Smarte Technologie birgt hohes Risiko IoT bedeutet Umdenken beim Thema Sicherheit

IT-Entscheider stoßen aktuell eine nie dagewesene Flut an Möglichkeiten, um die Vorteile der Digitalisierung und das Internet of Things (IoT) in ihr Unternehmen zu integrieren. Darum ist es an der Zeit, durch richtige Mechanismen die Grundlagen für Innovation zu schaffen. Unternehmen können diese Herausforderung meistern, doch zuerst müssen sie geeignete Sicherheitsmechanismen implementieren.

Gefahrenpotenzial

Das Bundeskriminalamt warnte bereits 2015 vor dem Gefahrenpotenzial durch IoT, da traditionelle Sicherheitsmechanismen keinen ausreichenden Schutz für solche Endpunkte gewähren können. Danach folgten Schlagzeilen über Bot-Netze wie Mirai und verschiedene Studien, die das krasse Wachstum der Endgeräte verdeutlichen. In der Praxis stecken Unternehmen mitten in der Planung oder Umsetzung ihrer Digitalisierungsstrategie.

Bewusst oder unbewusst spielt dabei IoT eine große Rolle und die Anzahl der vernetzten Geräte wächst immer weiter. Allerdings wird das Sicherheitsrisiko trotz der Warnung durch Behörden unterschätzt. Eine internationale Umfrage von Forrester zeigt, dass sich in Deutschland nur 45 Prozent aller IT- und Business-Entscheider Sorgen um die IoT-Sicherheit machen – weniger als in jedem anderen Land. Im Rahmen der Umfrage wurden Mitarbeiter von mehr als 600 global agierenden Unternehmen zum Thema IoT befragt.

Smarte Technologie betrifft jede Organisation. In Deutschland ist der Produktionsbereich mit dem Thema Industrie 4.0 natürlich ein wichtiger Sektor, der grundlegend durch vernetzte Endpunkte verändert wird. Allerdings gehören Geräte wie IP-Telefone, Smart TV, intelligente Küchengeräte sowie Kameras und Drucker in jedem Unternehmen bereits zum Alltag. Die Herausforderung besteht darin, diese große Gruppe an heterogenen Endpunkten in eine Sicherheitsstrategie integrieren und entsprechend verwalten zu können.

Security umsetzen

Um Richtlinien und Schutzmechanismen überhaupt erst umsetzen zu können, müssen IoT-Geräte erstmal durch die IT-Abteilungen erkannt werden. Im Zeitalter von nahtloser Konnektivität sollten Endpunkte ausnahmslos und umgehend bei jeder Verbindung mit dem eigenen Netzwerk geprüft werden, da gerade mobile Geräte oft nur zeitweise mit dem Unternehmensnetzwerk verbunden sind. Schon dieser erste Schritt kann ohne die entsprechende Technologie sehr aufwändig sein. Daher wissen viele IT-Abteilungen nicht, wie viele Geräte genau in ihrem Netzwerk sind.

Laut Forrester haben 82 Prozent aller Unternehmen Probleme, die genaue Anzahl der Geräte in ihrem Netzwerk zu bestimmen. Zudem sagen die Analysten aus dem Haus Forrester, dass weltweit 76 Prozent aller befragten IT-Entscheider ihre Schutzmechanismen umstellen möchten, weil es zu große Security-Bedenken durch IoT gibt. Neben mangelnder Compliance und Probleme bei Audits gab es Probleme bis hin zur Störung von kritischen Betriebsabläufen.

Generell verläuft die Adaption von IoT rasant und kann nicht zentral gesteuert werden. Gerade im Produktionsbereich entflammt oft die Debatte zwischen IT- und Betriebsleitungen. Viele Anlagen aus dem Bereich OT sind durch die digitale Integration Teil der Unternehmens-IT geworden und sollten daher auch durch die IT-Abteilungen verwaltet werden.

Aber auch in anderen Bereichen entstehen Lücken: In Büroumgebungen gehen massenhaft smarte Drucker und Telefonanlange ans Netz, Hausverwaltungen setzen auf digitalisierte Heizungssteuerungen, Mitarbeiter bringen vom Fitnesstracker bis zur Drohne eigene Endpunkte in die Firmennetzwerke mit ein. Dabei verleiben viele Endpunkte im Schatten und sind außerhalb jeglicher Compliance-Prüfungen.

