:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Absicherung von IoT Vernetzte Geräte trotz Standardisierungswahn absichern
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In Unternehmensnetzwerken und Industrieanlagen finden sich immer öfter IoT- und OT Geräte. Die eingebaute Konnektivität ermöglicht es Verbrauchern und Herstellern, Produkte aus der Ferne zu überwachen und mit ihnen zu interagieren. Remote lassen sich Daten sammeln, die Leistung beobachten, die Geräte konfigurieren und auch ein- und ausschalten. Zunehmend sind vernetzte Geräte in der Lage ganz ohne menschliches Zutun miteinander zu kommunizieren.
Die zunehmende Anzahl vernetzter Geräte verspricht einerseits zwar sehr vielversprechende Möglichkeiten, setzt andererseits aber die Verantwortlichen für die Produktsicherheit unter großen Druck. Viele Produkte der ersten Generation unterlagen herstellerspezifischen Standards, die oftmals nicht den grundlegenden Sicherheitsprinzipien entsprachen oder diese sogar ignorierten. Nun müssen sich die Hersteller jedoch an den zahlreichen nationalen und globalen Standards orientieren, die immer anspruchsvollere Grundvoraussetzungen für die Sicherheit in jeder Produktkategorie festlegen.
Verwirrung bei Auslegung der Standards
Bessere Sicherheitsstandards sind an sich eine positive Entwicklung, die jedoch unter realen Bedingungen mit einer erhöhten Komplexität und wachsender Verwirrung einhergeht. Bei der Herstellung eines Produkts müssen bis zu 80 relevante Normen beachtet werden - eine große Herausforderung, die Verantwortlichen zunehmend Kopfschmerzen bereitet. Diese Normen können außerdem je nach Branche oder Marktsegment, unübersichtlich und sehr unterschiedlich sein, wodurch sich die Expansion in neue Bereiche oder Regionen für jedes Unternehmen als eine anspruchsvolle Herausforderung gestaltet.
Für die verschiedenen Branchen gelten eine Vielzahl an Normen, z. B. IEC 62443 für industrielle Systeme und WP 29 für die Automobilindustrie. Weitere wichtige Standards für IoT- und OT-Geräte sind:
- ISASecure Component Security Assurance (CSA) IEC62334-Normen
- Technische Ausschuss für Cybersicherheit (TC CYBER) ETSI 103 645 2019
- NIST-Rahmen für bewährte Verfahren und die IoT Capabilities Baseline
- ISO/IEC 21823-1 (2019)
- UL IoT-Geräte-Sicherheitszertifizierung
- US Cybersecurity Improvement Act (Gesetz zur Verbesserung der Cybersicherheit)
- EU-Gesetz zur Cybersicherheit
- UNECE WP.29
- ISO/SAE 21434
Diese Normen haben zwar den Anspruch eindeutig und auch umsetzbar zu sein, aber in einigen Fällen kam es bei der Auslegung immer wieder zu Verwirrung. Bestimmte Normen sind sehr allgemein formuliert - sie verweisen auf „Integrität“ oder „Verschlüsselung“ - , ohne dass der Hersteller oder Benutzer praktische Informationen darüber erhält, was dies für die Umsetzung bedeutet. Andere wiederum sind übermäßig technisch und enthalten etliche Regeln für Geräte in einem einzigen Branchenbereich. Zudem sind diese Normen geografisch begrenzt und oftmals nicht wirksam, was zur Folge hat, dass die Einhaltung der Normen nicht gleichmäßig und nicht sehr konsequent verläuft.
Aufgrund der rasanten Zunahme an Bedrohungen gegen vernetzte Geräte, besteht dringender Bedarf an Klarheit an diesen Fronten. Jeden Tag entdecken Cyber-Kriminelle neue Schwachstellen in Edge-Geräten. Für Hersteller bedeutet das, dass sie in der Lage sein müssen, ihre Geräte schnellstmöglich zu patchen und zu aktualisieren. Die weltweite Pandemie verstärkt diesen Druck noch, da die Zahl der Cyberangriffe auf Heimanwender, sowie vernetzte Geräte, erheblich gestiegen ist und der Fernzugriff auf sensible Unternehmensressourcen und die Fernverwaltung von Geräten zur Norm geworden sind.
Bedeutung internationaler Zusammenarbeit
In den letzten 12 Monaten wurden Fortschritte bei der Konsolidierung der Standards für Edge-Geräte erzielt, wobei die Automobilindustrie durch die UNECE-Richtlinie WP29 und industrielle Kontrollsysteme durch die ISA/IEC 62443-Normenreihe, die vom ISA99-Ausschuss entwickelt und von der Internationalen Elektrotechnischen Kommission (IEC) angenommen wurde, angeglichen und reguliert wurden. Eine geografische Angleichung zwischen US-amerikanischen, europäischen und japanischen Herstellern fand auch statt. Regulierungsbehörden wie die FDA versuchen branchenweite Standards für vernetzte Geräte zu etablieren.
Eine wichtige Entwicklung stellt der IoT Cybersecurity Improvement Act dar, der es dem National Institute of Standards and Technology (NIST) in den USA ermöglicht, Standards zu formulieren. Sie gelten einheitlich für alle Hersteller, die Verträge mit der US-Bundesregierung abschließen möchten.
Diese regulatorischen Entscheidungen können die Hersteller von vernetzten Geräten dabei unterstützen, die mit vernetzten Industriesystemen verbundenen Standards zu vereinheitlichen und dadurch De-facto-Standards für alle Unternehmen zu etablieren. Die Wachstumsrate der Hersteller von vernetzten Geräten übersteigt jedoch noch immer die Geschwindigkeit, mit der adäquate Vorschriften entwickelt werden, die für die Absicherung von vernetzten Industrieumgebungen gelten.
Fazit
Die Absicherung von IoT braucht eine enge Zusammenarbeit und Austausch zwischen Regulierungsbehörden und Herstellern, einschließlich der Bereitschaft der führenden Anbieter in den jeweiligen Bereichen, Standards, Erfahrungen und Wissen miteinander zu teilen. Die größte Herausforderung auf dem Weg zu allgemein geltenden Standards für Edge-Geräte ist, einfach formuliert, Zeit. Das technologische Repertoire der Angreifer, seien es Kriminelle oder andere Akteure, entwickelt sich permanent mit rasanter Geschwindigkeit weiter und stellt alle Branchen mit IoT vor enorme Herausforderungen.
Über den Autor: Asaf Karas ist CTO bei Security bei JFrog, das kürzlich Vdoo übernommen hat, wo Karas als Mitbegründer und CTO tätig war. Zuvor war Asaf Karas fast 15 Jahre lang Leiter der Sicherheitsforschung bei den israelischen Verteidigungsstreitkräften (IDf), hierbei hat er sich auf Reverse Engineering, Geräte-Debugging, Netzwerk-Forensik, Malware-Analyse, Big Data und Anomalie-Erkennung spezialisiert und leitete ein Team von über 100 Cyber-Spezialisten.
(ID:47955626)
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")