Interview zum IoT

Wir vernetzen Geräte, ohne die Risiken zu beachten

| Redakteur: Stephan Augsten

Das Internet der Dinge umfasst weitaus mehr, als nur die Smart Devices.
Das Internet der Dinge umfasst weitaus mehr, als nur die Smart Devices. (Bild: Archiv)

Das Internet der Dinge soll unser Leben bereichern. Doch wie so oft wollen Privatanwender die Technik hauptsächlich nutzen, nicht administrieren. Damit holen sie sich Sicherheitsrisiken ins Haus. Wir haben im Vorfeld des (ISC)² EMEA Security Congress mit dem Keynote Speaker Andy Jones über die Herausforderungen gesprochen.

Security-Insider: Beim Internet der Dinge denken die meisten nur an Smartwatches, Google Glass und das Smart Home. Wie wird sich das Internet of Things (IoT) in Zukunft entwickeln?

Andy Jones: Das IoT ist eigentlich kein neues Phänomen. Smartwatches gab es schon in den 90ern und Head-up-Displays gehören in der Luftfahrt seit Jahrzehnten zum Alltag. Die Neuerung besteht darin, dass sie als eine Art „Fashion Item“ fast unbemerkt bis in den Verbraucherbereich vorgedrungen sind.

Der Verbraucher ist bald vollends vernetzt, nun weitet sich das IoT vom Konsumentenbereich auf die Ebene von Büroalltag und Industrie aus. Beispiele dafür sind die intelligente digitale Fabrik mit Robotern, die Fließbänder bedienen. Alles wird mit allem vernetzt. Das verspricht viele Vorteile, birgt aber auch Gefahren.

Security-Insider: Sie sind ein Informationssicherheits-Experte und haben deswegen einen anderen Blickwinkel auf das IoT. Das ist sehr interessant, weil viele Leute intelligente Geräte benutzen wollen, sich aber um die Sicherheit keine Gedanken machen. Was sind die Sicherheitsrisiken des IoT?

Jones: Vielleicht ist es nicht ganz fair, zu sagen, dass sich die Leute nicht um Sicherheit kümmern. Wenn man ein modisches Accessoire kauft, sollte man auch gar nicht darüber nachdenken müssen, wie man ein Sicherheitsupdate darauf installiert. Das Problem ist, dass die Sicherheit nicht im Design integriert ist. Der „Security by Design“-Ansatz fehlt völlig.

In manchen Fällen sollte das Produkt vielleicht von Anfang an nur eine kurze Lebensspanne haben – und um es schnell auf den Markt zu bringen, sind die Entwickler Kompromisse eingegangen. Es ist auch möglich, dass es noch gar nicht die Absicht war, das Gerät zu vernetzen, als es ausgearbeitet wurde. Vielleicht gab es damals noch gar kein Internet, vielleicht hat man sich dieses Konzept der Digitalisierung nicht einmal vorstellen können.

Sei es wie es sei; wir vernetzen unsere Geräte, ohne die Risiken zu beachten und ohne zu wissen, wie wir sie überhaupt aktualisieren können. Darüber hinaus haben wir die unrealistische Erwartung, dass der Konsument sie patchen könne bzw. die Motivation dazu hat, ständig Updates herunterzuladen.

Das gleiche Problem könnte sich für die Office- und Industrie-IT ergeben. Die Zeit, die wir zum Aktualsieren aufwenden können, verwenden wir für Desktop und Server. Für die 1.000 Maschinen, Kontrollsysteme und Sensoren, aus denen unser IoT besteht, bleibt da nur wenig Zeit übrig.

Security-Insider: Was bedeutet das für Unternehmen, wenn wir in Betracht ziehen, dass Mitarbeiter derartige Gadgets auch für berufliche Zwecke benutzen?

Jones: Der Bring-your-own-Device-Trend hat aufgezeigt, dass die Grenze zwischen privat genutzten und firmeneigenen Geräten verschwindet. Für Smartphones war das zunächst ein Problem. Es kamen aber Lösungen auf den Markt und die Technik reifte aus, so dass wir das Thema gelassener nahmen.

