IoT-Sicherheit:Wie man die digitale Transformation vorantreibt und gleichzeitig Risiken minimiert

In nur wenigen Jahren hat das Internet der Dinge (IoT) die Art und Weise, wie wir leben und arbeiten, radikal verändert. Von den Geräten an unseren Handgelenken und in unseren Häusern bis hin zu vernetzten Gebäuden und intelligenten Fabriken, in denen wir unser Arbeitsleben verbringen, macht uns dies sicherer, glücklicher und produktiver und bietet gleichzeitig neue Wachstumschancen für Unternehmen. Die Technologie steht an der Spitze einer digitalen Transformationsrevolution, die bereits die überwiegende Mehrheit der Unternehmen durchdringt und dazu beiträgt, sie effizienter, agiler und kundenorientierter zu machen.

Die digitale Expansion bedeutet jedoch auch ein höheres digitales Risiko:Die neuesten Zahlen belegen eine 100-prozentige Zunahme von IoT-Angriffen gegenüber dem Vorjahr. Der Schlüssel für IT-Teams besteht daher darin, das Geschäftswachstum zu unterstützen und gleichzeitig diese Cyber-Risiken durch Best-Practice-Sicherheit zu minimieren, die an das neue vernetzte Zeitalter angepasst ist.

Digitalisierung

Das IoT hat sich in relativ kurzer Zeit weit entwickelt. Gartner prognostiziert, dass im Jahr 2019 14,2 Milliarden vernetzte Geräte im Einsatz sein werden, wobei die Gesamtzahl bis 2021 25 Milliarden erreichen wird. Mit dieser steigenden Anzahl von Geräten ist eine Datenexplosion eingetreten. Cisco schätzt, dass die Gesamtdatenmenge, die von allen Geräten erzeugt wird, bis 2020 600 Zettabyte pro Jahr erreichen wird, gegenüber nur 145 Zettabyte jährlich im Jahr 2015. Dies ist eine riesige Datenmenge – ein einzelnes Zettabyte entspricht 1 Milliarde Terabyte.

Warum hat das IoT in den letzten Jahren begonnen, Geschäftsumgebungen so vollständig zu durchdringen? Eine Forbes Insights-Umfrage unter 700 Führungskräften aus dem Jahr 2018 hilft bei der Erklärung. Es zeigt sich, dass 60 % der Unternehmen neue Geschäftsbereiche erweitern oder umgestalten, eine ähnliche Anzahl (63 %) neue/aktualisierte Dienstleistungen für Kunden bereitstellt und über ein Drittel (36 %) neue Geschäftsfelder erwägt. Fast alle (94 %) der Befragten prognostizierten für die kommenden 12 Monate ein Gewinnwachstum von 5-15 % dank des IoT.

IoT-Sensoren, die gesammelten und zur Analyse in die Cloud gesendeten Daten bieten große neue Möglichkeiten, um das Kundenerlebnis zu verbessern, komplexe Geschäftsprozesse zu rationalisieren und dank der gewonnenen Erkenntnisse neue Dienste zu schaffen. Dazu können Versorgungsunternehmen gehören, die auf Frühwarnzeichen von Wasserlecks oder Stromausfällen achten, Fertigungsunternehmen die Betriebseffizienz in der Fabrik verbessern und Hardwarehersteller neue After-Sales-Services für Kunden auf der Grundlage vorausschauender Wartung anbieten.

Risiko ist überall

Die Herausforderung für jedes Unternehmen, das den Einsatz von IoT- und Industrial IoT (IIoT)-Systemen ausweitet, besteht darin, dass es dabei die Angriffsfläche des Unternehmens erweitert hat. Ein kurzer Blick auf die IoT-Angriffsflächen von OWASP Dokument veranschaulicht, wie viele neue mögliche Schwachstellen eingeführt werden. Diese reichen von den Geräten selbst – einschließlich Firmware, Speicher und physischer/Web-Schnittstellen – bis hin zu Back-End-APIs, verbundenen Cloud-Systemen, Netzwerkverkehr, Update-Mechanismen und der mobilen App.

Eines der größten Risiken für solche Systeme besteht darin, dass sie von Herstellern hergestellt werden, die kein ausreichendes Verständnis der Best Practices für IT-Sicherheit haben. Dies kann zu schwerwiegenden systemischen Schwächen und Schwachstellen führen, die von Angreifern ausgenutzt werden können, von Softwarefehlern bis hin zu Produkten, die mit werkseitigen Standardanmeldungen ausgeliefert werden. Es kann auch bedeuten, dass die Produkte schwer zu aktualisieren sind und/oder kein Programm vorhanden ist, um auch nur Sicherheitspatches auszugeben.

Solche Fehler könnten in einer Vielzahl von Angriffsszenarien ausgenutzt werden. Sie könnten verwendet werden, um Unternehmensnetzwerke im Rahmen einer Datendiebstahl-Razzia zu durchbrechen oder wichtige Betriebsprozesse zu sabotieren – entweder um Geld von der Opferorganisation zu erpressen oder einfach nur maximale Störungen zu verursachen. In einem häufigeren Szenario können Hacker das Internet nach öffentlich zugänglichen Geräten durchsuchen, die noch immer nur durch Werkseinstellungen oder leicht zu erratende/zu knackende Passwörter geschützt sind, und diese in Botnets einbinden. Dies ist das Modell, das von den berüchtigten Mirai-Angreifern verwendet und anschließend in vielen anderen Nachahmer-Angriffen angepasst wurde. Diese Botnets können für eine Vielzahl von Aufgaben verwendet werden, darunter Distributed Denial of Service (DDoS), Anzeigenbetrug und die Verbreitung von Banktrojanern.

