:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Prozesse für das Internet der Dinge Ein sicheres IoT braucht richtige Planung
IT-Abteilungen können das Thema Internet der Dinge (Internet of Things, IoT) und Industrie 4.0 nicht mehr ignorieren. Ohne klaren Plan und abgestimmte Prozesse können die mit IoT verbundenen Risiken aber schnell mögliche Wettbewerbsvorteile überwiegen. Die richtige Vorbereitung und die Schaffung von essenziellen Grundlagen sind wichtig, müssen aber am individuellen Bedarf ausgerichtet sein.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/7b/637b9fe3ae9b8/thousandeyes-logo-transitionmark-standard.png "thousandeyes-logo-transitionmark-standard (ThousandEyes, a Cisco company)"){kind=logo}
Die Ausbreitung von IoT schreitet unaufhaltsam voran und laut Angaben des BKA werden bis 2020 eine Billion Endgeräte mit dem Internet verbunden sein. In der Praxis muss sich jede IT-Abteilung mit der IoT-Herausforderung auseinandersetzen, denn smarte Technologie durchdringt nahezu jeden Unternehmensbereich. Dieser Prozess sollte richtig gesteuert und mit den bestehenden IT-Umgebungen und der strategischen Ausrichtung abgestimmt werden. Dabei gilt es genau abzuschätzen, in welchen Bereichen die Innovation von smarten Dingen Unternehmen einen Wettbewerbsvorteil liefert und wo eine zunehmende Vernetzung dagegen nur zusätzlichen Aufwand und Risiken mit sich bringt.
In Unternehmen verschiebt sich der Fokus von der Sicherung von einzelnen Endpunkten und Perimeter hin zum Schutz eines vernetzten Ökosystems. Wichtigstes Prinzip ist es dabei, die Handlungsfähigkeit und Skalierbarkeit der IT-Landschaft immer zu gewährleisten, ohne die Kontrolle zu verlieren. Zudem ist die Digitalisierung ein andauernder Prozess und heute noch unbekannte Innovation sollte in der Zukunft ebenfalls noch integrierbar sein. Theoretisch gibt es unterschiedliche Möglichkeiten, dieses Ziel zu erreichen und durch den Hype um IoT haben viele Anbieter entsprechende Ansätze auf die Beine gestellt. In der Praxis passen diese aber nicht richtig auf die individuellen Anforderungen – speziell bei deutschen Unternehmen. Viele Konzepte sind insgesamt zu umfangreich oder würden zu viele Personalressourcen binden. Die entstehenden Kosten stehen daher in keinem vernünftigen Rahmen mehr.
:quality(80)/images.vogel.de/vogelonline/bdb/1378000/1378030/original.jpg "Moderne Schiffe sind in vielen Fällen schwimmende Computernetzwerke und dementsprechend ähnlich anfällig für Cyber-Angriffe, die Gefahr wird aber von den Reedereien noch immer unterschätzt. (donvictori0 - stock.adobe.com)")
Schadprogramme als Steuermann
Schifffahrt in der IoT-Falle
Schutz der digitalen Spielwiese: Kombination der richtigen Mechanismen
Beim Thema Sicherheit sollte man vier Punkte in den Mittelpunkt stellen:
- Wer soll über welche Kanäle Zugriff auf das Netzwerk haben?
- Wie schütze ich Informationen vor fremdem Zugriff unabhängig von ihrer Lokation?
- Was kann ich gegen Angriffe gegen Endpunkte tun, auch wenn diese keine Standardbetriebssystem nutzen?
- Wie manage ich eine immer größere Anzahl von Geräten ohne meine IT-Abteilungen zu überlasten und kann trotzdem Compliance nachweisen und Audits bestehen?
Ein Sicherheitskonzept sollte alle Fragen beantworten und sich gleichzeitig an den Bedürfnissen der modernen Nutzer orientieren. Das heißt, dass alle Mechanismen einfach zu verwalten sind und es keine Betriebsunterbrechungen für Wartungsarbeiten gibt.
