Iot ist heute im Privatleben und im beruflichen Umfeld schon weit vertreten. Doch die Technik birgt auch Gefahren. Im Fall der Fälle: Wer ist für die Sicherung von IoT-Netzwerken zur Verantwortung zu ziehen?
Die Sicherung von IoT-Netzwerken
Es ist kaum zu übertreffen, wenn man seinem Soundsystem sagen kann, dass es ein bestimmtes Lied auswählen und abspielen soll, wenn man etwas online nur mit der Stimme bestellen kann, wenn der Kühlschrank einem sagt, wenn das Essen knapp wird, oder wenn der Drucker im Büro sich selbst diagnostiziert und den Service automatisch beim Verkäufer anfordert.
Funktionen wie diese steigern die Nachfrage nach intelligenten Büros, intelligenten Häusern, intelligenten Geräten, intelligenten Gebäuden und intelligenten Städten, die alle über das Internet der Dinge (Internet of Things, IoT) miteinander verbunden sind.
Das IoT ist ein Netzwerk von physischen Objekten, die mit Sensoren, Software und anderen Technologien für den Datenaustausch mit anderen Geräten und Systemen über das Internet ausgestattet sind. Dazu gehören eingebettete Systeme, drahtlose Sensornetzwerke, Steuerungssysteme, Haus- und Gebäudeautomatisierungssysteme und intelligente Heimgeräte sowie Smartphones und intelligente Lautsprecher.
Ende 2019 gab es weltweit 7,6 Milliarden aktive IoT-Geräte und im Jahr 2030 werden es 24,1 Milliarden sein, so das Forschungsunternehmen Transforma Insights, das sich mit der digitalen Transformation befasst.
Aber wer kümmert sich um die Sicherung von Iot-Netzwerken in dieser Größenordnung?
Vernetzte Teddybären – Moment mal, was?
Sicherlich angespornt durch die Notwendigkeiten von Heimarbeit im Jahr 2020, haben die Menschen auch zahlreiche nicht geschäftliche Geräte an ihre Unternehmensnetzwerke angeschlossen. Einige sind vorhersehbar und andere könnten überraschend sein. Zum Beispiel Teddybären und andere Spielzeuge, Sportgeräte wie Fitnessgeräte, Spielgeräte und angeschlossene Autos, so der 2020 IoT Security Report der globalen Cybersicherheitsfirma Palo Alto Networks.
Die zunehmende Anzahl und Vielfalt von Geräten, die an IoT-Netzwerke angeschlossen sind, macht es zunehmend schwieriger, Cybersicherheit zu implementieren, da jedes Gerät eine potenzielle Schwachstelle darstellt.
So ist es zum Beispiel möglich, eine große Anzahl miteinander vernetzter Autos zu hacken, um Städte abzuschalten, indem man einen Verkehrsinfarkt verursacht. Die Sicherung von IoT-Netzwerken darf also nicht unterschätzt werden!
Intelligente Gebäude und sogar Städte können gehackt werden, um automatisierte Systeme zu kompromittieren, die HVAC-Systeme, Feueralarme und andere kritische Infrastrukturen steuern.
Berichten zufolge haben sich digitale Eindringlinge über intelligente Thermostate Zugang zu Wohnungen verschafft, um Familien zu terrorisieren, indem sie die Heizung aus der Ferne aufdrehen und dann über die mit dem Internet verbundenen Kameras mit den Bewohnern sprechen.
Die Auswirkungen von Hacking werden in der Gesundheitsbranche wahrscheinlich am stärksten sein, wo Geräteausfälle oder Entführungen Leben gefährden.
„Verbundene medizinische Geräte – von WiFi-fähigen Infusionspumpen bis hin zu intelligenten MRT-Geräten – vergrößern die Angriffsfläche von Geräten, die Informationen austauschen, und schaffen Sicherheitsbedenken, einschließlich Risiken für die Privatsphäre und potenzielle Verletzungen von Datenschutzbestimmungen“, schrieb Anastasios Arampatzis, ein Autor für den Sicherheitsanbieter Tripwire.
CEOs zur Verantwortung ziehen
Wer wird also für die Cybersicherheit in einem IoT-Netzwerk verantwortlich sein? Die Verkäufer von einzelnen Geräten oder Ausrüstungen? Wer besitzt oder betreibt das Netzwerk? Das Unternehmen oder die Organisation, die das IoT-Netzwerk nutzt?
Das globale Forschungs- und Beratungsunternehmen Gartner prognostiziert, dass bis 2024 75 Prozent der CEOs persönlich für Angriffe auf so genannte cyber-physische Systeme (CPS) verantwortlich gemacht werden.
