Deshalb ist IoT-Security für Ihr Unternehmen wichtig

Die Zahlen alarmieren: Laut Statista verursachten Cyberangriffe auf deutsche Unternehmen im Jahr 2021 Schäden in einer Höhe von rund 62 Milliarden Euro. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Infizierung mit Schadsoftware aktuell als größte Bedrohung für die deutsche Industrie ein. Diese Entwicklung ist deshalb besorgniserregend, weil Immer mehr Unternehmen die Möglichkeiten des Internet of Things (IoT) in Produktion und Logistik einsetzen. Dadurch wächst die Zahl der Angriffspunkte für Cyberkriminelle. 

Aktuell sehen viele Unternehmen einen starken Verbesserungsbedarf im Hinblick auf den Schutz der eigenen IoT-Technik. Laut einer Studie des IT-Beratungsunternehmens IoT Inspector halten 71 Prozent der befragten Unternehmen das Internet of Things für wenig sicher – 14 Prozent sogar für unsicher. 71 Prozent der Befragten bezeichneten die IoT-Schutzmaßnahmen ihrer Unternehmen als nicht ausreichend.

Doch konsequent umgesetzte IoT-Security-Strategien können Unternehmen helfen, mögliche Cyberattacken abzuwehren. Was IoT-Security ist, wie sie funktioniert und wie Sie Ihr Unternehmen vor großen Schäden bewahren können, erfahren Sie in diesem Beitrag.

 

Was ist IoT-Security?

IoT-Security bezeichnet Schutzmaßnahmen vor kriminellen Angriffen auf Server, Netzwerke, Computer sowie die daran angeschlossene smarte Sensorik in Unternehmen. Expert:innen sehen IoT-Security als Teil einer umfangreichen sogenannten Cybersecurity-Strategie.

Cybersecurity unterteilt sich in mehrere Unterkategorien. Im Bereich der IoT-Security sind vor allem folgende Bereiche für die Sicherheit Ihres Unternehmens entscheidend:

Sicherheit Ihres Netzwerks: Ihre Firmen-IT braucht Schutz. Sparen Sie hier am falschen Ende, öffnen Sie unter Umständen Tür und Tor für Cyberkriminelle. Nutzen Sie möglichst individuell eingerichtete Firewalls, Antivirensoftware und weitere Schutzmaßnahmen, um Unbefugten den Zugriff auf Ihre Server und IoT-Geräte so schwer wie möglich zu machen.

Betriebssicherheit: Kriminelle nutzen verschiedene Wege, um sich Zugang zu Ihren IT-Systemen zu verschaffen. Teilweise versuchen sie es sogar direkt über Ihre Mitarbeiter:innen. Daher sollten Sie feste Regeln für den Umgang mit Daten in Ihrem Unternehmen aufstellen. Ein Beispiel: Manche Unternehmen verbieten Ihren Mitarbeiter:innen die Verwendung privater USB-Sticks an Firmenrechnern. Durch solche Regeln können Sie verhindern, dass Cyberangriffe Ihre Systeme beschädigen oder Daten erbeuten.

Wie bedrohen Kriminelle Ihre IoT-Systeme?

Es gibt verschiedene Vorgehensweisen, mit denen Cyberkriminelle versuchen, Ihre Firmen-IT anzugreifen. Häufig erfolgen diese Angriffe mithilfe von Schadsoftware (englisch: Malware). Bei Angriffen auf IoT-Systeme kommen unter anderem folgende Angriffsformen zum Einsatz:

Botnet: Diese Malware verbreitet sich auf mehreren Rechnern gleichzeitig – meist völlig unentdeckt. Sie übernimmt die Computer, um mit allen Geräten zusammen das eigentliche Ziel anzugreifen. Das kann zum Beispiel ein Webserver mit sensiblen Daten sein.

Trojaner: Dateien, die auf den ersten Blick vollkommen unbedenklich wirken, können sogenannte Trojaner enthalten. Öffnen Sie eine solche Datei auf Ihrem Rechner, breitet sich die Schadsoftware auf Ihrem Computer aus und wird im Hintergrund aktiv: Sie späht zum Beispiel Zugangsdaten aus, ohne dass Sie es merken. Mit diesen Daten können die Urheber:innen des Trojaners erheblichen Schaden anrichten.

