NEWS
Dem Angriff der Dinge vorbeugen
Mit dem Internet der Dinge (Internet of Things, IoT) weitet sich die Basis für Cyberangriffe aus. Sicherheit ist deshalb auch im Netz der Sensoren und Controller zum Topthema geworden.
Im Herbst 2016 erfolgte der erste Angriff. Oder besser: Es wurde der erste Angriff bekannt. Und zwar ein Angriff aus dem Internet der Dinge auf wichtige Server. Webseiten von Netflix, Twitter, Spotify und anderen waren über viele Stunden nicht wie üblich erreichbar. Kriminelle hatte mit der Schadsoftware namens Mirai Hundertausende ungeschützter Geräte im Internet wie IP-Kameras und digitale Videorekorder gekapert, zu einem sogenannten Botnetz zusammengeschaltet und mit deren Rechenleistung den Angriff gestartet.
Spätestens seitdem ist klar, dass jedes vernetzte Gerät von Kriminellen angegriffen und für Straftaten missbraucht werden könnte – sofern es nicht ausreichend geschützt ist. Sowohl Unternehmen als auch Verbraucher machen sich Sorgen um die Sicherheit von IoT-Anwendungen. Das international tätige Unternehmen Gemalto, spezialisiert auf die Absicherung digitaler Dienste, hat in einer aktuellen Studie ermittelt, dass deshalb 96 Prozent der Unternehmen und 90 Prozent der Verbraucher staatliche Regelungen für die IoT-Sicherheit befürworten. Die größte Sorge gilt dabei dem Missbrauch der Geräte und dem Datenschutz: 65 Prozent der Verbraucher befürchten, dass Hacker die Kontrolle über ihre vernetzten Geräte übernehmen könnten. 60 Prozent bereitet der mögliche Diebstahl ihrer Daten Kopfzerbrechen. Dabei mangelt es nicht an Erfahrung mit dem Internet der Dinge. 54 Prozent der Verbraucher besitzen durchschnittlich vier vernetzte Gegenstände – allerdings gehen nur 14 Prozent davon aus, dass sie wirklich gut über die Sicherheit ihrer Geräte Bescheid wissen. Auch auf Unternehmensseite sieht es nicht wirklich gut aus: Nur 33 Prozent der Unternehmen glauben, dass sie ihre IoT-Anwendungen und die Daten gut und sicher im Griff haben. Immerhin: Zwei Drittel der Unternehmen gaben an, dass sie alle Daten verschlüsseln, die sie über IoT-Geräte erfassen und speichern.
Wenn IoT-Anwendungen aber erfolgreicher werden sollen, müssen die Anwender Vertrauen in deren Sicherheit haben. Dies ist und bleibt ein komplexes Thema – umso wichtiger ist es, schon bei Neuentwicklungen auf den Schutz von Gerät, Prozessen und Daten zu achten. „Security by Design“ und „Privacy by Default“ sind zwei Prinzipien, die hierbei helfen können: Wenn von Anfang an bei der Umsetzung einer Idee Sicherheitsaspekte mitberücksichtigt werden, wird die praktische Absicherung einer Anwendung einfacher. Ein Beispiel für „Security by Design“: Damit bei Geräten auch nach ihrer Inbetriebnahme neu entdeckte Sicherheitslücken geschlossen werden können, sollte die Software der Geräte updatefähig sein.
Entsprechend muss deren Speicher aktualisierbar und die sichere Anbindung an die erforderliche Update-Routine sichergestellt sein. Dabei ist auch zu berücksichtigen, was bei einem Fehler dieser Aktualisierung passiert. Oder: Ein Gerät wird zwar mit Standard-Passwort ausgeliefert, eingesetzt werden kann es aber erst, wenn ein individuelles Passwort vergeben wurde. Und „Privacy by Design“ bedeutet beispielsweise, dass die Werkseinstellungen auf Datensparsamkeit ausgelegt sind, also möglichst wenig Daten gespeichert oder übertragen werden.
Das Marktforschungs- und Beratungsunternehmen Crisp Research hat in einer Studie für den TÜV IT ermittelt, wie Unternehmen mit dem oft auftretenden Konflikt „Innovationsgeschwindigkeit gegen Sicherheit“ umgehen. Das Ergebnis: Nur 8,4 Prozent der Unternehmen durchlaufen in der Entwicklung neuer Produkte oder Services die klassischen Schritte Planung, Umsetzung und Kontrolle mit möglicher Nachbesserung und erneuter Kontrolle. Oft wird dem Thema „Time to Market“ größere Bedeutung beigemessen als dem Thema Sicherheit. Sicherheit wird vielfach als Bremse für Innovationen angesehen. „Noch setzen zu wenige Unternehmen IT-Sicherheit konsequent durch“, sagt denn auch Dr. Ekkard Schnedermann, Senior Analyst bei Crisp Research. „Wir brauchen Ansätze wie ‚Security by Design‘ und ‚Security by Default’, weil wir nur so Innovation und Sicherheit zusammenbringen können. Und nur mit Sicherheit schaffen wir das nötige Vertrauen in neue Anwendungen.“
Unternehmen, die dies konsequent umsetzen, schaffen zumindest die Voraussetzung dafür, dass Cyberangriffe aus dem Internet der Dinge massiv erschwert werden.
Um Kunden sichere Anwendungen und Lösungen anbieten zu können, arbeitet Telefónica mit international führenden Partnerunternehmen wie dem amerikanischen Sicherheitsspezialisten Symantec (gehört nun zu Broadcom) zusammen (zum Pressebericht). Gemeinsam planen beide Unternehmen, Sicherheitslösungen für IoT-Umgebungen anzubieten. ElevenPaths, die Cyber Security Unit von Telefónica, kündigte an, mit Symantec Managed PKI Service zu integrieren, um IoT-Umgebungen vor Cyberangriffen zu schützen.