Gartner definiert CPSs als „Systeme, die entwickelt wurden, um Sensorik, Berechnung, Steuerung, Vernetzung und Analyse zu orchestrieren, um mit der physischen Welt, einschließlich des Menschen, zu interagieren“.
Diese Systeme „untermauern alle damit verbundenen IT-, Betriebstechnologie- (OT) und Internet der Dinge (IoT) Bemühungen, bei denen Sicherheitserwägungen sowohl die Cyber- als auch die physische Welt umfassen, wie z.B. anlagenintensive, kritische Infrastrukturen und klinische Gesundheitsumgebungen“.
OT besteht aus Hard- und Software, die durch direkte Überwachung und/oder Steuerung eine Veränderung der industriellen Ausrüstung, Anlagen, Prozesse und Ereignisse erkennt oder verursacht.
Mit anderen Worten: 75 Prozent der CEOs könnten bis 2024 für IoT-Sicherheitsausfälle verantwortlich gemacht werden.
Warum CEOs? Weil Regulierungsbehörden und Regierungen die Regeln und Vorschriften für CPS drastisch verschärfen werden, wenn die Zahl der schwerwiegenden Vorfälle aufgrund von Sicherheitsmängeln bei CPS zunimmt, schrieb Katell Thielemann, VP Research bei Gartner. „Bald werden CEOs nicht mehr in der Lage sein, sich auf Unwissenheit zu berufen oder sich hinter Versicherungspolicen zurückzuziehen.
CEOs zur Verantwortung zu ziehen „ist eine definitive Möglichkeit und steht im Einklang mit der Art und Weise, wie CEOs gemäß dem Sarbanes-Oxley Act von 2002 für die Genauigkeit und Legitimität ihrer finanziellen Bescheinigungen zur Rechenschaft gezogen werden“, sagte Perry Carpenter, Chief Evangelist und Strategy Officer beim Sicherheitsbewusstseinstrainingsunternehmen KnowBe4 gegenüber TechNewsWorld.
Der Sarbanes-Oxley Act wurde geschaffen, um gegen Betrug in Unternehmen vorzugehen.
Die National Association of Corporate Directors (NACD) „ist sich bewusst, dass die Cybersicherheit und damit auch die Cybersicherheit ein Thema sein sollte, das sogar bis auf die Ebene des Vorstandes reicht“, sagte Carpenter. „Er hat Richtlinien dafür herausgegeben, wie dies zu tun ist.
Unternehmen können Cyber-Versicherungen abschließen, aber Cyber-Versicherungspolicen „sind berüchtigt dafür, dass sie nicht ausbezahlt werden, wenn das Unternehmen nicht die hohen Anforderungen an die Sicherheit erfüllt“, bemerkte Carpenter.
Außerdem „werden es die Aufsichtsbehörden nicht eilig haben, CEOs und Unternehmen, die nachweislich nachlässig sind, einfache Auszahlungen anzubieten“.
Ist ein risikobasierter Ansatz machbar?
Die globale Unternehmensberatungsfirma McKinsey & Co. stellte fest, dass sich die Unternehmen in Richtung eines risikobasierten Ansatzes für die Cybersicherheit bewegen, aber das wird den CEOs keinen pauschalen Schutz bieten.
Risikobasierte Ansätze zur Informationssicherheit ermöglichen es Unternehmen, Strategien zu verfolgen, die auf ihre einzigartige Betriebsumgebung, ihre Bedrohungslandschaft und ihre Geschäftsziele zugeschnitten sind, so CDW, das Technologielösungen für Kunden aus Wirtschaft, Regierung, Bildungs- und Gesundheitswesen in den USA, Europa und Kanada anbietet.
Sie ermöglichen es den Anwendern, „die Auswirkungen der Bemühungen zur Risikominderung zu verstehen, indem sie einen umfassenden Überblick über die Risiken bieten und Lücken füllen, die andere Sicherheitsansätze möglicherweise hinterlassen. Die Verwendung eines risikobasierten Ansatzes fügt sich nahtlos in die ERM-Strategien (Enterprise Risk Management) ein, die von vielen Organisationen angewandt werden“.
„Risiko ist immer Teil der Gleichung“, sagte Carpenter. „Das Problem entsteht, wenn Organisationen oder CEOs eine inakzeptabel hohe Risikotoleranz haben oder einfach den Kopf in den Sand stecken.
