Internet der Dinge (IoT): Sieben wichtige Risiken für Unternehmen

Das Internet der Dinge (IoT, Internet of Things) bringt nicht nur Vorteile, sondern auch viele Herausforderungen und Sicherheitsrisiken für Firmen.

Es ist angeblich nicht mehr lange hin, bis jedes elektronisches Gerät mit dem Internet verbunden ist. Wir sprechen hier von Smartphones, Autos, Kühlschränken, Lichtschaltern und so weiter. Die Zahl der mit dem Internet verbundenen Geräte steigt schnell. Bis zum Jahre 2020 rechnet man damit, dass es insgesamt 50 Milliarden sind.

Es mag noch so innovativ klingen. Das Phänomen Internet der Dinge (Internet of Things, IoT) erhöht jedoch die Sicherheitsrisiken für Unternehmen und Verbraucher gleichermaßen. Ein Gerät mit einem Betriebssystem, das sich zum Internet verbindet, lässt sich nun mal auch potenziell kompromittieren. Ultimativ endet das möglicherweise in einer Hintertür, mit der sich in Unternehmens-Netzwerke eindringen lässt.

In diesem Beitrag diskutieren wir die Ausbreitung des Internets der Dinge. Außerdem beschäftigen wir uns damit, welche Maßnahmen Firmen einleiten können, um mit den möglichen Security-Risiken durch IoT-Geräte fertig zu werden.

Was ist das Internet der Dinge? Warum steigt dessen Popularität?

Der IoT-Hype verleibt sich schnell komplette Gesellschaften ein. Das Internet der Dinge hat das Potenzial, für jede individuelle Person und Firma von Vorteil zu sein. Für Unternehmen tun sich unglaubliche Möglichkeiten auf, um neue Produkte und Services anzubieten. Für Kunden wird es bequemer und somit sind diese zufriedener.

Aus Sicht der Anwender: Google hat kürzlich angekündigt, dass man Partnerschaften mit mehreren großen Automobil-Herstellern eingeht. Audi, General Motors und Honda wollen Fahrzeuge mit Android auf die Straßen bringen. Google entwickelt derzeit eine neue Android-Plattform, die Automobile mit dem Internet verbindet. Schon bald können Autobesitzer ihre Fahrzeuge mithilfe eines Smartphones oder Computers absperren, aufsperren, den Motor starten und sogar die Leistung des fahrbaren Untersatzes überwachen.

Die Aussichten des IoT gehen allerdings weit über den normalen Anwender hinaus. Mobiles Management von Unternehmen ist ein Beispiel, das sich derzeit schnell entwickelt. Darauf werden Internet-der-Dinge-Geräte einen enormen Einfluss haben. Stellen Sie sich vor, dass jedes an Ihr Unternehmen geliefertes Paket mit einem RFID-Chip ausgestattet ist. Dieser könnte sich wiederum selbständig mit dem Netzwerk verbinden und sich bei einem Logistik-System anmelden. Oder eine medizinische Umgebung, in der jedes Instrument eines Untersuchungszimmers mit dem Netzwerk verbunden ist und Daten der Patienten mithilfe von Sensoren überträgt. Selbst in Branchen wie der Landwirtschaft könnten Sie jedes Tier digital überwachen. Sie wüssten den Aufenthaltsort und hätten die Möglichkeit, Gesundheitszustand und Verhalten zu überwachen. Das Potenzial des IoT ist unendlich. Das gilt auch für die Anzahl an Geräten, die daran teilnehmen.

Die Risiken für Unternehmen

Neben den zahllosen Chancen, die das Internet der Dinge bietet, gibt es auch viele Risiken. Jedes Gerät, das sich mit dem Internet verbinden kann, enthält natürlich ein Betriebssystem in dessen Firmware. Embedded Betriebssysteme sind oftmals nicht mit Priorität auf Sicherheit entwickelt worden. Deswegen gibt es in praktisch all diesen Geräten Schwachstellen. Sehen Sie sich nur die Menge an Malware an, die Android-basierte Geräte in der heutigen Zeit im Visier hat. Ähnliche Bedrohungen kommen auch auf IoT-Geräte zu, je stärker sich diese verbreiten.

Unternehmen und Anwender müssen sich beide auf die zahlreichen Probleme im Zusammenhang mit dem Internet der Dinge einstellen. Im Folgenden finden Sie sieben der zahlreichen Risiken, die das Internet of Things zwangsläufig mit sich bringen wird. Zusätzlich finden Sie diverse Ratschläge, wie sich Firmen dieser Herausforderung stellen können.

