In Artikel "Wie sich die Sicherheit im Internet der Dinge verbessern lässt" ging es um die Frage, wie renommierte Security-Hersteller die Sicherheitslage im Internet of Things einschätzen. Diesmal geht es um die Antworten von Experten aus Systemhäusern, Distributoren und IT-Dienstleistern.
Bei einer aktuellen Überprüfung von mehr als 820.000 Netzwerken in Deutschland wurden nach Angaben des Antivirenherstellers Avast unter fast drei Millionen registrierten IoT-Devices rund 175.500 unsichere Geräte gefunden. Darüber hinaus seien fast 140.000 Router, mehr als 8.000 Drucker und über 1.000 Webcams mit Schwachstellen entdeckt worden. "Durch die Anfälligkeit von hunderttausenden ungeschützten Geräten können Cyber-Kriminelle ein Botnet erschaffen, um Server und Websites zu attackieren und vom Netz zu nehmen", erläutert Ondrej Vlcek, CTO und EVP & GM Consumer bei Avast.
Das IoT benötigt "Klassiker der IT-Sicherheit"
Trotzdem gehe es vielen IoT-Anbietern vor allem um "Innovationsgeschwindigkeit", kommentiert Carsten Dibbern, Solution Manager Secure Information bei Computacenter die aktuelle Situation. IT-Sicherheit stehe bei ihnen nicht im Fokus, "weshalb etablierte Security-Konzepte nicht eingesetzt werden". Wichtig seien für ein sicheres IoT aber die "Klassiker der IT Sicherheit wie Patch-Management, der Einsatz aktueller Kommunikationsprotokolle mit Verschlüsselung, Authentisierung mit starken kryptographischen Verfahren und sichere Registrierungsprozesse", so Dibbern.
Auch Michael Schweyer, Consultant IT-Security bei Konica Minolta IT Solutions, sieht ein "großes Spektrum an Angriffsmöglichkeiten mit vielen Einfallstoren". Das liege daran, dass viele Produkte nicht unter dem Gesichtspunkt Security entwickelt würden, nicht über entsprechende "Systemhärtungen" verfügten und aus Kostengründen häufig Third-Party-Libraries zum Einsatz kämen. Seiner Ansicht nach steigen die Gefahren auch durch die zunehmende Verbreitung IoT-fähiger Geräte im privaten Umfeld.
Ralf Stadler, Director Business Unit Security bei Tech Data, schlägt deswegen einen Zertifizierungsprozess vor. "Es wäre wünschenswert, wenn Geräte, die durch das IoT in Netzwerke eingebunden werden standardmäßig einer Sicherheitszertifizierung unterliegen würden." Bereits vor der Markteinführung der Produkte sollten Schutzmaßnahmen eingebunden werden. Außerdem müsse die "Kommunikation überwacht und auf Anomalien geprüft werden". Stadler empfiehlt den Einsatz moderner Secure Internet Gateways (SIG), die IoT-Geräte direkt im Internet vor C2C-Calls schützen können, indem sie entsprechende Requests blocken.
Security bereits ins Design integrieren
IoT müsse sich bereits "per Design absichern", fordert Jürgen Jakob, Geschäftsführer von Jakobsoftware. Außerdem seien mehr Funktionstests nötig. Jakob: "Eine Remote-Auslösung eines Feueralarms ist vielleicht noch tolerierbar, das mögliche Deaktivieren eines Feuermelders ist allerdings nicht mehr als bloßer Klingelstreich abzutun." Eine Steuerung von IoT-Geräte durch eine eigene App sei zudem für kritische Infrastrukturen "nicht hinnehmbar".
Auch Patrick Schraut, Director Consulting & GRC bei NTT Security, fordert, dass "Schutzmaßnahmen bereits im Design greifen müssen". Eine zuverlässige Absicherung sei nur gewährleistet, wenn "Sicherheitsaspekte von Anfang an in ein Projekt integriert werden". Unternehmen müssten hierfür ein "entsprechendes Budget einkalkulieren". Schraut: "Eine nachträgliche Integration von Sicherheitsfunktionen ist bei manchen Projekten entweder nicht oder nur sehr schwer möglich."
Werde eine Lücke nicht schnell genug geschlossen, dann "kann man nur versuchen, die Ausbreitung von Malware im Netzwerk zu verhindern und die Kommunikation ins Internet zu blocken", so Mike Rakowski, Head of Business Unit Technology bei Also. Ein ganzheitlicher Sicherheitsansatz habe deswegen "höchste Priorität".
Mehr Transparenz bringt auch mehr Sicherheit
"Das Internet der Dinge lebt von der Übermittlung von Daten", sagt Susanne Endress, Divisional Director Networking, Security, Storage & Virtualization bei Arrow ECS. Diese Datenkommunikation benötige aber sichere Verschlüsselungs- und Authentifizierungsverfahren. Nach wie vor seien jedoch offene Kommunikation und keine oder Standardpasswörter häufig anzutreffen. Mehr Sicherheit könne durch mehr Transparenz erreicht werden.
"Der Einsatz von Prozessen und Technologien zur Erkennung, Klassifizierung und die Definition von Regeln zur Netzwerkzugangskontrolle sowie eine Orchestrierung mit anderen Sicherheitslösungen wie Firewalls, Threat-Management und Analyse-Tools stellen geeignete Gegenmaßnahmen zur Reduzierung der Risiken beim Einsatz von IoT-Devices dar", rät Susanne Endress.
Patrick Andreas, Information Security Manager und Leiter von Tarox Security bei Tarox, beschäftigt sich mit einem anderen Aspekt. Er warnt vor dem Erstellen von Nutzerprofilen durch IoT-Geräte aus dem Consumer-Bereich. Diese lassen die Anwender nach seiner Ansicht "plötzlich sehr gläsern erscheinen, was die wenigsten wollen". Er rät deswegen zu klassischen Lösungen zur Absicherung wie Firewalls.
Martin Twickler, Geschäftsführer DACH von Exclusive Networks, weist darauf hin, dass hin und wieder"Geräte in Vergessenheit geraten, keine Patches mehr eingespielt werden und damit auch kein Schutz mehr besteht und Sicherheitslücken entstehen. Er rechnet zudem mit neuen Formen der Erpressung durch das IoT, wenn etwa selbstfahrende Autos oder Überwachungskameras gehackt werden.
Mehr Kommunikation zwischen Kunden, Herstellern und Experten
Für Helge Scherff, Regional Vice President Central bei Wick Hill, ist das IoT "in punkto Sicherheit eine der größten Herausforderungen der kommenden Jahre". Dem Bedrohungspotenzial seien kaum Grenzen gesetzt. Unternehmen und Privatanwender müssten sich damit auseinandersetzen, dass ihre Produkte gehackt werden können. Er empfiehlt deswegen, "mit den Experten und Herstellern ins Gespräch zu gehen". Denn in der Regel seien Infrastrukturen und eingesetzte Devices kundenspezifisch. Es erfordere daher gemeinsame Anstrengungen, um ein "möglichst hohes Schutzniveau für den jeweiligen Kunden zu erzielen".