Es ist weithin anerkannt, dass es so etwas wie ein vollständig sicheres System nicht gibt, wäre es also nicht übertrieben, CEOs für das Scheitern eines CPS verantwortlich zu machen?
„Es geht nicht darum, einen 100-prozentigen Schutz zu haben“, sagte Carpenter, „sondern vielmehr darum, sicherzustellen, dass bei der Entwicklung von Systemen die gebührende Sorgfalt angewendet wird. CEOs können nicht einfach die Hände in den Schoß legen und [die Tatsache, dass es keine hundertprozentige Sicherheit gibt] als Ausrede benutzen, sondern sie müssen bei der Entwicklung von Systemen auf Sicherheit und Belastbarkeit achten.
Schuldzuweisungen sind nicht einfach
Die Schuldfrage bei der Sicherung von IoT-Netzwerken wird in der Regel nicht leicht zu klären sein.
„Letztendlich ist der CEO für den Betrieb seiner Organisation verantwortlich, aber die Realität ist nuancierter als einfach nur ‚die Verantwortung liegt hier'“, sagte Saryu Nayyar, CEO des globalen Cybersicherheitsunternehmens Gurucul, gegenüber TechNewsWorld.
„Cyberangriffe sind komplex und beinhalten oft viele bewegliche Teile“, sagte Nayyar. „Den CEO haftbar zu machen, weil er der CEO ist, ist möglicherweise nicht angemessen.
Dennoch sollten CEOs persönlich zur Verantwortung gezogen werden, wenn sie es versäumen, einen hohen Standard für ihre Sicherheitsteams festzulegen oder sicherzustellen, dass dieser Standard erreicht wird, bemerkte Nayyar.
Es ist nicht klar, wer dafür verantwortlich gemacht werden würde oder sollte, sagte Salvatore Stolfo, Gründer und Chief Technology Officer von Allure Security, einer Security-as-a-Service-Anwendung, die vor Phishing-Betrug schützt, gegenüber TechNewsWorld.
„Sind es die CEOs von Unternehmen, die unsichere IoT-Geräte herstellen, oder die CEOs von Unternehmen, die diese Geräte kaufen und einsetzen“, fragte er. „Es gibt keine aktuelle Gesetzgebung, die klar macht, wer theoretisch haftbar gemacht werden könnte.
Eine Alternative dazu, CEOs persönlich haftbar zu machen, wäre die Annahme der Empfehlung der Cyberspace Solarium Commission (CSC), Hersteller von IoT-Geräten dafür haftbar zu machen, dass sie fehlerhafte Produkte verkaufen oder nicht für grundlegende Sicherheitsmerkmale sorgen, einschließlich der Möglichkeit, Gerätesoftware zu aktualisieren, wenn Sicherheitslücken bekannt werden, wie von Stolfo empfohlen.
Dies ist eine von 80 Empfehlungen der CSC, die 2019 gegründet wurde, um einen Konsens zur Verteidigung der USA im Cyberspace zu entwickeln.
Wie IoT-Netzwerke sicherer gemacht werden können
Palo Alto Networks empfiehlt diese Schritte zur Sicherung von IoT-Netzwerken:
- Nutzen Sie die Geräteerkennung, um ein detailliertes, aktuelles Inventar der Anzahl und Typen der mit Ihrem IoT-Netzwerk verbundenen Geräte, ihrer Risikoprofile und ihres vertrauenswürdigen Verhaltens zu erhalten.
- Segmentieren Sie Ihr Netzwerk so, dass IoT-Geräte in ihren eigenen, streng kontrollierten Sicherheitszonen enthalten sind und so von IT-Geräten getrennt bleiben.
- Verwenden Sie sichere Passwortverfahren, indem Sie das Standardpasswort von neu angeschlossenen IoT-Geräten durch ein sicheres Passwort ersetzen, das den Passwortrichtlinien des Unternehmens entspricht.
- Firmware zu patchen und zu aktualisieren, wenn verfügbar.
- IoT-Geräte jederzeit aktiv überwachen.
Die Sicherung von IoT-Netzwerken erfordert eine Kombination aus dem Kauf von Produkten, die vom Design her sicher sind, und einem ganzheitlichen Sicherheitsansatz, sagte Andrea Carcano, Mitbegründer der Operational Technology (OT) und der IoT-Sicherheitsfirma Nozomi Networks, gegenüber TechNewsWorld.
„IT-Fachleute können sich nicht länger nur um die Sicherheit und Konnektivität ihrer IT-Netzwerke kümmern“, sagte Carcano. „Sie müssen an die Sicherheit ihrer Cyber- und physischen Systeme denken.