IT-Prozesse für das Internet der Dinge

Ein sicheres IoT braucht richtige Planung

| Autor / Redakteur: Sergej Schlotthauer / Peter Schmitz

Das Internet der Dinge bietet Unternehmen viele neue Möglichkeiten, aber es braucht einen klaren Plan, wie sich die IT-Risiken des IoT managen lassen.
Das Internet der Dinge bietet Unternehmen viele neue Möglichkeiten, aber es braucht einen klaren Plan, wie sich die IT-Risiken des IoT managen lassen. (Bild: Pixabay / CC0)

IT-Abteilungen können das Thema Internet der Dinge (Internet of Things, IoT) und Industrie 4.0 nicht mehr ignorieren. Ohne klaren Plan und abgestimmte Prozesse können die mit IoT verbundenen Risiken aber schnell mögliche Wettbewerbsvorteile überwiegen. Die richtige Vorbereitung und die Schaffung von essenziellen Grundlagen sind wichtig, müssen aber am individuellen Bedarf ausgerichtet sein.

Die Ausbreitung von IoT schreitet unaufhaltsam voran und laut Angaben des BKA werden bis 2020 eine Billion Endgeräte mit dem Internet verbunden sein. In der Praxis muss sich jede IT-Abteilung mit der IoT-Herausforderung auseinandersetzen, denn smarte Technologie durchdringt nahezu jeden Unternehmensbereich. Dieser Prozess sollte richtig gesteuert und mit den bestehenden IT-Umgebungen und der strategischen Ausrichtung abgestimmt werden. Dabei gilt es genau abzuschätzen, in welchen Bereichen die Innovation von smarten Dingen Unternehmen einen Wettbewerbsvorteil liefert und wo eine zunehmende Vernetzung dagegen nur zusätzlichen Aufwand und Risiken mit sich bringt.

In Unternehmen verschiebt sich der Fokus von der Sicherung von einzelnen Endpunkten und Perimeter hin zum Schutz eines vernetzten Ökosystems. Wichtigstes Prinzip ist es dabei, die Handlungsfähigkeit und Skalierbarkeit der IT-Landschaft immer zu gewährleisten, ohne die Kontrolle zu verlieren. Zudem ist die Digitalisierung ein andauernder Prozess und heute noch unbekannte Innovation sollte in der Zukunft ebenfalls noch integrierbar sein. Theoretisch gibt es unterschiedliche Möglichkeiten, dieses Ziel zu erreichen und durch den Hype um IoT haben viele Anbieter entsprechende Ansätze auf die Beine gestellt. In der Praxis passen diese aber nicht richtig auf die individuellen Anforderungen – speziell bei deutschen Unternehmen. Viele Konzepte sind insgesamt zu umfangreich oder würden zu viele Personalressourcen binden. Die entstehenden Kosten stehen daher in keinem vernünftigen Rahmen mehr.

Schifffahrt in der IoT-Falle

Schadprogramme als Steuermann

Schifffahrt in der IoT-Falle

09.04.18 - Schiffe sind die größten Komponenten des Internets der Dings (IoT), und sie sind oft nicht besser geschützt als eine Webcam für 20 Euro. Ein deutscher Sicherheitsexperte knackte die IT einer Millionen-Euro Jacht binnen kürzester Zeit. lesen

Schutz der digitalen Spielwiese: Kombination der richtigen Mechanismen

Beim Thema Sicherheit sollte man vier Punkte in den Mittelpunkt stellen:

  • Wer soll über welche Kanäle Zugriff auf das Netzwerk haben?
  • Wie schütze ich Informationen vor fremdem Zugriff unabhängig von ihrer Lokation?
  • Was kann ich gegen Angriffe gegen Endpunkte tun, auch wenn diese keine Standardbetriebssystem nutzen?
  • Wie manage ich eine immer größere Anzahl von Geräten ohne meine IT-Abteilungen zu überlasten und kann trotzdem Compliance nachweisen und Audits bestehen?

