Neue IoT-Welt gefährdet IT-Sicherheit und Datenschutz

SicherheitSicherheitsmanagement

Die IT-Sicherheit stellt Unternehmen immer wieder vor neue Herausforderungen. Zudem naht das Inkrafttreten der DSGVO im Mai 2018. Was Unternehmen bei der Umsetzung von IoT-Lösungen und EU-Datenschutz beachten sollten, diskutierten Experten bei einem Roundtable zum Thema “Sicherheit und Datenschutz für die Digitale Welt”.

Bei einem Experten-Roundtable, zu dem IT-meets-Press Ende November in München eingeladen hatte, diskutierten Analysten, Anwender und Security-Anbieter die Auswirkungen von IoT-Szenarien auf IT-Sicherheit und Datenschutz. Die Experten waren sich darin einig, dass die notwendige Implementierung intelligenter Sicherheitslösungen zu einem Anstieg der IT-Betriebskosten führen wird. Teilnehmer der Diskussionsrunde waren Ekkard Schnedermann von Crisp Research, Mirco Rohr von Bitdefender, Jörg Spilker von der Datev, Matthias Straub von NTT Security und Patrick Quellmalz vom VOICE – Bundesverband der IT-Anwender e.V. Moderiert wurde die Expertenrunde von Christoph Witte und Wolfgang Miedl von IT-meets-Press.

“IoT-Schwachstellen können Wirtschaftskrisen auslösen”

Bisher galten Angriffe auf das Internet of Things (IoT) eher als Besonderheit: Gehackte Webcams, Viren in Android-Fernsehgeräten oder das Eindringen in die Steuerelektronik eines Jeep-SUVs stellten mögliche Gefahrenszenarien dar. Doch mit der rasanten Ausbreitung intelligenter Geräte in allen Branchen muss sich Wirtschaft und Gesellschaft auch auf neue Herausforderungen vorbereiten, so das Fazit der Expertenrunde im Münchner Haus der Bayerischen Wirtschaft.

Roundtable IT-meets-press November 2017 (Bild: Stefan Girschner)
Bei der von Christoph Witte von IT-meets-Press moderierten Expertenrunde diskutierten Jörg Spilker, Datev; Mirco Rohr, Bitdefender; Matthias Straub, NTT Security; Patrick Quellmalz, VOICE – Bundesverband der IT-Anwender e.V. und Ekkard Schnedermann, Crisp Research (v.l.n.r.). (Bild: Stefan Girschner)

“Wenn manipulierte Mähdrescher bei Regen die Ernte einfahren, könnte das im schlimmsten Fall in einer Wirtschaftskrise münden”, warnte Mirco Rohr, Global Evangelist beim Antiviren-Softwarehersteller Bitdefender. Noch sind keine schlimmeren Vorfälle bekannt geworden, aber die gesamte Branche sei sensibilisiert.

Vor allem lebenskritische Umgebungen wie Kliniken stehen bei der IT-Sicherheit vor großen Herausforderungen, berichtete Matthias Straub, Director Professional Services beim IT-Security-Dienstleister NTT Security. Ein Kunde des Anbieters, ein Universitätsklinikum, betreibt derzeit 5000 IoT-Geräte in einem Netzwerk, weitere 5000 sollen noch angeschlossen werden.

Vernetzung macht alle IoT-Geräte - von der Webcam bis zum Mähdrescher - nicht nur nützlicher, sondern auch angreifbarer (Bild: Claas)
Vernetzung macht alle IoT-Geräte – von der Webcam bis zum Mähdrescher – nicht nur nützlicher, sondern auch angreifbarer (Bild: Claas)

Allerdings gäbe es bis heute keinen gemeinsamen technischen Standard, so Straub: “Die Probleme für die Sicherheitsbeauftragten sind immens groß. Die Geräte werden täglich benötigt, aber in der Regel bleiben die Sicherheitsfragen ungeklärt.” Auch die zunehmende Vernetzung von Industriesteuerungen steigert das Risiko böswilliger Manipulationen und Angriffe. Wie real die Bedrohung durch nicht geschützte IoT-Geräte und Industriesteuerungen ist, zeigt beispielsweise die Suche nach solchen Endgeräte mittels spezieller Suchmaschinen wie Shodan oder Riskviz.