Virus: Computerviren verstecken sich ebenfalls in anderen Dateien. Finden diese infizierten Dateien den Weg auf Ihren Computer, beginnen die Viren dort, sich selbst zu vermehren. Es ist sehr unterschiedlich, welchen Schaden Viren anrichten. Einige „kapern“ das Betriebssystem und machen den Rechner unbrauchbar. Andere verbreiten sich über das Netzwerk auf weitere Computer.

SQL-Injection: SQL (Structured Query-Language) ist eine weitverbreitete Datenbanksprache. Kommt es beim Programmieren von SQL-Datenbanken zu Fehlern, können Sicherheitslücken entstehen. Durch diese Sicherheitslücken können Cyberkriminelle sich mit einem sogenannten SQL-Injection-Angriff Zugriff auf Ihre Datenbanken verschaffen.

Reverse Engineering: Eine weitere Angriffsmöglichkeit auf IoT-Systeme ist der direkte Zugang zur Firmware. Dazu kaufen Kriminelle das entsprechende IoT-Gerät und suchen nach bestimmten Hardware-Debug-Schnittstellen auf der Platine.

Mithilfe dieser Schnittstellen können die Angreifer:innen die entsprechende Firmware extrahieren und verschaffen sich im nächsten Schritt den Administratorzugriff zum Gerät. Die Firmware wird danach auf weitere Schwachstellen hin analysiert.

 

Gefahren und Angriffspunkte bei Internet-of-Things-Geräten

Cyberkriminelle können Ihre IoT-Geräte an mehreren Punkten angreifen. Unter anderem richten sich die Angriffe gegen:

  • das IoT-Gerät selbst
  • die App zur Datenverwaltung
  • die Datenverwaltung (Cloud oder physischer Server)

Expert:innen kritisieren, dass viele Unternehmen sich nicht ausreichend vor potenziellen Angriffen schützen. In vielen Produktionsanlagen arbeiten immer noch ältere Fertigungssysteme, die ursprünglich nicht für einen „Kontakt“ mit dem Internet vorgesehen waren. Wurden diese Maschinen vorschnell modernisiert, ergibt sich ein möglicher Risikobereich.

Hintergrund: Das sogenannte Retrofitting ermöglicht das nachträgliche Aufrüsten älterer Maschinen mit moderner IoT-Technik. Daraus ergeben sich spezielle Anforderungen. Zum Beispiel müssen Sie Ihre neue IoT-Technologie in das Cybersecurity-Konzept der Firma einbeziehen. Sonst kann sie schnell zum Einfallstor für Angriffe werden.

Denn bei einem Cyberangriff greifen Kriminelle mithilfe eines oder mehrerer Computer einen oder mehrere Computer oder das ganze Netzwerk Ihres Unternehmens an. Im schlimmsten Fall setzt so eine Attacke auf einzelne, ungeschützte Maschinen Ihre gesamte Produktionsanlage außer Betrieb.

Verantwortung für IoT-Security ist nicht einheitlich geregelt

Die oben erwähnte Studie der Sicherheitsspezialisten von IoT Inspector  macht deutlich: In vielen Unternehmen herrscht eine große Unsicherheit zur korrekten Umsetzung von IoT-Security.

In 42 Prozent aller befragten Firmen gibt es demnach keine internen Compliance-Regelungen für die Sicherheit von IoT-Geräten. Als kritisch bewerten die Expert:innen, dass viele Firmen die Verantwortlichkeit für IoT-Sicherheit nicht klar festgelegt haben:

Bei 15 Prozent der 260 Unternehmen tragen die Chief Technology Officer (CTO) die Verantwortung für die IoT-Sicherheit. 17 Prozent der Unternehmen haben den Leiter:innen der Informationstechnik die Verantwortung übertragen, 17 Prozent dem Einkauf des Unternehmens.

21 Prozent der Befragte vertrauen hingegen auf externe Berater:innen. Dies kann beispielsweise ein:e IT-Security-Analyst:in sein. Diese Spezialist:innen überprüfen sämtliche Aspekte Ihrer firmeneigenen Datenverarbeitung auf Schwächen hin. Mehr Informationen zu diesem Thema finde Sie in unserem Beitrag zum Thema Cybersecurity hier auf V-Hub.

