In Artikel "Wie sich die Sicherheit im Internet der Dinge verbessern lässt" ging es um die Frage, wie renommierte Security-Hersteller die Sicherheitslage im Internet of Things einschätzen. Diesmal geht es um die Antworten von Experten aus Systemhäusern, Distributoren und IT-Dienstleistern.
Bei einer aktuellen Überprüfung von mehr als 820.000 Netzwerken in Deutschland wurden nach Angaben des Antivirenherstellers Avast unter fast drei Millionen registrierten IoT-Devices rund 175.500 unsichere Geräte gefunden. Darüber hinaus seien fast 140.000 Router, mehr als 8.000 Drucker und über 1.000 Webcams mit Schwachstellen entdeckt worden. "Durch die Anfälligkeit von hunderttausenden ungeschützten Geräten können Cyber-Kriminelle ein Botnet erschaffen, um Server und Websites zu attackieren und vom Netz zu nehmen", erläutert Ondrej Vlcek, CTO und EVP & GM Consumer bei Avast.
Das IoT benötigt "Klassiker der IT-Sicherheit"
Trotzdem gehe es vielen IoT-Anbietern vor allem um "Innovationsgeschwindigkeit", kommentiert Carsten Dibbern, Solution Manager Secure Information bei Computacenter die aktuelle Situation. IT-Sicherheit stehe bei ihnen nicht im Fokus, "weshalb etablierte Security-Konzepte nicht eingesetzt werden". Wichtig seien für ein sicheres IoT aber die "Klassiker der IT Sicherheit wie Patch-Management, der Einsatz aktueller Kommunikationsprotokolle mit Verschlüsselung, Authentisierung mit starken kryptographischen Verfahren und sichere Registrierungsprozesse", so Dibbern.
Auch Michael Schweyer, Consultant IT-Security bei Konica Minolta IT Solutions, sieht ein "großes Spektrum an Angriffsmöglichkeiten mit vielen Einfallstoren". Das liege daran, dass viele Produkte nicht unter dem Gesichtspunkt Security entwickelt würden, nicht über entsprechende "Systemhärtungen" verfügten und aus Kostengründen häufig Third-Party-Libraries zum Einsatz kämen. Seiner Ansicht nach steigen die Gefahren auch durch die zunehmende Verbreitung IoT-fähiger Geräte im privaten Umfeld.
Ralf Stadler, Director Business Unit Security bei Tech Data, schlägt deswegen einen Zertifizierungsprozess vor. "Es wäre wünschenswert, wenn Geräte, die durch das IoT in Netzwerke eingebunden werden standardmäßig einer Sicherheitszertifizierung unterliegen würden." Bereits vor der Markteinführung der Produkte sollten Schutzmaßnahmen eingebunden werden. Außerdem müsse die "Kommunikation überwacht und auf Anomalien geprüft werden". Stadler empfiehlt den Einsatz moderner Secure Internet Gateways (SIG), die IoT-Geräte direkt im Internet vor C2C-Calls schützen können, indem sie entsprechende Requests blocken.
Security bereits ins Design integrieren
IoT müsse sich bereits "per Design absichern", fordert Jürgen Jakob, Geschäftsführer von Jakobsoftware. Außerdem seien mehr Funktionstests nötig. Jakob: "Eine Remote-Auslösung eines Feueralarms ist vielleicht noch tolerierbar, das mögliche Deaktivieren eines Feuermelders ist allerdings nicht mehr als bloßer Klingelstreich abzutun." Eine Steuerung von IoT-Geräte durch eine eigene App sei zudem für kritische Infrastrukturen "nicht hinnehmbar".
Auch Patrick Schraut, Director Consulting & GRC bei NTT Security, fordert, dass "Schutzmaßnahmen bereits im Design greifen müssen". Eine zuverlässige Absicherung sei nur gewährleistet, wenn "Sicherheitsaspekte von Anfang an in ein Projekt integriert werden". Unternehmen müssten hierfür ein "entsprechendes Budget einkalkulieren". Schraut: "Eine nachträgliche Integration von Sicherheitsfunktionen ist bei manchen Projekten entweder nicht oder nur sehr schwer möglich."
Werde eine Lücke nicht schnell genug geschlossen, dann "kann man nur versuchen, die Ausbreitung von Malware im Netzwerk zu verhindern und die Kommunikation ins Internet zu blocken", so Mike Rakowski, Head of Business Unit Technology bei Also. Ein ganzheitlicher Sicherheitsansatz habe deswegen "höchste Priorität".