1. Betriebsstörung und DoS-Angriffe (Denial-of-Service)

Es muss sichergestellt sein, dass die IoT-basierten Geräte dauerhaft verfügbar sind. Ansonsten gibt es in Bezug auf Enterprise-Services möglicherweise Ausfälle. Selbst der scheinbar einfache Prozess, neue Endgeräte in das Netzwerk aufzunehmen, zwingt Unternehmen, physischen Angriffen auf außen stehende Geräte besondere Beachtung zu schenken. Das gilt im Speziellen für automatisierte Geräte, die auf dem Prinzip Maschine-zu-Maschine-Kommunikation basieren. Es handelt sich hier zum Beispiel um solche, die in Kraftwerken oder bei der Umweltkontrolle Einsatz finden. Aus diesem Grund müssen Unternehmen die physische Sicherheit stärken, um unautorisierte Zugriffe auf Geräte zu verhindern, die sich außerhalb des Security-Perimeters befinden.

Betriebsstörende Cyber-Angriffe wie zum Beispiel DDoS (Distributed Denial-of-Service) könnten neue schädliche Konsequenzen für eine Firma nach sich ziehen. Versuchen Tausende an IoT-Geräten einen Zugriff auf eine Unternehmenswebseite oder auf entsprechende Daten und diese sind dadurch nicht verfügbar, wird das einen ehemals glücklich Kunden unzufrieden machen. Diese Frustration endet dann in Einnahmeverlusten und negativen Folgen bei der Marktresonanz.

Viele der Herausforderungen rund um IoT sind sehr ähnlich zu denen, die Sie bei BYOD (Bring Your Own Device) ebenfalls finden. Sie brauchen Ressourcen und Möglichkeiten, gestohlene oder verlorenen gegangene Geräte zu managen. Dazu gehören das Fernlöschen (Remote Wipe) oder eine Deaktivierung der Verbindung. Das ist in Bezug auf kompromittierte IoT-Geräte extrem wichtig. Fahren Sie so eine Unternehmensstrategie, verringern Sie das Risiko, dass Firmendaten in den falschen Händen landen. Andere Policies könnten ebenfalls hilfreich sein, die Sie bereits bei BYOD im Einsatz haben.

2. Verständnis für die Komplexität der Schwachstellen

2013 hat ein unbekannter Angreifer eine bekannte Sicherheitslücke in einem populären, mit dem Web verbundenen Baby-Monitor ausgenutzt. Damit belauschte er ein zwei Jahre altes Kind. Das hat einigen die Augen geöffnet, welches hohe Risiko das Internet der Dinge für Unternehmen und Verbraucher gleichermaßen mit sich bringen kann. Ein dramatischeres Beispiel wäre, wenn man diesen Vorfall auf ein einfaches Thermostat in einem Kernkraftwerk überträgt, um damit die Temperatur zu manipulieren. Sollten Angreifer so ein Gerät kompromittieren, könnte das zu verheerenden Konsequenzen führen. Das Verständnis für das Komplexitätsniveau der Sicherheitslücken artet zu einem großen Dilemma aus. Man muss wissen, wie groß die jeweilige Bedrohung ist. Um die Risiken so minimal wie möglich zu halten, muss bei jedem Projekt mit IoT-Geräten immer die Sicherheit im Hinterkopf sein. Sie müssen Security-Kontrollen einbeziehen und ein vorentwickeltes rollenbasiertes Sicherheitsmodell am Start haben. Diese IoT-Geräte verwenden Hardware, Plattformen und Software, die eine Firma vielleicht noch niemals zuvor im Einsatz hatte. Deshalb sprechen wir hier von Sicherheitslücken, mit denen das Unternehmen bisher auch noch nie in Berührung gekommen ist. Sie dürfen die potenziellen Risiken vieler IoT-Geräte niemals unterschätzen.

3. Schwachstellen-Management bei IoT

Eine weitere große Herausforderung für Unternehmen mit einer IoT-Umgebung wird sein, wie man die Sicherheitslücken der IoT-Geräte so schnell wie möglich schließt. Dazu gehört auch die Priorisierung der Schwachstellen.

Weil die meisten IoT-Geräte für das Patchen der Sicherheitslücken ein Firmware-Update benötigen, ist diese Aufgabe möglicherweise komplex, will man sie während des Betriebes oder eilig erledigen. Braucht zum Beispiel ein Drucker ein Firmware-Upgrade, können die IT-Abteilungen einen Patch sehr wahrscheinlich nicht so schnell wie bei einem Server oder einem Desktop-System einspielen. Das Upgrade einer speziellen Firmware ist in der Regel mit zusätzlicher Zeit und weiterem Aufwand verbunden.

