Gewährleistung der Cybersicherheit und des Datenschutzes bei der IoT-Einführung

Das Internet der Dinge steckt noch in den Anfängen, aber mit zunehmender Vernetzung von Geräten bereiten die Auswirkungen auf die Sicherheit Unternehmen zunehmend Kopfschmerzen. Im Gegensatz zu Verbrauchern führt das „Gehacktwerden“ von Unternehmen viel schneller zu Rufschädigung, Umsatzeinbußen oder sogar Schadensersatzansprüchen.

Das größte Risiko für die Online-Sicherheit eines Unternehmens geht von den Mitarbeitern aus, sagt Jack Warner, Cybersicherheitsexperte bei TechWarn . Schlecht geschultes Personal oder das Fehlen klarer IT-Richtlinien fördern rücksichtsloses Verhalten und den unachtsamen Umgang mit sensiblen Daten. Mitarbeiter sind sich der Funktionen und Risiken eines Geräts möglicherweise nicht bewusst oder haben eine sicherheitsfeindliche Einstellung, um potenziell schädliche Lecks zu bemerken.

Für Unternehmen ist es mehr denn je wichtig, alle Bürogeräte von einem sicherheitsbewussten Team von Ingenieuren überprüfen zu lassen. Es muss klare Richtlinien dafür geben, welche Daten von Geräten gesammelt werden dürfen und Regeln, denen die Daten entsprechen müssen. Diese Richtlinie muss gleichermaßen für Daten gelten, die von Geräten erfasst werden, die sich im Besitz des Unternehmens befinden und von diesem bereitgestellt werden, sowie im Besitz von Mitarbeitern.

Fallstudie:Fitness-App-Daten

Im November 2017 die Fitness-App Strava freigegebene Daten, die von seinen Benutzern gesammelt wurden. Obwohl die Daten bereits anonymisiert waren, erregten sie dennoch große Aufmerksamkeit, als Analysten entdeckten, dass die Daten die Lage geheimer Militärbasen enthüllten, da Soldaten ihre Fitness-IoT-Geräte trugen, während sie auf der Basis joggten, auf Patrouille gingen oder trainierten.

Die Trainingsrouten skizzierten die Größe und Lage der Stützpunkte, gaben eine Einschätzung, wie viele Soldaten dort stationiert sind und wie die ungefähre Patrouillenfrequenz sein könnte. Das Strava-Datenleck stellt ein massives Sicherheitsrisiko für den Einsatz der US-Streitkräfte dar und ist vollständig selbstverschuldet.

Informationen wie diese können auch einer kommerziellen Organisation leicht schaden. Teststandorte, Erkundungsstandorte oder Lieferroutinen können gut geschütztes geistiges Eigentum einer Organisation sein.

Es gibt viele andere IoT-Geräte, die Mitarbeiter beiläufig verwenden und die sensible Daten preisgeben. Mitarbeitertelefone können ihren Standort aufzeichnen und auch zum Aufnehmen von Bildern verwendet werden. Mitarbeiter könnten versehentlich ihren Standort über soziale Medien teilen oder eine intelligente Scanner-App auf ihrem Telefon verwenden, um sensible Daten in PDF zu konvertieren. Passwörter können in den Entwurfsordner persönlicher E-Mail-Konten eingefügt werden oder Kundeninformationen können in der persönlichen Kontaktliste eines Mitarbeiters landen, von wo aus sie in verschiedene Apps hochgeladen werden.

Vernetzte Geräte in Büros

Wenn die Informationssicherheit nicht von Anfang an berücksichtigt wird, ist das typische Büro möglicherweise bereits voller Geräte, die die Privatsphäre nicht respektieren und Sicherheitslücken verursachen. Beispielsweise kann ein Drucker gedruckte Dokumente lange aufbewahren (oder sogar online hochladen) und Luftreiniger können gesammelte Daten einem zentralen Server zur Verfügung stellen.

Selbst Systeme wie Thermostate, Lampen oder Türschlösser verfügen oft über Netzwerkfähigkeiten und teilen ihre Daten möglicherweise mit Werbetreibenden oder zumindest einem zentralen Cloud-Dienst. Zumindest eröffnet dies Eindringlingen oder Konkurrenten die Möglichkeit, Zugang zu Firmengeheimnissen zu erhalten.

Unternehmensnetzwerke und Intranets

Obwohl wir gegenüber öffentlich zugänglichen Informationen sensibler geworden sind, werden interne Datenbanken und Netzwerke von Organisationen immer noch zu oft als „sicher“ angesehen. Hier haben Hacker oft freie Hand und können, sobald sie sich im Netzwerk befinden, ihre privilegierte Position nutzen, um sich mit Datenbanken zu verbinden, Computer mit Viren zu infizieren oder kritische Geräte zu sabotieren.

Router gehören zu den am meisten vernachlässigten Geräten in Büronetzwerken. Während die Geräte der Mitarbeiter regelmäßig automatische Updates erhalten und Server von großer Bedeutung sind, werden Router selten inspiziert und erhalten keine Updates. Dennoch wird der gesamte Firmenverkehr durch sie geleitet, und jeder, der die Kontrolle über den Router hat, kann alle an das Internet und andere interne Geräte gesendeten Daten abfangen, fälschen, injizieren oder ändern.

Ein guter VPN-Router ist nicht schwer zu bekommen, aber die Preisunterschiede zwischen den Modellen können immens sein und ihr Nutzen ist für Käufer und Betreiber nicht offensichtlich.

Vertrauen auf Hosting-Drittanbieter

Die größte Bedrohung für die Datenschutzbedürfnisse eines Unternehmens ist die weit verbreitete Nutzung von gehosteten Diensten wie E-Mail, Chat und Dateiverwaltung.

Während es vor einigen Jahren für zumindest große Unternehmen noch relativ üblich gewesen wäre, eigene E-Mail-Server zu verwalten und Dokumente auf internen Servern zu speichern, sind es heute fast ausschließlich Cloud-Drittanbieter. E-Mails, Chats, Dokumente, Softwarecode – in den Büros vieler Unternehmen ist fast nichts mehr übrig.

Ein ewiger Kampf

Die Art und Weise, wie sich Internetdienste und Geräte für das Internet der Dinge entwickeln, steht im Widerspruch zu den Datenschutz- und Sicherheitsbedürfnissen von Unternehmen. Bisher gibt es wenig Gegenwind oder Nachfrage nach sicherheitsbewussteren Diensten.

Die nachhaltigste Strategie für Unternehmen könnte darin bestehen, die Menge an Informationen, die sie von ihren Kunden sammeln, zu begrenzen und diese Informationen zusammen mit ihrem geistigen Eigentum auf einer selbst gewarteten physischen Infrastruktur intern zu hosten.

Der Autor dieses Blogs ist Jack Warner, Cybersicherheitsexperte bei TechWarn

Über den Autor

Jack ist ein versierter Cybersicherheitsexperte mit jahrelanger Erfahrung bei TechWarn, einer vertrauenswürdigen Digitalagentur für erstklassige Cybersicherheitsunternehmen. Jack ist selbst ein leidenschaftlicher Verfechter der digitalen Sicherheit und trägt häufig zu Tech-Blogs und digitalen Medien bei, die Experteneinblicke zu Themen wie Whistleblowing und Cybersicherheitstools teilen.