Unternehmen aufgepasst:IoT-Geräte sind ein Tor für Cyberangriffe

Das Internet der Dinge bietet Unternehmen ein beispielloses Maß an Transparenz und Kontrolle über ihre Lieferketten. Aber es öffnet auch die Tür für potenziell lähmende Cyberangriffe.

Eine neue Studie des Ponemon Institute zeigt einen starken Anstieg von Datenschutzverletzungen durch ungesicherte IoT-Geräte von Drittanbietern. Und es deutet darauf hin, dass Top-Sicherheitsexperten nicht genug tun, um sie aufzuhalten.

Die dritte jährliche Studie des Instituts zu IoT-Risiken von Drittanbietern trägt den Untertitel „Unternehmen wissen nicht, was sie nicht wissen“. Tatsächlich scheint die Unkenntnis der Gefahren von Cyberangriffen die Verwundbarkeit vieler Unternehmen erhöht zu haben. IoT-bezogene Sicherheitsverletzungen sind seit 2017 um mindestens 26 Prozent gestiegen, so die Studie. (Die Zahl könnte sogar noch höher sein, stellen die Autoren fest, da die meisten Unternehmen nicht jedes unsichere Gerät oder jede unsichere Anwendung in ihren Räumlichkeiten kennen, die von Drittanbietern stammt.)

In einer Zeit, in der Datenschutzverletzungen endemisch werden, scheint Cybersicherheit für viele Unternehmen keine besonders hohe Priorität zu haben – zumindest wenn es darum geht, Ressourcen in diesen Bereich zu investieren. Besonders fehlt es an der Aufsicht durch das Top-Management. Der Studie zufolge haben weniger als die Hälfte der Vorstandsmitglieder von Unternehmen Programme genehmigt, die das Risiko von Cyberangriffen durch Dritte reduzieren sollen. Nur 21 Prozent verstehen die Natur dieses Risikos vollständig und sind "stark engagiert" in den Sicherheitsmaßnahmen, die zu seiner Bewältigung erforderlich sind.

Wenn es um die Antizipation von Cyberrisiken geht, scheint die vorherrschende Einstellung eine des Fatalismus zu sein. Die Studie ergab, dass 87 Prozent der Befragten glauben, dass ihr eigenes Unternehmen in den nächsten 24 Monaten einen Cyberangriff durch ungesicherte IoT-Geräte oder Anwendungen erleben wird. Und 84 % erwarten, dass es innerhalb desselben Zeitraums zu einer Datenschutzverletzung kommt.

Laut Larry Ponemon, Mitbegründer des Ponemon Institute, stützt sich die neueste Version der Studie auf 600 qualifizierte Teilnehmer und etwa 450 einzigartige Unternehmen. An einer, wie er es nannte, „eklektischen, aber interessanten Stichprobe“ nahmen Experten aus den Bereichen IT, Datenschutz, Drittanbietertechnologie und Regulierung teil.

„Drittanbieter“ bezeichnet die gesamte Palette von Anbietern, Auftragnehmern, Vertriebspartnern und internen verbundenen Unternehmen von außerhalb der eigenen IT eines Unternehmens. Umwelt, bemerkt Charlie Miller, Senior Advisor des Shared Assessments Program, einer Einheit der Santa Fe Group, die sich auf die Bewertung von Drittrisiken spezialisiert hat.

Externe IoT-Geräte haben normalerweise die Form von Sensoren, intelligenten Geräten, Druckern, Kameras, Nest-Thermostaten, sprachaktivierten persönlichen digitalen Assistenten – kurz gesagt, alles, was Elektronik enthält, die sich mit einem Unternehmensnetzwerk verbinden kann.

Abgesehen von dieser Fülle an unsicherer Technologie, die zum großen Teil über die persönlichen Geräte der Mitarbeiter in das Netzwerk eingeführt wird, sieht das Management darin kein großes Risiko, sagt Ponemon. Miller fügt hinzu, dass das Problem durch den enormen Anstieg der Zahl der IoT-Geräte, die in den letzten Jahren auf den Markt gekommen sind, noch verschlimmert wird.

