IoT ist für Security-Anbieter ein Fokusthema
"Für uns ist IoT in den nächsten Jahren ein Fokusthema", versichert auch Richard Werner, Business Consultant bei Trend Micro. "Wenn wir IoT in einen Topf werfen, machen wir es uns aber zu einfach. Es gibt im Bereich IoT unterschiedliche Aspekte. Das liegt alleine schon daran, wie teuer ein IoT-Gerät ist, aber auch daran, wer angreift und wer der Leidtragende ist, also wer verantwortlich ist."
Werde eine für 20 Euro von einem Verbraucher gekaufte Netzwerkkamera von Kriminellen gekapert und einem Botnetz hinzugefügt wird, wie beim Mirai-Botnetz passiert, sei der Leidtragende in der Regel der Besitzer der angegriffenen Internetadresse. Zur Verantwortung gezogen werde meist niemand. "Also werden wir dafür auch keinen Markt für IoT-Security-Produkte sehen", schlussfolgert Werner.
Bei einem Auto als IoT-Gerät wolle der Angreifer dem Besitzer des Gerätes schaden. Zur Verantwortung gezogen werde im Schadensfall der Hersteller des Geräts. "Wir sind seit 40 Jahren gewohnt, dass ein Kühlschrank einfach funktioniert. Funktioniert er innerhalb der Garantiezeit nicht, wendet man sich an den Hersteller und fordert einen Austausch. Diesen Kunden kann der Hersteller nicht erklären, dass ihr Kühlschrank zwar prinzipiell funktioniert, wenn sie das aber auch weiterhin so haben möchte, sie dafür extra IT kaufen müssen", führt Werner aus.
Die Hersteller der teureren Geräte wüssten das sehr wohl und überlegen derzeit, wie sie IT-Sicherheit für diese Geräte gestalten können" "Brauche ich dazu einen Endpoint, brauche ich dazu Intelligenz oder eine Maschinenlern-Methode, die es erlaubt, Bedrohungen zu erkennen, zu klassifizieren und auch bereits in der Entstehung zu erkennen?", das sind laut Werner einige der derzeit diskutierten Fragen.
Lesetipp: Wie sich die Sicherheit im Internet der Dinge verbessern lässt
Für die große Anzahl unterschiedlicher Geräte erwartet er standardisierte Plattformen, die auch standardisiert betrieben und als Service angeboten werden. "In diesem Bereich wird es kein einfaches Wiederverkaufsmodell geben, das wird von Anfang an ein reines Managed Services-Thema werden", da ist sich Werner ganz sicher.
Michael Haas vonWatchGuard teilt Werners Einschätzung. "Man muss zwischen langfristig genutzten und wirkenden Produkten - Autos, Maschinen oder Anlagen - und günstigen Produkte, etwa einer Soundbar oder andere Consumer-Produkten unterscheiden.In diesem - nennen wir es einmal "Wegwerfmarkt" - wird es niemals einen Standard geben. Bei den Autobauern oder in der Industrie denkt man in ganz anderen Zyklen, da wird es einen Standard geben", prognostiziert Haas.
Lesetipp: Netzwerksicherheit in der IoT-Ära
Dennoch ist die Absicherung auf dem Endgerät gerade bei Investitionsgütern schwierig, gibt Berghoff von G Data zu bedenken. Autos beispielsweise seien acht bis 15 Jahre auf der Straße. "Hätten man vor dieser Zeit der Entwicklungsabteilung eines Herstellers gesagt, er müsse Krypto-Komponenten einbauen, die mindestens 2048-Bit-Verschlüsselung unterstützen, hätte man wahrscheinlich mit Glück höchsten ein müdes Lächeln geerntet. Man muss also weit vorausdenken und in der physischen Hardware die Voraussetzungen schaffen, So dass man für die nächsten fünf oder zehn Jahre Reserven hat, um in der Software noch Nachbesserungen vorzunehmen oder um überhaupt neue endpoint-Security-Software zu entwickeln", so der G Data-Experte.
- IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11. - Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss". - Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein." - David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren." - Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt. - Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller." - Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden." - Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können." - Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen." - Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design." - Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich." - Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ." - IoT-Security - was die Hersteller davon halten
Vertreter führender Security-Anbieter diskutierten mit ChannelPartner über Stand, Entwicklung und Perspektiven für den Channel bei IoT-Security. Ihre Vertreter entsandten unter anderem Sophos, WatchGuard, ESET, Trend Micro, Avast, G Data sowie Link11. - Sven Janssen, Sophos
"In Firmen geht es zunächst einmal darum zu schauen, was überhaupt für ein Risiko entstehen kann. Partner können bei dieser Bestandsaufnahme helfen, darauf hinweisen, dass und warum IoT-Geräte potenzielle Sicherheitslücken sind und Bewusstsein dafür wecken, dass dieser Aspekt in eine Security-Strategie eingebunden werden muss". - Richard Werner, Business Consultant bei Trend Micro
"Bei hochpreisigen Geräten hat der Hersteller ein Interesse daran, die so sicher wie möglich zu machen. Da haben wir unsere Lösungen. Für den Home-User wird der Ansatzpunkt nach wie vor der Router sein." - David Beier, Partner Account Manager bei Avast
"Im Konsumentenbereich ist es schwer, alle Geräte abzudecken, sehe auch eher den Ansatz, dass die Security-Hersteller mit den Endgeräteanbietern kooperieren." - Tim Berghoff, Security Evangelist bei G Data
"Den Endanwender sollte man so weit wie möglich von der Aufgabe entbinden, für IT-Security selber aktiv werden zu müssen", empfiehlt. - Maik Wetzel Channel Sales Director DACH bei ESET
"Bei Smart TVs gibt es unterschiedliche Betriebssysteme. Manche Hersteller - und das ist der spannende Ansatz - nutzen Security als zusätzliches Verkaufsargument für ihre Geräte. Da fängt es an interessant zu werden - auch für uns als Security-Hersteller." - Hagen Renner, Link11
"Partner für IoT-Security brauchen spezielles Know-how, um auf andere Ansprechpartner bei den Kunden zuzugehen. Es gibt bisher eine kleine Anzahl von Partnern, die sich damit befassen und spezielles Know-how aufbauen. Das sind dann aber auch diejenigen, die von den Kunden nach Unterstützung gefragt werden." - Thomas Huber, Nutanix
"Wenn jeder seine eigenen Lösungen baut, wird es wesentlich unsicherer bleiben, als wenn wir uns in der IT-Security-Branche zusammen als 'die Guten' verstehen und überlegen, wie wir gemeinsam vorgehen können." - Michael Haas, Area Sales Director Central Europe bei WatchGuard
"Kaum ein Heimanwender wird seinen Fernseher in Bezug auf IT-Sicherheit konfigurieren wollen. Dafür wird es gemanagte Services geben. Ähnlich wird es im SMB-Markt aussehen." - Peter Neumeier, Head of Channel Germany bei Kaspersky Lab DACH
"Auf Seite der Entwickler und Anbieter ist es wichtig, dass sie von Beginn an IT-Sicherheits- und Datenschutzaspekte bei ihren Produkten integrieren. Das Stichwort hier wäre Security-by-Design." - Torsten Harengel, Leiter Security, bei Cisco Deutschland
"Wenn Unternehmen kontinuierlich mit hoher Priorität ihre Systeme auf einem aktuellen Stand halten und Patches so schnell wie möglich einspielen, verringern sie die Risiken eines Angriffs deutlich." - Michale Veit, Security-Experte bei Sophos
"Die meisten IoT-Geräte werden nicht mit dem Fokus auf Sicherheit hin entwickelt ."
Sven Janssen gibt zusätzlich zu bedenken, dass IoT-Geräte meist nicht über einen Bildschirm zur Bedienung verfügen, sehr zahlreich und in ihrer Gesamtheit aufgrund der Vielfalt sehr komplex sind. "Auch daher ist die Frage, wo man ansetzt. Ich glaube nicht, dass man generell bei Herstellern von IoT-Systemen ansetzen kann. Das wird in Teilbereichen funktionieren, etwa kritischen Systemen,wie Autos, aber in der Masse wird es nicht funktionieren, weil die Gerätelandschaft extrem vielfältig ist."
Laut Michael Veit, gibt es bereits erste Ansätze für standardisierte IoT-Plattformen wie „Windows 10 IoT“ oder „Android Things“, bei denen regelmäßige Updates und auch maßgeschneiderte Endpoint-Sicherheitslösungen möglich sein sollten, allerdings sieen diese Plattformen aber noch nicht weit verbreitet: "Angesichts der aktuell im Markt befindlichen Vielzahl unterschiedlicher Plattformen, die auf IoT-Geräten eingesetzt werden und die meist keine Installation von (Endpoint-) Sicherheitslösungen ermöglichen, bleibt den IT-Verantworlichen nichts anders übrlig, als die IoT-Geräte voneinander und auch vom Rest des Netzwerkes physich zu trennen", postuliert der Sophos-Manager.