Warum Cybersicherheit für den Seelenfrieden der physischen Sicherheit unerlässlich ist

Das Zeitalter der vernetzten Geräte verspricht vieles:Durch die Kombination digitaler Daten aus bisher nicht vernetzten analogen Systemen können wir neue Erkenntnisse und Innovationen liefern, um die Effizienz und Sicherheit in unserem Zuhause und am Arbeitsplatz zu verbessern. Die erste Innovationsregel muss jedoch lauten, „keinen Schaden anzurichten“, was im Fall des Internets der Dinge (IoT) bedeutet, zuerst die Grundlagen der Cybersicherheit richtig zu machen.

In den Bereichen Videoüberwachung und physische Sicherheit verschiebt sich die Dynamik rasant. Während die Reise in die Cloud langsamer war als in anderen Sektoren, werden CCTV-, Zutrittskontroll- und Audiosysteme zunehmend vernetzt und daher in IT-Netzwerke und -Prozesse integriert, um einen intelligenteren physischen Schutz zu bieten.

Aber dieser Wechsel in die Cloud bietet auch viele weitere Geschäftsmöglichkeiten. Echtzeit-Videodaten von zum Beispiel vernetzten Kameras können mit Informationen aus anderen Systemen kombiniert werden, um über Cloud-Analysen neue Quellen des Geschäftswerts zu erschließen.

Dies zeigt sich in Einzelhandelsgeschäften, die häufig Netzwerküberwachungskameras einsetzen, um Ladendiebe zu verhindern oder zu identifizieren. Durch die Verbindung derselben Kameras mit einer Cloud-Analyse-Suite können Einzelhandelsmanager auch automatisch Warteschlangen erkennen und Warnungen generieren oder den Verkehrsfluss in einem Geschäft besser verstehen.

Das allgegenwärtige Risiko vernetzter Systeme

Wenn Unternehmen jedoch gegenüber vernetzten Kameras misstrauisch sind, haben sie gute Gründe dafür. Der weltweit größte Distributed Denial of Service (DDoS)-Angriff, der Ende 2016 viele beliebte Internetanwendungen wie Dropbox, Netflix, Uber und mehr deaktivierte, wurde teilweise von Hunderttausenden kompromittierter Netzwerküberwachungskameras gestartet. Die Mirai-Malware, die den Angriff leitete, übernahm die Kontrolle über vernetzte Geräte, indem sie gängige Standardkombinationen aus Benutzername und Passwort wie admin:admin testete.

Zweieinhalb Jahre nach diesen schwerwiegenden Vorfällen ist es immer noch so, dass zu viele professionelle physische Sicherheitsprodukte ohne oder mit wenig Rücksicht auf bewährte Cybersicherheitspraktiken verkauft werden und immer noch grundlegende Aufsichtstests wie Standardanmeldeinformationen nicht bestehen. Der Schwerpunkt liegt weiterhin auf der schnellen Markteinführung und der Reduzierung der Kosten. Der Qualitätskontrolle, der „Secure by Design“-Produktentwicklung und effektiven Prozessen für den After-Sales-Support mit Firmware-Updates und Asset-Kontrolle wird nicht genügend Aufmerksamkeit geschenkt.

Dies untergräbt das Leistungspotenzial dieser Geräte entscheidend. Wenn das Versprechen des IoT in Bezug auf die physische Sicherheit eine bessere, sicherere Welt ist, kann es nicht erreicht werden, wenn Geräte neue Schwachstellen in das Netzwerk eines Kunden einbringen können.

OEMs müssen viel Aufwand betreiben, um sicherzustellen, dass die Geräte ihren Zweck erfüllen und für Innovationen vertrauenswürdig sind. Dies erfordert interne Investitionen in Fähigkeiten und Prozesse sowie eine klare Kommunikation und Transparenz in der gesamten Lieferkette. Erfüllt jede Komponente die strengen Standards, die ein Kunde zu Recht erwarten darf?

Genauso wichtig ist jedoch die Investition in die Schulung der Endbenutzer. Der Markt ist sehr preissensibel und Kunden brauchen klare Leitlinien, um die Risiken zu verstehen, die mit dem Kauf von Geräten von unbekannten Anbietern verbunden sind, die nicht richtig konfiguriert sind.

Darüber hinaus muss das Bewusstsein über die IT-Abteilung hinaus getrieben werden. Jeder in einem Unternehmen muss die Bedeutung korrekter Beschaffungsprozesse verstehen, da die sinkenden Kosten und die einfache Bedienung moderner IoT-Geräte es schwierig machen, sie zu kontrollieren. Ein CIO hat vielleicht die beste Strategie, aber wenn ein Geschäftsleiter Geräte per Kreditkarte kauft und sie zum Unternehmensnetzwerk hinzufügt, wer ist dann für die Sicherheit der Produkte verantwortlich?

Regulierungen haben das Bewusstsein geschärft

Unternehmen werden sich jedoch immer mehr der Cybersicherheitsrisiken bewusst, die mit vernetzten Geräten verbunden sind, und 2018 gab es viele regulatorische Änderungen, um den Bedrohungen entgegenzuwirken. Die Datenschutz-Grundverordnung (DSGVO) wurde in Kraft gesetzt, ebenso wie die Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie).

Beide Richtlinien verhängen die gleichen erheblichen Geldstrafen bei Nichteinhaltung. Hohe Geldstrafen können Unternehmen schwächen, daher ist es zwingend erforderlich, dass die betreffenden Unternehmen bei der Erfüllung ihrer Anforderungen eine Due Diligence durchführen.

Wir haben bereits erlebt, dass im Vereinigten Königreich und in der EU im Zusammenhang mit dem Einsatz von CCTV-Systemen DSGVO-Bußgelder verhängt wurden. Kürzlich wurde berichtet, dass Hacker in Großbritannien in die CCTV-Systeme von Schulen eingebrochen und Aufnahmen von Schülern live im Internet gestreamt haben. Verständlicherweise erregte dies viel negative Aufmerksamkeit; Schließlich schicken wir unsere Kinder in der Erwartung zur Schule, dass sie sicher sind, und die Sicherheitssysteme sind dazu da, sie zu schützen, anstatt sie zu gefährden.

Die Auswahl der richtigen Technologiepartner ist entscheidend

In unserer konvergierenden Sicherheitslandschaft war die Auswahl des richtigen Technologiepartners noch nie so wichtig. Sicherheitsexperten müssen erkennen, dass Cybersicherheit nicht nur ein IT-Problem ist, und die damit verbundenen Cybersicherheitsrisiken für ein Unternehmen im Zusammenhang mit der Bereitstellung physischer und elektronischer Sicherheitssysteme verstehen. Obwohl die Digitalisierung der physischen Sicherheit im Moment ein enorm aufregender Bereich ist, müssen wir uns als Branche als Branche besser mit dem Thema Cybersicherheit auseinandersetzen, und zwar bald.