Jedes dieser Geräte hat eine eindeutige IP-Adresse und stellt eine potenzielle Schwachstelle dar, durch die Hacker oder Cyberdiebe auf proprietäre Daten zugreifen können. Bevor eines von ihnen in das Netzwerk eingeführt werden kann, müssen Unternehmen genau verstehen, was die Geräte tun sollen, welche Arten von Daten sie sammeln sollen und wie diese Informationen übertragen werden.

„All diese Dinge sind grundlegende Konzepte, die sich in diesem riesigen IoT-Raum noch nicht herauskristallisiert haben“, sagt Miller.

Warum gehen Unternehmen angesichts dieser Angriffswelle nicht proaktiver vor, um sie zu verhindern? Ponemon weist darauf hin, dass das Problem in der mangelnden Rechenschaftspflicht innerhalb von Organisationen liegt. Darüber hinaus sind IoT-Geräte verführerisch bequem zu verwenden, sodass die Besitzer kaum darüber nachdenken, wie sie die Unternehmenssicherheit gefährden könnten.

Miller sieht bei Sicherheitsteams und -organisationen einige Anzeichen von Aufklärung. Bestimmte Branchen wie Hersteller von Medizinprodukten konzentrieren sich stärker auf das Thema als andere, vor allem, weil sie strengen Regulierungen unterliegen. (Die Food and Drug Administration zum Beispiel hat „strenge Regeln für Geräte, die Menschen implantiert werden“, sagt Miller.) Neue Gesetze wie der California Consumer Privacy Act schränken die Verwendung von Verbraucherdaten durch Händler für Marketingzwecke ein. Darüber hinaus zielt der Gesetzgeber mit Maßnahmen auf Hersteller ab, die ein höheres Maß an integrierter Sicherheit für IoT-basierte Geräte erfordern würden. (Verbieten Sie beispielsweise die Verwendung von leicht zu knackenden Standardpasswörtern, die viele Benutzer nicht ändern.)

Andere Bemühungen zur Verschärfung der Cybersicherheit werden von Organisationen wie dem National Institute of Standards and Technology, dessen Standards weltweit anerkannt sind, und der Monetary Authority of Singapore, der Zentralbank dieses Landes, angeführt. Vier der fünf Empfehlungen des letzteren zur Erhöhung der Sicherheit sind in der Ponemon-Studie enthalten.

„Sie müssen wissen, welche Geräte Sie in Ihrem eigenen Unternehmen haben und die von Ihren Drittanbietern verwendet werden dürfen“, sagt Miller. „Und Sie müssen sicherstellen, dass die Art und Weise, wie die Geräte angeschlossen werden, von Ihrer Produktionsabteilung getrennt ist. Wenn es also zu einer Verletzung kommt, wird ein Nicht-Produktionssegment Ihres Netzwerks isoliert.“

Bildung ist von größter Bedeutung, sagt Ponemon und betont, dass das Bewusstsein für Cyber-Risiken von jedem einzelnen Mitarbeiter bis hin zur Führungsebene sowie zu externen Lieferkettenpartnern und Kunden reichen muss.

Miller sagt, dass Unternehmen Anwendungsfälle durchführen sollten, bevor sie sich zur Verwendung von IoT-Geräten verpflichten, um das Missbrauchspotenzial zu ermitteln. Beispielsweise könnten Überwachungssysteme in modernen Autos Hackern ermöglichen, die Kontrolle über das Fahrzeug aus der Ferne zu übernehmen. „Die Transportindustrie betrachtet dies sehr ernsthaft“, sagt er.

Am Ende kommt es auf die Wachsamkeit des Benutzers an. „Cyberhygiene liegt in der Verantwortung des Einzelnen“, sagt Ponemon. „Das ist kritisch. Es geht nicht nur um IoT – es geht um alles.“