Erste Grundlage muss eine zentrale Verwaltungskonsole sein, die es den IT-Abteilugen erlaubt, sämtliche Tools zu steuern und sie zudem so entlastet, dass sie nicht unter der großen Anzahl an Endpunkten zusammenbrechen. Daher sollten Prozesse hier automatisierbar und planbar sein. Bei der Auswahl der Werkzeuge hat sich dabei die Kombination von drei Sicherheitsmechanismen bewährt: Durch die Verbindung von Zugriffskontrolle, Verschlüsselung und Endpunktsicherheit können Unternehmen die richtigen Grundlagen schaffen, um die Vorteile von IoT im Alltag nutzbar zu machen – ohne ein Sicherheitsrisiko einzugehen.
Zugriffskontrolle oder Access Control reglementiert die Kommunikationskanäle und den Zugang zum Ökosystem. Dabei können beispielsweise USB-Ports und andere Anschlüsse an Endgeräten verwaltet werden, damit über diese kein Schadcode oder manipulierte Inhalte eingeschleust werden können. Diese Problematik dürfte vor allem Industrieunternehmen schon seit Längerem bekannt sein, da hier Produktionsanlagen über den Umweg per verseuchtem USB-Stick mit Malware infiziert wurden. Denkbar wäre aber auch, dass beispielsweise Fotos oder Videos ausgetauscht werden. Offene Ports und Anschlüsse sind aber auch in anderen Sektoren ein Sicherheitsrisiko und sollten nicht vergessen werden.
Trotzdem müssen Unternehmen damit rechnen, dass es zu einer erfolgreichen Cyberattacke kommt. Falls Angreifer einzelne Geräte kompromittieren, sollten sämtlichen durch durchgängige Verschlüsselung auf lokaler Ebene geschützt werden. Wenn Daten direkt nach der Erstellung durch kryptografische Mechanismen geschützt werden, kann die Information nur von den gewünschten Empfängern eingesehen werden – sogar, wenn Teile des Netzwerks kompromittiert sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1367100/1367103/original.jpg "Der vermehrte Einsatz vernetzter Geräte wirft erhebliche Sicherheitsprobleme auf. Das gibt Anlass, bestehende Sicherheitsstrategien neu zu überdenken. (© leowolfert - stock.adobe.com)")
Mehr Sicherheit im Internet der Dinge
Internet of Things – neue Strategien für die IoT-Sicherheit
Genau wie Angreifer kann auch Malware trotz Abwehrmechanismen auf Endgeräte gelangen. In Bezug auf IoT ist hier die Abwehr schwierig, da nur wenige IoT-Endpunkte Softwareagenten zulassen. Im Bereich Industrial IoT wurden zudem viele smarte Anlagen als Insellösung geplant, die durch Firewalls und physikalische Segmentierung nicht in Kontakt mit dem Internet kommen könnten. Hier ist das Knowhow von IT-Sicherheitsexperten gefragt, indem sie je nach individueller Situation eines Unternehmens IoT-Agenten bereitstellen oder den Schutz der Endgeräte durch andere Mechanismen wie Segmentierung gewährleisten können. Speziell deutsche Organisationen profitieren dabei von regionalen Partnern, die neben der Expertise auch einen passenden Support und Beratung anbieten können.
IT-Entscheider dürfen nicht vergessen, dass all diese Mechanismen zwar teilweise automatisiert werden können, aber trotzdem einen Aufwand für IT-Abteilungen bedeuten. Auch Firewall und Anti-Virus werden durch IoT nicht obsolet, sondern sollten durch die genannten Mechanismen durchgehend erweitert werden. Die gemeinsame Verwaltung ist deshalb so wichtig, weil es nicht mehr um den Schutz einzelne Geräte, sondern ganzer digitaler Ökosysteme geht.
Klassische IT-Sicherheit in der digitalen Spielwiese nicht vergessen
Auf Basis der Mechanismen schaffen Unternehmen eine moderne IT-Umgebung, um sich aktiv auf IoT vorzubereiten. Diese muss aber richtig mit bestehenden Sicherheitswerkzeugen verzahnt werden. Teil der Managementplattform sollte daher auch die Nachprüfbarkeit von Aktionen sein. Nach einem Event können die IT-Abteilungen die Ursache genau erkennen und richtig reagieren. Fehlt dieser Einblick in die Prozesse, kann ein einzelner Endpunkt zum Problem der gesamten vernetzten Infrastruktur werden.