Notwendigkeit zum Patchen und Produkthaftung

Bei der Ursachenforschung sollte insbesondere das Patch-Management beachtet werden, das in dem Spannungsfeld zwischen Kostendruck und regulatorischen Vorgaben steht. So werden Consumer-Produkte – wie eine Webcam mit einem Verkaufspreis von rund 40 Euro – meist nur für kurze Zeit mit Patches versorgt und sind dann anschließend leicht angreifbar im Netz. Bei professionellen Produkten behindern häufig regulatorische Vorgaben das Sicherheitsniveau, betonte Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev e.G. “In der Medizin und der Chemie ziehen sich Zertifizierungsprozesse über Monate und Jahre hin. Sobald man dann per Patch nur ein Bit ändert, muss das System wieder in den Abnahmeprozess.”

Crisp Research beleuchtete die Herausforderungen von IoT-Szenarien auf die IT-Sicherheit. (Grafik: Crisp Research)
Crisp Research beleuchtete die Herausforderungen von IoT-Szenarien auf die IT-Sicherheit. (Grafik: Crisp Research)

Um in Zukunft die Gefahren einzudämmen, forderten die Experten neue Ansätze wie eine generelle Produkthaftung. Patrick Quellmalz, Leiter Services der Anwendervereinigung VOICE, beleuchtete diese Problematik aus Anwendersicht: “Wenn Sie ein Auto kaufen, liegt die Verantwortung für die Bremsen beim Hersteller. Diese Form der Haftung muss auch in der IT kommen. Der Anwender kann nicht erst als Betatester eingesetzt und dann noch juristisch belangt werden.” Er mahnte dabei auch eine stärkere Vernetzung der Behörden und Verbände wie BSI, BMWI und BMI an, sowie einen besseren Austausch der Anwender untereinander.

Früher E-Mail-Malware, jetzt Skript-Attacken

Neben IoT-Anwendungen halten die Unternehmen aber auch noch andere Herausforderungen der IT-Sicherheit auf Trab. So breiten sich als neue Einfallsvektoren neben der altbekannten E-Mail-basierenden Malware inzwischen Skript-basierende Hacks aus, berichtete Rohr: “Wenn Skript-Umgebungen wie die Windows Powershell nicht von einer Anti-Malware-Lösung überwacht werden, können darüber inzwischen komplette Systeme kompromittiert werden.”

Cybersecurity (Bild: Shutterstock)

Aus dieser Perspektive müssen sich Unternehmen neu aufstellen. Es reiche nicht mehr, Mauern um die IT mit Firewalls und Antivirus zu bauen, so Straub: “Diese Klassiker sind zwar noch wichtig als Grundschutz, aber wenn man sich gegen gezielte Angriffe schützen möchte, muss man sich proaktiv auf Incidents ausrichten.”

Auch der Trend zur stärkeren Vernetzung und der Vermarktung von Services fordere ein Umdenken, erklärte Spilker: “Wir schaffen ein digitales Ökosystem, öffnen uns und bieten verstärkt Schnittstellen zu unseren Produkten an. Aus Anwendersicht bringt das Flexibilität und viele Freiheiten mit sich, für Datensicherheit, Zugriffs- und Datenschutz bedeutet es neue Herausforderungen. Man kann sich das vorstellen wie einen Bunker, in den man jeder Etage 20 Fenster einbaut, wobei das Sicherheitsniveau gleich bleiben muss.”

IT-Performance und Usability wichtiger als Security

Ob die Unternehmen bereits auf dieses sich schnell wandelnde Umfeld vorbereitet sind, steht auf einem anderen Blatt. Den Zusammenhang von digitaler Transformation und IT-Sicherheit untersuchte Ekkehart Schnedermann, Senior-Analyst bei Crisp Research, in einer aktuellen Studie. Die wichtigste Erkenntnis daraus ist, dass der aktuelle Digitalisierungstrend auf jeden Fall die IT-Sicherheit bedrohe, aber zwei Drittel der Unternehmen diesbezüglich noch eine unklare oder gar keine Strategie haben.