Ebenso wird es für Unternehmen spannend, wenn Sie es mit den Standard-Anmeldedaten der IoT-Geräten zu tun bekommen. Geräte wie WLAN Access Points oder Drucker beinhalten oftmals bekannte Konten und Passwörter für den Administrator. Hinzu kommt noch, dass diese Geräte möglicherweise einen eingebauten Webserver besitzen. Darüber können sich Administratoren anmelden und das Gerät verwalten. Das ist eine große Schwachstelle, die Angreifer mit Sicherheit adressieren. Aus diesem Grund muss die Firma einen strikten Prozess für die Inbetriebnahme und die Abnahmetests einhalten. Weiterhin brauchen Unternehmen eine Testumgebung, worin sich die Konfigurationen der Geräte überprüfen und auf Schwachstellen untersuchen lassen. Hier sollten die Administratoren alle Probleme finden und bereinigen, bevor das Gerät in die produktive Umgebung wandert. Somit benötigen Sie wiederum ein Team, das für die Konformität zuständig ist und das entsprechende Gerät für die produktive Umgebung freigibt, sowie die Security-Kontrollen regelmäßig überprüft. Weiterhin müssen alle Änderungen am Gerät genau überwacht und kontrolliert werden. Sollten Sicherheitslücken auftauchen, sind diese umgehend zu schließen.

4. Identifizieren und implementieren von Security-Kontrollen

In der IT-Welt ist Redundanz entscheidend. Sollte ein Produkt ausfallen, muss ein anderes dafür übernehmen. Das Konzept von geschichteter Security funktioniert sehr ähnlich. Es bleibt allerdings abzuwarten, wie gut Unternehmen die Security und die Redundanz in Ebenen verpacken können, um damit die Risiken des Internets der Dinge im Zaum zu halten. Im Gesundheitswesen gibt es zum Beispiel Geräte, die nicht nur den Gesundheitszustand eines Patienten überwachen, sondern auch basierend auf den Analysen Medizin verabreichen. Sollten diese Geräte kompromittiert werden, lassen sich die Konsequenzen ohne viel Fantasie abschätzen.

Die Herausforderung für Unternehmen ist, herauszufinden, an welcher Stelle man die Security-Kontrollen für die mit dem Internet verbundenen Dinge benötigt. Im Anschluss sind dann effiziente Kontrollmechanismen implementieren. Wirft man einen Blick auf die Vielfalt dieser Geräte, müssen Organisationen angepasste Risiko-Bewertungen durchführen. Für die Identifikation der Risiken und wie man diese am besten adressiert, wird man sich häufig auf die Expertise Dritter verlassen müssen. Ein interessantes Beispiel ist der ehemalige Vize-Präsident der USA, Dick Cheney, bei dem eine Remote-Verbindung zu einem Defibrillator in seiner Brust deaktiviert wurde. Die meisten Unternehmen werden sich den Luxus aber nicht leisten können, einfach Geräte offline zu nehmen. Liebäugeln Firmen mit dem Internet der Dinge, müssen Sie so oder so eigene Security-Kontrollen definieren, um damit der IoT-Evolution akzeptablen und adäquaten Schutz zu spendieren. Mit wachsender Reife dieses Trends, wird es von Branchenexperten früher oder später sicherlich Best Practices zu diesem Thema geben.

5. Die Anforderungen für Security-Analysen erfüllen

Die Vielfalt der neuen Geräte, die sich drahtlose mit dem Internet verbinden, wird eine Flutwelle an Daten verursachen. Unternehmen müssen diese sammeln, aggregieren, verarbeiten und analysieren. Einige Firmen werden basierend auf diesen Daten mit Sicherheit neue Business-Möglichkeiten identifizieren. Allerdings tauchen auch neue Risiken auf.

Organisationen müssen die Möglichkeit haben, rechtmäßige und bösartige Traffic-Muster auf IoT-Geräten zu unterscheiden. Nehmen wir als Beispiel an, dass ein Mitarbeiter eine scheinbar legitime App auf sein Smartphone herunterlädt und diese enthält Malware. Deshalb müssen Sie eine handlungsfähige Intelligenz für solche Bedrohung im Einsatz haben, um diese auch zu identifizieren. Die besten analytischen Tools und Algorithmen erkennen dabei nicht nur bösartige Aktivitäten. Sie verbessern auch den Support und die Services, die man den Kunden anbietet.

Um sich auf diese Herausforderungen vorzubereiten, müssen Unternehmen das richtige Arsenal an Tools erstellen und Prozesse anbieten, um ausreichende Security-Analyse-Möglichkeiten zur Verfügung zu stellen.