Im Dunkeln

Die Schwierigkeit für IT-Sicherheitsteams besteht oft darin, einen Überblick über alle IoT-Endpunkte in der Organisation zu gewinnen, und einige erkannte IoT-Geräte können oft ohne Wissen der IT-Abteilung betrieben werden. Dieser Schatten-IT-Faktor ist in vielerlei Hinsicht der Nachfolger der BYOD-Herausforderung für Unternehmen – außer dass die Benutzer anstelle von Mobiltelefonen intelligente Wearables und andere Geräte mitbringen, die dann mit dem Unternehmensnetzwerk verbunden werden, was das Cyberrisiko erhöht. Stellen Sie sich zum Beispiel einen Smart-TV vor, der von Angreifern entführt wird, um beispielsweise Vorstandssitzungen auszuspähen, oder einen intelligenten Wasserkocher in einer Personalkantine, der als Brückenkopf verwendet wird, um einen Datendiebstahl-Überfall auf das Unternehmensnetzwerk zu starten.

Noch schlimmer für IT-Sicherheitschefs ist, dass sie dieses wachsende Cyber-Risiko mit weniger qualifizierten Fachkräften bewältigen müssen. Laut einer Rekrutierungsgruppe stieg die Nachfrage nach IoT-Rollen im vierten Quartal 2018 gegenüber den letzten drei Monaten sogar um 49 %.

Die Regulierungsbehörden holen auf

Die Auswirkungen jeder größeren IoT-bezogenen Cyberbedrohung könnten schwerwiegend sein. Datenverlust, Ausfälle von IT-Systemen, Betriebsstörungen und Ähnliches können zu finanziellen Schäden und Reputationsschäden führen. Allein die Kosten für die Untersuchung und Behebung einer Sicherheitsverletzung können unerschwinglich sein. Ein schwerwiegender Ausfall kann erhebliche Investitionen in die Überstunden des IT-Personals erfordern. Behördliche Bußgelder sind ein weiterer, immer wichtiger werdender Kostenfaktor. Nicht nur die DSGVO ist bei allen Problemen mit personenbezogenen Daten von Kunden oder Mitarbeitern zu berücksichtigen, die NIS-Richtlinie der EU schreibt auch Best Practice-Sicherheit für Unternehmen vor, die in bestimmten kritischen Branchen tätig sind. Für beide gelten die gleichen Höchststrafen.

Diese Regulierungsaufsicht greift auf beiden Seiten des Atlantiks ein. Ein neuer Gesetzesvorschlag in den USA sieht vor, dass das National Institute of Standards and Technology (NIST) Mindestsicherheitsrichtlinien für IoT-Hersteller aufstellt und Bundesbehörden verlangen, nur von Lieferanten zu kaufen, die diese grundlegenden Standards erfüllen.

Sichtbarkeit und Kontrolle

Wenn diese US-Gesetzgebung verabschiedet wird, könnte sie auf einem europäischen ETSI TS 103 645-Standard aufbauen, der selbst auf einem von der britischen Regierung vorgeschlagenen Verhaltenskodex für die Branche basiert. Es ist sicherlich ein großartiger Anfang und wird die Branche hoffentlich dazu bringen, sicherheitsbewusster zu werden, während es Verbraucher und Unternehmen befähigt, nach den sichereren Produkten auf dem Markt zu suchen. In Wirklichkeit wird es jedoch eine Weile dauern, bis sich solche Schritte auf dem Markt durchgesetzt haben, und selbst dann können Unternehmen bereits Tausende von unsicheren alten IoT-Endpunkten betreiben.

IT-Sicherheitsteams müssen jetzt handeln, indem sie bessere Einblicke in ihre IoT-Umgebung gewinnen. IT-Asset-Management-Tools sollten hier Abhilfe schaffen, indem sie den entscheidenden ersten Schritt liefern:Sichtbarkeit. Stellen Sie als Nächstes sicher, dass die Geräte-Firmware über automatisierte Patch-Management-Tools auf dem neuesten Stand ist und dass dieser Prozess überwacht wird, um sicherzustellen, dass er ordnungsgemäß funktioniert – einige Sicherheitsupdates sind tief auf der Website eines Anbieters vergraben und erfordern menschliches Eingreifen, um sicherzustellen, dass diese aktiviert wurden . Darüber hinaus müssen IT-Teams überprüfen, ob alle Benutzernamen/Passwörter sofort in starke und eindeutige Anmeldeinformationen geändert werden. Noch besser, ersetzen Sie sie durch die Multi-Faktor-Authentifizierung. Andere bewährte Verfahren können die Verschlüsselung von Daten während der Übertragung, kontinuierliche Netzwerküberwachung, Identitätsverwaltung, Netzwerksegmentierung und mehr umfassen. Vergessen Sie schließlich nicht den Aspekt der Cybersicherheit für den Menschen:Mitarbeiter sollten darin geschult werden, die mit dem IoT verbundenen Sicherheitsrisiken und den sicheren Umgang mit Systemen und Geräten zu verstehen.

Auf diese Weise können Sie den größten Nutzen aus allen IoT-Initiativen ziehen, ohne das Unternehmen unnötigen zusätzlichen Risiken auszusetzen. Es braucht nur eine ernsthafte Sicherheitsverletzung, um das innovationsgetriebene Wachstum zu untergraben, das für den Erfolg des modernen digitalen Geschäfts so wichtig ist.