Vor allem die Balance zwischen IT-Performance und Benutzerfreundlichkeit einerseits und den Anforderungen der Sicherheit andererseits stellen eine Herausforderung dar, erklärte Schnedermann: “Über zwei Drittel der Unternehmen ordnen die IT-Sicherheit den Anforderungen an Produkt-Performance und Usability unter.”

Ausgewähltes Whitepaper

Cloud-Provider-Wahl ist Vertrauenssache

Inzwischen gibt es auch in Deutschland zahlreiche lokalisierte Angebote und Rechenzentren, auf die Anwenderunternehmen bei Cloud-Angeboten zurückgreifen können. Die Ergebnisse einer umfassenden Umfrage zeigen, auf welche Aspekte sie dabei besonders Wert legen.

Die Teilnehmer der Diskussionsrunde waren sich einig darin, dass der Faktor Mensch generell eine weitaus größere Rolle spiele als gemeinhin wahrgenommen. Demnach wäre leichtsinniges oder unbewusstes Fehlverhalten am Arbeitsplatz nach wie vor die Ursache für einen großen Teil von Sicherheitsvorfällen. Es verwunderte nicht, dass auch die Cloud als wichtiger Sicherheitsfaktor ins Spiel kam. Der Tenor war, dass sich durch die Zentralisierung von Services bei professionellen Anbietern auch viele Security-Probleme lösen lassen.

Auf der anderen Seite sei auch eine Themenverlagerung in Richtung Virtualisierung und hybrider Clouds zu beobachten. Vor allem große Unternehmen gingen verstärkt dazu über, kritische Daten in ihre private Cloud-Umgebung zu verlagern. Zu den größten Problemen zählten hier hybride Authentisierungslösungen und performante Sicherheitssysteme.

Die Auswirkungen der EU-Datenschutzgrundverordnung

Beim zweiten Themenblock, der neuen EU-Datenschutzgrundverordnung (DSGVO), ging es vor allem um Fragen der Umsetzung und rechtliche Risiken. Einig waren sich die Experten in ihrer Einschätzung, dass trotz des nahenden Termins im Mai 2018 noch relativ wenige Unternehmen das Thema ernst nähmen, wie einer der Teilnehmer anschaulich schilderte: “Ich fragte den CISO eines Dax-Konzerns nach dem Stand der DSGVO-Vorbereitungen und bekam zur Antwort: Unser Datenschutzbeauftragter hat sich noch nicht bei mir gemeldet.”

Ausgewähltes Whitepaper

EU-Datenschutzgrundverordnung: Warum Insellösungen keine Lösung sind

Ende Mai 2018 endet die Übergangsfrist für die EU-Datenschutzgrundverordnung (EU-DSGVO). Dann greifen in Europa die neuen, strengen Datenschutzregelungen. Firmen, die dagegen verstoßen, drohen Strafen bis zu 20 Millionen Euro oder 4 Prozent ihres Jahresumsatzes. Vor dem Hintergrund ist eine umfassende Gesamtstrategie gefragt.

Als die zwei wichtigsten Kriterien beim EU-Datenschutz nannten die Experten die Umkehrung der Beweislast sowie das Recht auf Vergessen. Damit verbunden die Frage, auf was Unternehmen hauptsächlich achten sollten, um mit der DSGVO konform zu sein. Die Teilnehmer waren sich hier einig, dass Unternehmen, die heute schon den Datenschutz ernst nehmen, auch mit der Umsetzung der DSGVO kaum Probleme haben werden.

Außerdem gelte der Grundsatz, dass man für den Datenschutz “moderne und probate Tools” verwendet. Das wiederum würde für die Anwender bedeuten, dass sie keine umfangreichen Investitionen in den Datenschutz tätigen müssen. Bis allerdings “moderne und probate Tools” durch Organisationen wie TÜV oder BSI definiert wurde, dürfte noch einige Zeit vergehen

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.