6. Modulare Hardware- und Software-Komponenten

Security sollte in jedem Teil des Internets der Dinge beachtet und implementiert sein, um damit die Teile und Module der mit dem Internet verbundenen Geräte zu kontrollieren. Leider muss man auch davon ausgehen, dass es die Angreifer auf die Versorgungs-Ketten der IoT-Geräte abgesehen haben. Es handelt sich hier um schädlichen Code und andere Sicherheitslücken, die Cyberkriminelle nach der Implementierung in einer Enterprise-Umgebung ausnutzen. Möglicherweise ist es zwingend erforderlich, ein Security-Modell wie zum Beispiel Forrester Zero Trust für IoT-Geräte zu adaptieren.

Wenn möglich, sollten Unternehmen proaktiv handeln und die Geräte isolieren, indem man sie in ein eigenes Netzwerksegment oder VLAN steckt. Zusätzlich helfen Technologien wie Micro-Kernel oder Hypervisoren, um die Embedded Systeme im Falle einer Sicherheitsverletzung zu isolieren.

7. Hunger nach Bandbreite steigt rapide

Palo Alto Networks hat eine Studie veröffentlicht. Demnach hat sich der Netzwerk-Traffic zwischen November 2011 und Mai 2012 um 700 Prozent gesteigert. Die hauptsächlichen Gründe sind Streaming-Media, P2P-Applikationen (Peer-to-Peer) und soziale Netzwerke. Je mehr Geräte sich mit dem Internet verbinden, desto mehr wird der Bandbreitenhunger steigen.

Die höhere Internet-Nachfrage wird möglicherweise potenzielle Risiken für Business Continuity mit sich bringen. Sollten entscheidende Applikationen nicht die benötigte Bandbreite bekommen, wirkt sich das auch auf die Wahrnehmung durch die Anwender aus. Ebenfalls wird die Produktivität der Mitarbeiter leiden und als Konsequenz könnte die Ertragskraft eines Unternehmens fallen.

Um Hochverfügbarkeit für ihre Services zu garantieren, müssen Unternehmen mit dem Gedanken spielen, Management und Monitoring für Bandbreite und Traffic zu implementieren. Somit senken Sie nicht nur das Risiko im Hinblick auf Business Continuity, sondern verhindern auch mögliche Verluste. Aus Sicht des Projekt-Managements müssten Firmen auch Kapazitätsplanung betreiben und die Wachstumsrate in Bezug auf das Netzwerk beobachten. Nur dann lässt sich auf die erhöhte Nachfrage der benötigten Bandbreite angemessen reagieren.

Fazit

Das Internet der Dinge verspricht großes Potenzial für Verbraucher und auch Unternehmen. Allerdings sind damit Risiken verbunden. Auf IT-Sicherheit spezialisierte Organisationen müssen mit Vorbereitungen beginnen. Es gilt den Übergang zu bewältigen, nicht mehr nur PCs, Server, mobile Geräte und die herkömmliche IT-Infrastruktur zu sichern, sondern auch ein wesentlich breiteres Feld an miteinander verbundenen Geräten, Sensoren und künftigen Technologien. Die Security-Teams der Firmen müssen jetzt die Initiative ergreifen und sich mit Best Practices im Hinblick auf die Sicherheit des Internets der Dinge beschäftigen. Risiko-Matrizen und Security-Policies sind entsprechend zu aktualisieren, wenn sich die Geräte mit Maschine-zu-Maschine-Kommunikation ihren Weg in die Unternehmen bahnen. Auch der massive Datenansturm und andere Anwendungsbereiche sind zu bewältigen. Dabei dürfen Sie die steigende Komplexität in den Organisationen nicht aus den Augen verlieren. Bedrohungsmodelle (Threat Modeling) sind notwendig, damit das grundlegende Prinzip von Sicherheit und Vertrauen gewährleistet ist. Integrität und Verfügbarkeit sind in der zunehmend vernetzten digitalen Welt ebenso wichtig.

Über den Autor: Ajay Kumar ist Information Security Manager, der seit einem Jahrzehnt im Bereich Informationssicherheit und Risiko-Management arbeitet. Zu seinen Stärken gehören Cybersecurity-, Identitäts- und Zugriffs-Management, Security Operations Management, Datensicherheit, Cloud- und Mobile-Security. Er ist auf die Planung, das Design und die Implementierung von Security-Services und -Systemen spezialisiert, die für die Diskretion, Integrität, Privatsphäre und Authentizität für in Unternehmens-Umgebungen gespeicherten Informationen notwendig sind. Sie können Ajay unter akumar_net2002@yahoo.com erreichen.

Artikel wurde zuletzt im Juni 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close