Ein Sicherheitskonzept sollte alle Fragen beantworten und sich gleichzeitig an den Bedürfnissen der modernen Nutzer orientieren. Das heißt, dass alle Mechanismen einfach zu verwalten sind und es keine Betriebsunterbrechungen für Wartungsarbeiten gibt.

Erste Grundlage muss eine zentrale Verwaltungskonsole sein, die es den IT-Abteilugen erlaubt, sämtliche Tools zu steuern und sie zudem so entlastet, dass sie nicht unter der großen Anzahl an Endpunkten zusammenbrechen. Daher sollten Prozesse hier automatisierbar und planbar sein. Bei der Auswahl der Werkzeuge hat sich dabei die Kombination von drei Sicherheitsmechanismen bewährt: Durch die Verbindung von Zugriffskontrolle, Verschlüsselung und Endpunktsicherheit können Unternehmen die richtigen Grundlagen schaffen, um die Vorteile von IoT im Alltag nutzbar zu machen – ohne ein Sicherheitsrisiko einzugehen.

Zugriffskontrolle oder Access Control reglementiert die Kommunikationskanäle und den Zugang zum Ökosystem. Dabei können beispielsweise USB-Ports und andere Anschlüsse an Endgeräten verwaltet werden, damit über diese kein Schadcode oder manipulierte Inhalte eingeschleust werden können. Diese Problematik dürfte vor allem Industrieunternehmen schon seit Längerem bekannt sein, da hier Produktionsanlagen über den Umweg per verseuchtem USB-Stick mit Malware infiziert wurden. Denkbar wäre aber auch, dass beispielsweise Fotos oder Videos ausgetauscht werden. Offene Ports und Anschlüsse sind aber auch in anderen Sektoren ein Sicherheitsrisiko und sollten nicht vergessen werden.

Trotzdem müssen Unternehmen damit rechnen, dass es zu einer erfolgreichen Cyberattacke kommt. Falls Angreifer einzelne Geräte kompromittieren, sollten sämtlichen durch durchgängige Verschlüsselung auf lokaler Ebene geschützt werden. Wenn Daten direkt nach der Erstellung durch kryptografische Mechanismen geschützt werden, kann die Information nur von den gewünschten Empfängern eingesehen werden – sogar, wenn Teile des Netzwerks kompromittiert sind.

Internet of Things – neue Strategien für die IoT-Sicherheit

Mehr Sicherheit im Internet der Dinge

Internet of Things – neue Strategien für die IoT-Sicherheit

16.04.18 - Das Internet der Dinge braucht einen besseren Schutz, daran besteht kein Zweifel. Die Frage ist jedoch, wie die IoT-Sicherheit wirklich verbessert werden kann. Wir stellen neue Lösungen und Konzepte vor. lesen

Genau wie Angreifer kann auch Malware trotz Abwehrmechanismen auf Endgeräte gelangen. In Bezug auf IoT ist hier die Abwehr schwierig, da nur wenige IoT-Endpunkte Softwareagenten zulassen. Im Bereich Industrial IoT wurden zudem viele smarte Anlagen als Insellösung geplant, die durch Firewalls und physikalische Segmentierung nicht in Kontakt mit dem Internet kommen könnten. Hier ist das Knowhow von IT-Sicherheitsexperten gefragt, indem sie je nach individueller Situation eines Unternehmens IoT-Agenten bereitstellen oder den Schutz der Endgeräte durch andere Mechanismen wie Segmentierung gewährleisten können. Speziell deutsche Organisationen profitieren dabei von regionalen Partnern, die neben der Expertise auch einen passenden Support und Beratung anbieten können.

IT-Entscheider dürfen nicht vergessen, dass all diese Mechanismen zwar teilweise automatisiert werden können, aber trotzdem einen Aufwand für IT-Abteilungen bedeuten. Auch Firewall und Anti-Virus werden durch IoT nicht obsolet, sondern sollten durch die genannten Mechanismen durchgehend erweitert werden. Die gemeinsame Verwaltung ist deshalb so wichtig, weil es nicht mehr um den Schutz einzelne Geräte, sondern ganzer digitaler Ökosysteme geht.

