:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Prognosen 2018 Risiken der modernen IoT-Entwicklung
Das Internet der Dinge (IoT) gehört aktuell zu den am stärksten wachsenden IT-Zweigen und wird in den kommenden Jahren auch für die IT-Sicherheit eine immer größere Rolle spielen. Dabei stehen besonders die Entwickler solcher Geräte in der Verantwortung, diese zukünftig sicherer zu machen. Sie sollten dabei vor allem auf eigene Entwicklungsarbeit vertrauen und weniger „fertige“ Services einkaufen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Entwicklung von IoT-Lösungen umfasst weit mehr als „nur“ die Geräte. Die wenigsten Geräte existieren im „luftleeren Raum“. Vielmehr sind sie nur der für den Benutzer sichtbare Teil. Andere Herausforderungen wie der Transport von Daten oder auch ihre Bearbeitung im Backend stellen jeweils eigene Teile einer kompletten IoT-Lösung dar.
Damit einher gehen Anforderungen an die Hersteller solcher Lösungen, dort entsprechende Umgebungen zu entwickeln, aufzubauen und zu betreiben. Diese Anforderungen waren in der Vergangenheit durchaus eine Eintrittshürde für viele Firmen, die an der Entwicklung von IoT-Lösungen interessiert waren. Diese hatten zwar ein IoT-Geschäftsmodell, nicht aber die Ressourcen, dieses zu entwickeln – böse Zungen behaupten, dies hätte eine Art natürlichen Schutzwall dargestellt.
Von PaaS zu Backend-as-a-Service
Dieses Szenario ist bereits aus einem anderen Kontext bekannt: Vor dem Aufkommen von PaaS-Cloud-Diensten (Platform-as-a-Service) war das Ausrollen eigener Web-Applikationen sehr komplex. PaaS erlaubte es aber bald jedem, sehr schnell Applikationen zu entwickeln und in der Cloud zu betreiben. Die komplexen Aufgaben wie Datenbankverwaltung, Netzwerküberwachung, Hochverfügbarkeit und vieles mehr waren einfach Teil des PaaS-Angebotes. Aber auch andere Komponenten von Webapplikationen wie das Versenden von (Massen-)E-Mails, Website Monitoring, oder A/B Usability Tests wurden alsbald als Dienst aus der Cloud angeboten, den man nur noch an seine Webapplikation andocken musste. In letzter Konsequenz führte dies zu "Backend-as-a-Service"-Angeboten, bei denen sämtliche Backend-Funktionen zentral bereitgestellt und einfach mit verschiedenen Frontends wie Web oder Mobile genutzt werden.
Dies führte zu einer Art komponentenbasierter Entwicklung von Webanwendungen, bei denen viele der Komponenten nicht nur von Drittherstellern kamen, sondern auch von diesen als Dienst angeboten wurde. Letztendlich gleichen damit viele dieser Webanwendungen einem großen Puzzlespiel, bei dem der Entwickler nur noch für den Klebstoff zwischen den einzelnen Teilen und die Kerngeschäftslogik sorgen musste.
Diese Art der Entwicklung ist natürlich deutlich schneller, als wenn alle Komponenten selbst entwickelt werden müssten. Allerdings begeben sich die Nutzer dieser Dienste damit auch in Abhängigkeit von Drittanbietern – unter Umständen mit katastrophalen Folgen, sollte einer dieser Dienste einmal ausfallen oder gar vom Markt verschwinden. Zudem werden damit natürlich auch alle vorhandenen Sicherheitsrisiken mit übernommen. So kann man selbst bei bekannten Sicherheitslücken in einem der Dienste eigentlich nur darauf hoffen, dass der Anbieter diese zeitnah schließt. Diese selbst zu schließen ist hingegen kaum praktikabel. Passiert dies nicht, kann dies direkte Konsequenzen für die Sicherheit der eigenen Applikation und deren Daten haben.
IoT-as-a-Service
Exakt die gleiche Art von „Puzzlespiel“-Entwicklung hält momentan in einer noch nicht dagewesenen Komplexität Einzug in die Entwicklung von IoT-Lösungen. Neue Angebote für deren Hersteller bieten alle nur denkbaren Dienstleistungen, angefangen von kleinsten Funktionalitäten auf Geräteebene über Beschaffung, Vertrieb, Lagerung und Transport der Hardware bis hin zum Betrieb der Backend-Systeme in der Cloud. De facto reicht heute eine Idee, was die IoT-Lösung machen soll – praktisch alles andere gibt es als Dienstleistung.
Doch ähnlich wie im Umfeld der PaaS-Entwicklung ist auch hier nicht alles Gold, was glänzt. Natürlich erfordert die Entwicklung einer IoT-Lösung „in-house“ Wissen auf vielen Gebieten wie Betriebssysteme, Anwendungsentwicklung, oder den Betrieb des Backends. In diesen Bereichen jedoch nur auf Dienstleister zu vertrauen führt zu großer Abhängigkeit und damit verbunden einer geringeren Kontrolle und Sicherheit.
Abhängigkeiten minimieren
Daraus zu schließen, dass alle eine IoT-Lösung umfassenden Technologien und Anwendungen nun ausschließlich „in-house“ zu entwickeln sind, ist sicherlich nicht sinnvoll. Eine Begrenzung der genutzten Dienste stellt jedoch eine gute Möglichkeit, um Abhängigkeiten zu reduzieren und die Sicherheit zu erhöhen. Außerdem ist es auf jeden Fall ratsam, bei der Entwicklung die genutzten Dienste zu abstrahieren. Dabei werden die Anwendungen gegen selbstdefinierte Interfaces geschrieben. Konkrete Implementierungen dieser Interfaces greifen auf die jeweiligen Dienste zu. Bei einem späteren Wechsel des genutzten Dienstes ist dann keine umfassende Änderung am Applikationscode notwendig, sondern „nur“ eine Implementierung des Interfaces für diesen neuen Dienst.
Zusammenfassung
Die Entwicklung von kompletten IoT-Lösungs-Stacks ist heute einfacher denn je: Fast alles lässt sich als Dienst einkaufen. Nutzt man solche Angebote, muss man sich aber auch der Konsequenzen bewusst sein. Jede Nutzung von externen Diensten erhöht die Abhängigkeiten und damit auch eventuelle (Sicherheits-)Risiken. Beim Einsatz solcher Angebote ist also die möglicherweise eingesparte Entwicklungszeit durch die Nutzung von Diensten mit den damit verbunden erhöhten Abhängigkeiten und Risiken abzuwägen.
Über den Autor: Udo Schneider ist Security Evangelist beim japanischen Security-Anbieter Trend Micro.
(ID:45060589)
:quality(80)/images.vogel.de/vogelonline/bdb/1942600/1942654/original.jpg "Die Zukunft der Unternehmens-IT liegt in der Cloud, wie Zero Trust und SSE unterstreichen und die hybride Arbeitswelt fordert. (thodonal - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951300/1951358/original.jpg "Die F5 Distributed Cloud Services sind ab sofort verfügbar. (Mint_Fotos / F5)")