Der Weg zur sicheren smarten Welt ist daher eine Mischung aus Pragmatismus und neuer Sicherheitsinnovation. Es gibt kein Wundermittel und Konzepte sollten eng mit den IT-Verantwortlichen und Technologieexperten ausgearbeitet werden. Die Steuerungsplattform sollte über die reine Verwaltung hinausgehen und die IT-Administratoren und Auditoren durch intelligente Analyse- und Reportingtools entlasten. Im Idealfall bringt eine Lösung gleich entsprechende Zertifizierungen und Best-Practices mit, um verschiedene Branchen- und Industriestandards zu erfüllen.
IoT-Adaption geschieht nicht in einem Vakuum. Sicherheitsverantwortliche stehen nicht nur durch Adaption von IoT unter Druck, sondern müssen zudem noch andere Anforderungen umsetzen. Es gibt kein Patentrezept, auch wenn gerade Sicherheitsanbieter dies versprechen. Jede Organisation hat individuelle Einsatzzwecke für smarte Innovation, daher ist es wichtig, dass man flexibel genug sind ist um ihre Technologie an den jeweiligen Use Case anzupassen. Unternehmen sollten nicht voreilig in die Innovation investieren, sondern Eckpunkte abstecken. Sonst bezahlen sie am Ende für Lösungen, die sich nicht brauchen oder Sicherheitslücken lassen.
:quality(80)/images.vogel.de/vogelonline/bdb/1374600/1374660/original.jpg "Je mehr Geräte vernetzt sind, desto mehr werden auch angegriffen. (Pixabay)")
Gartner-Marktzahlen
Investitionen in IoT-Sicherheit steigen rasant
Fazit
Gerade in Deutschland gibt es noch zahlreiche Produktions- und Industrieanlagen, die von digitaler Innovation profitieren können. Daher ist es keine Überraschung, dass die Bundesregierung die Industrie 4.0 forciert. Neben der vernetzen Smart Factory ist der Begriff IoT aber wesentlich größer und betrifft nahezu jeden Bereich der Wirtschaft. Die Fortschritte und die Vorbereitung für zukünftige Konkurrenzfähigkeit deutscher Unternehmen sind aber relativ unterschiedlich.
Dabei stehen viele Organisationen erst am Anfang ihrer Modernisierungsstrategie und wägen ab, wie sie am besten von IoT profitieren können. Die richtige Vorbereitung und die Schaffung von essenziellen Grundlagen sind wichtig und sollten nicht warten. Unternehmen dürfen nicht blindlinks investieren, sollten aber den Anschluss an den virtuellen Wettbewerb nicht verpassen. Der Spagat ist schwierig, da alle Mechanismen zudem in bestehende IT-Prozesse integriert werden müssen.
Speziell im Security-Bereich ist IoT ein Mantra-artiges Buzzword geworden, allerdings sind die Technologien am Markt häufig einseitig aufgestellt. In der Praxis sollte man neben den reinen Leistungsdaten auch auf die langfristige Flexibilität und Integrationsfähigkeit achten. Dies kann bei dem falschen Anbieter schnell zu hohen Folgekosten oder mangelnder Nutzerakzeptanz führen.
Über den Autor: Sergej Schlotthauer ist CEO von EgoSecure.
(ID:45271853)
:quality(80)/p7i.vogel.de/wcms/a1/90/a1909da3c9a625cba85d3868a77eaf65/0101115720.jpeg "Das Industrial Internet of Things (IIoT) ist die industrielle Ausprägung des Internets der Dinge. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/5b/fe/5bfe9ac4c9941c8a58330f1e3e0d9130/0111274736.jpeg "Obwohl eine vollständige Prävention unmöglich ist, gibt es mehrere Abwehrmaßnahmen, die vor Zero-Day-Bedrohungen schützen können. (Bild: sdecoret - stock.adobe.com)")