Es ist realistisch, die gleiche Entwicklung für andere Smart Devices zu erwarten, wenn sich erst einmal neue Anwendungsmöglichkeiten für diese Geräte in Industrie oder Büro zeigen. Der Unterschied besteht darin, dass wir einige Jahre brauchten, um mit Smartphones zurechtzukommen.

Bei der enormen Menge an verlinkten Smart Devices wird das um einiges schwieriger. Die Risiken sind allerdings gleich. Es handelt sich um sowohl rechtliche als auch politische Probleme: Datenschutzverletzungen, die Sicherung geistigen Eigentums, Diebstahl und Datenverlust – nur um ein Vielfaches vergrößert.

Security-Insider: In Deutschland wurden kürzlich Apps auf Smart TVs gehackt, in den USA der Jeep Cherokee, ebenfalls über eine App. Wenn wir über Einfallstore reden, welche werden von Cyber-Kriminellen am häufigsten genutzt?

Jones: Geld zieht Verbrechen nach sich. Wenn es im IoT Geld zu stehlen gibt, wird es dort auch bald Verbrechen geben. Die Kriminalität hat sich an die Welt des Internets angepasst und dabei ein bemerkenswert raffiniertes und stichhaltiges Vorgehen angewandt, das niemand vorhersehen konnte.

Während das Internet ein fast komplett virtuelles Phänomen ist, erstreckt sich das Internet der Dinge auch auf die Wirklichkeit: Geräte bewegen sich, Türen gehen auf, Motoren starten, Dinge gehen an und wieder aus. Wenn der Profit eines Verbrechens höher und die Gefahr, entdeckt zu werden, geringer ist, wird das für Kriminelle sehr attraktiv. Ihr Smart Meter weiß beispielsweise, wann Sie im Urlaub sind.

Man muss aber auch über das kriminelle, gewinnorientierte Element hinausdenken. Hacktivisten werden neue Wege finden, um Systeme zu stören und traditionelle Hacker werden weiterhin Ruhm dafür ernten, IoT-Geräte schneller zu hacken, als sich diese etablieren können.

Security-Insider: Wenn wir über IoT in Unternehmensnetzwerken sprechen, steigen wir auch in die Industrie-4.0- Debatte ein. Wie stehen Sie zur Vernetzung von Maschinen mit dem Internet? Was sind die Folgen für Sicherheitsexperten, auch unter Berücksichtigung von IPv6?

Jones: IPv4 kann ungefähr vier Milliarden Geräte unterstützen. Die Analysten-Vorhersagen für das IoT sprechen von einem Anstieg um 25 Milliarden Geräte bis 2020. Hier lässt sich auf den ersten Blick bereits eine Schieflage erkennen. Wir benötigen also IPv6. Das neue Internet-Protokoll bringt Sicherheitsvorteile, wurde aber ursprünglich eben mit Blick auf die Zuverlässigkeit des Services gestaltet und nicht mit dem Gedanken, es sicher zu machen.

Security-Insider: Sie sagen, das IoT sei eine Bedrohung für Unternehmensnetzwerke. Was empfehlen Sie als Experte, um Sicherheitsvorfälle zu vermeiden?

Jones: Ich denke, wir sollten auf Netzwerkisolierungen achten und uns bewusst machen, wo Zwischenräume entstehen. Wir müssen die Risiken verstehen, die Systeme, die wir bisher für reine „Produktionssysteme“ gehalten haben, mit sich bringen. Wir müssen uns vor Augen halten, dass unsere Videoüberwachungsanlage nun sowohl unser Netzwerk als auch unsere Sicherheitstür überwacht.

Wir sollten uns also wirklich Gedanken darüber machen, was im Fall eines Netzwerkausfalls geschieht: Ist das Unternehmen dann gesichert? Sind die Maschinen sicher? Und vor allem sollten wir daran denken, dass wir im Internet der Dinge keine Dienstleistungsvereinbarung haben.

Andy Jones ist CISO bei Maersk Line, wurde aber als Privatperson und Sprecher des (ISC)² EMEA Security Congress, der am 20. und 21. Oktober in München stattfindet, interviewt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43646484 / Sicherheitslücken)