Rolle der IT

IT-Entscheider stehen daher vor der nächsten Herausforderung: Sie müssen nach der Erkennung aller Geräte diese in bestehenden IT-Sicherheitsprozesse integrierten. Gleichzeitig stehen sie zudem aber im Wettbewerb mit Marktbegleitern um die richtige Adaption von digitalerl Technologie. Diese führt zu Bedenken und einer eher zurückhaltenden Integration von IoT. Auf Nachfrage nach den Hauptgründen gaben 56 Prozent zu hohe Kosten für passende Sicherheitslösungen an. 49 Prozent wiederum nannten die Kosten für Wartung und Ausfälle als Fokusproblem.

Um den dreifachen Spagat aus Modernisierung, Verwaltung und sicherer Integration in Compliance-Richtlinien zu schaffen, braucht es Technologie, die neben der nötigen Sicherheit durch Sichtbarkeit jeden Endpunkt im Netzwerk automatisch managen kann und die Umsetzung von granularen Policies erlaubt. All dies darf nicht zu Lasten der durchgehenden Funktion und Produktivität gehen, sondern muss in sämtliche operationale Prozesse integriert werden.

Manche Unternehmen drohen den Anschluss zu verlieren, weil sie entweder die Auswirkungen von IoT unterschätzen oder sich auf die falschen Mechanismen verlassen. Bei genauerem Hinsehen zeigt sich, dass deutsche Firmen die Auswirkungen von IoT bereits spürt, sich aber gleichzeitig mit der Einführung von Schutzmechanismen schwertut. In einer Studie erklärten 84 Prozent aller teilnehmenden deutschen Unternehmen aus dem IT-/Telekommunikationssektor und 73 Prozent aus der Finanzwirtschaft, dass intelligente Dinge in ihrer Branche große Auswirkungen auf die IT-Sicherheit haben oder voraussichtlich haben werden. Insbesondere Organisationen mit mehr als 1.000 Angestellten erwarten einen verstärkten Einfluss. Diese Zahlen sind deswegen alarmierend, weil die meisten IT-Verantwortlichen das Risiko unterschätzen.

Zwar geben 84 Prozent an, über eine Strategie zur Identifikation von IoT-Geräten in ihren Netzwerken zu verfügen, doch 72 Prozent verlassen sich dabei auf rudimentäre Kontrollen oder Netzwerk-Kennwörter. Daher ist es keine Überraschung, dass IoT häufig mit hohen Kosten und Sicherheitsrisiken in Verbindung gebracht wird. Solche Maßnahmen sind in der Praxis unzureichend und aufwendig.

Daher müssen Unternehmen durch Investitionen in die richtigen Werkzeuge ihre IT-Abteilungen bereit für IoT machen. Netzwerkzugangskontrolle (NAC) ist ein erster Schritt, um sich die nötige Visibilität über alle Endpunkte zu verschaffen, aber alleine nicht hinreichend. Nach der umgehenden Erkennung müssen alle Geräte auch in ausgedehnten Netzwerken und Cloudumgebung in getrennte Netzwerkbereiche segmentiert werden. Zusätzlich zum agentenlosen Management sollten bestehende Sicherheitstools die gewonnene Intelligenz der Lösung nutzen können. Dies bedeutet eine Integration zur Anleitungen von anderen Sicherheitstools wie Firewalls oder Patch-Management.

Diese drei Schritte „Sehen, Verwalten und Orchestrieren“ dürfen nicht auf den Schultern der IT-Administratoren geladen werden, sondern müssen in einer Lösung automatisch kombiniert werden. Traditionelle Tools können den nötigen Grad an Effizienz nicht erfüllen. Wenn Unternehmen die Vorteile von smarter Innovation sicher nutzen möchten, müssen sie in moderne IoT-Sicherheitsmechanismen investieren.

Markus Auer

ist Regional Sales Manager DACH, ForeScout Technologies

Hier geht es zu ForeScout Technologies