Klassische IT-Sicherheit in der digitalen Spielwiese nicht vergessen

Auf Basis der Mechanismen schaffen Unternehmen eine moderne IT-Umgebung, um sich aktiv auf IoT vorzubereiten. Diese muss aber richtig mit bestehenden Sicherheitswerkzeugen verzahnt werden. Teil der Managementplattform sollte daher auch die Nachprüfbarkeit von Aktionen sein. Nach einem Event können die IT-Abteilungen die Ursache genau erkennen und richtig reagieren. Fehlt dieser Einblick in die Prozesse, kann ein einzelner Endpunkt zum Problem der gesamten vernetzten Infrastruktur werden.

Der Weg zur sicheren smarten Welt ist daher eine Mischung aus Pragmatismus und neuer Sicherheitsinnovation. Es gibt kein Wundermittel und Konzepte sollten eng mit den IT-Verantwortlichen und Technologieexperten ausgearbeitet werden. Die Steuerungsplattform sollte über die reine Verwaltung hinausgehen und die IT-Administratoren und Auditoren durch intelligente Analyse- und Reportingtools entlasten. Im Idealfall bringt eine Lösung gleich entsprechende Zertifizierungen und Best-Practices mit, um verschiedene Branchen- und Industriestandards zu erfüllen.

IoT-Adaption geschieht nicht in einem Vakuum. Sicherheitsverantwortliche stehen nicht nur durch Adaption von IoT unter Druck, sondern müssen zudem noch andere Anforderungen umsetzen. Es gibt kein Patentrezept, auch wenn gerade Sicherheitsanbieter dies versprechen. Jede Organisation hat individuelle Einsatzzwecke für smarte Innovation, daher ist es wichtig, dass man flexibel genug sind ist um ihre Technologie an den jeweiligen Use Case anzupassen. Unternehmen sollten nicht voreilig in die Innovation investieren, sondern Eckpunkte abstecken. Sonst bezahlen sie am Ende für Lösungen, die sich nicht brauchen oder Sicherheitslücken lassen.

Investitionen in IoT-Sicherheit steigen rasant

Gartner-Marktzahlen

Investitionen in IoT-Sicherheit steigen rasant

04.04.18 - Laut den Prognosen der Marktforscher von Gartner steigen die weltweiten Ausgaben für IoT-Sicherheit im laufenden Jahr auf 1,5 Milliarden US-Dollar an. Bis zum Jahr 2021 soll Compliance der wichtigste Einflussfaktor für das Wachstum bei IoT-Security werden. lesen

Fazit

Gerade in Deutschland gibt es noch zahlreiche Produktions- und Industrieanlagen, die von digitaler Innovation profitieren können. Daher ist es keine Überraschung, dass die Bundesregierung die Industrie 4.0 forciert. Neben der vernetzen Smart Factory ist der Begriff IoT aber wesentlich größer und betrifft nahezu jeden Bereich der Wirtschaft. Die Fortschritte und die Vorbereitung für zukünftige Konkurrenzfähigkeit deutscher Unternehmen sind aber relativ unterschiedlich.

Dabei stehen viele Organisationen erst am Anfang ihrer Modernisierungsstrategie und wägen ab, wie sie am besten von IoT profitieren können. Die richtige Vorbereitung und die Schaffung von essenziellen Grundlagen sind wichtig und sollten nicht warten. Unternehmen dürfen nicht blindlinks investieren, sollten aber den Anschluss an den virtuellen Wettbewerb nicht verpassen. Der Spagat ist schwierig, da alle Mechanismen zudem in bestehende IT-Prozesse integriert werden müssen.

Speziell im Security-Bereich ist IoT ein Mantra-artiges Buzzword geworden, allerdings sind die Technologien am Markt häufig einseitig aufgestellt. In der Praxis sollte man neben den reinen Leistungsdaten auch auf die langfristige Flexibilität und Integrationsfähigkeit achten. Dies kann bei dem falschen Anbieter schnell zu hohen Folgekosten oder mangelnder Nutzerakzeptanz führen.

Über den Autor: Sergej Schlotthauer ist CEO von EgoSecure.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45271853 / Internet of Things)