgen.

Zum Beispiel können die Bilder von Videokameras abgefangen werden, um Informationen über Einrichtung, Wertgegenstände, Bewohner und Anwesenheit zu erhalten. Auch mit der Systemtechnik vernetzte Türschlösser lassen sich so knacken. Und natürlich kann jedes dieser Geräte zur Teilnahme an kombinierten bösartigen Angriffen wie den massiven IoT-DDoS-Angriffen im Vorjahr missbraucht werden.

Da Hersteller alles daransetzen, mehr Funktionen zu geringeren Kosten anzubieten, wäre eine gesetzliche Regelung mit Mindestsicherheitsanforderungen für IoT-Geräte (und damit auch für IIoT-Geräte) sinnvoll. Dann könnten sich Verbraucher in gewissem Maße darauf verlassen, dass ein Produkt ausreichende Sicherheit bietet und keine Gefahr für ihr Zuhause darstellt. Dies dürfte den – heute leider noch fehlenden – Anreiz für Anbieter schaffen, die Security gleich bei der Produktentwicklung mit einzuplanen.

Innovation darf nicht gehemmt werden

Gleichermaßen muss bei einer professionelleren Nutzung des IoT – insbesondere bei industriellen und kritischen InfrastrukturAnwendungen – darauf geachtet werden, dass eine solche Regulierung keinen Einfluss auf Innovation und Wettbewerb hat. Hier ist es äußerst wichtig, dass Netzwerk-Teams über die erforderlichen Informationen, Fähigkeiten und Tools verfügen, um sicherzustellen, dass Geräte und Systeme je nach Einsatz angemessene Sicherheitsstandards erfüllen.

*Simon Bryden ist Consulting System Engineer bei Fortinet.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*