 

IoT-Security und Condition-Monitoring

Condition-Monitoring (deutsch: Zustandsüberwachung) ist eine Wartungstechnik, bei der Sensordaten über den Sicherheitszustand einer Maschine Auskunft geben. Hierfür registriert eine Überwachungssoftware Schwingungszahlen, Motorumdrehungen und andere Parameter und wertet sie an zentraler Stelle aus. Condition-Monitoring wird in verschiedenen Bereichen eingesetzt – unter anderem bei Elektro- und Verbrennungsmotoren, Kompressoren und Pumpen sowie in der Prozesstechnik.

Der umfangreiche Einsatz von IoT-Sensorik beim Condition-Monitoring birgt jedoch Risiken. Die Sensoren erfassen und senden ununterbrochen Daten an die Condition-Monitoring-Software Ihres Unternehmens. Wenn Kriminelle an dieser Stelle Daten abgreifen, haben sie Zugriff auf sensible Informationen über Ihre Produktionsanlage. Ein gezielter Angriff könnte die Datenmessung manipulieren und im schlimmsten Fall Schäden an den Maschinen verursachen.

Expert:innen raten daher, die Condition-Monitoring-Systeme ausreichend abzusichern. Zwei mögliche Methoden zur Absicherung gegen Angriffe stellen wir Ihnen im Folgenden vor:

Hashing: Viele Verschlüsselungsprogramme verwenden sogenannte Hashwerte zum Ver- und Entschlüsseln von digitalen Signaturen. So kann die Software zum Beispiel herausfinden, ob eine Anfrage bzw. ein Auftrag von einem autorisierten Absender kommt. Sie vergleicht die digitale Signatur des Absenders mit den Signaturwerten des Empfängers. Da der Hashwert des Absenders auch die Daten des Empfängers enthält, müssen die Werte übereinstimmen. Ist das nicht der Fall, wurde der Absender wahrscheinlich manipuliert – die Anfrage bzw. der Auftrag wird abgelehnt.

Wie schützen Sie Ihr Unternehmen gegen Angriffe?

Wesentliches Ziel Ihrer Schutzmaßnahmen sollte es sein, Cyberkriminellen einen Angriff auf die Firmen-IT so schwer wie möglich zu machen. Eine Risikoanalyse kann alle vorhandenen oder potenziellen Schwachstellen Ihrer Produktionsanlage offenlegen.

 

Der richtige Einstieg: Die Risikoanalyse

IoT-Sicherheit sollte kein Status quo, sondern ein fortlaufender Prozess sein. Ihr Unternehmen sollte immer wieder auf potenzielle IT-Schwachstellen hin untersucht werden.       Um mögliche Sicherheitslücken aufzuspüren, sollten Sie eine:n IT-Security-Analyst:in engagieren. Diese Fachkräfte überprüfen sämtliche Aspekte Ihrer firmeninternen Datenverarbeitung: Software, Netzwerke und Firewalls. Auf dieser Grundlage erstellen sie ein sogenanntes Threat-Model (deutsch: Bedrohungsmodell). Mithilfe von Analyse-Tools wie OSSEC finden IT-Security-Analyst:innen Angriffspunkte in Ihrer Firmen-IT und beseitigen diese.

Eine Bedrohungsanalyse sollte unter anderem folgende Fragen stellen:

  • Wie wahrscheinlich ist ein Angriff auf Ihr Unternehmen?
  • Welche möglichen Einfallstore bietet Ihre IT?
  • In welchem Bereich drohen die größten Gefahren?

Sind Ihre Mitarbeiter:innen im Hinblick auf Cybersecurity ausreichend geschult?

 

So sichern Sie Ihre IT-Infrastruktur

Mithilfe eines gut aufgestellten IT-Sicherheitskonzepts kann sich Ihr Unternehmen gegen Angriffe auf die IoT-Fertigungsanlagen schützen. Klar formulierte Richtlinien für den Umgang mit diesen Anlagen sind ein wichtiger Teil des Sicherheitskonzepts. Dabei sollten Sie folgende Punkte berücksichtigen:

5G-Campusnetz aufbauen: Um sensible Daten nicht an Dritte weitergeben zu müssen, können Sie Ihre IoT-Technik über ein internes 5G-Campusnetz verbinden. Der Vorteil dieses in sich geschlossenen Systems: Cyberkriminelle haben es noch schwerer, von außen in Ihre IT einzudringen.

Sicherheitsrichtlinien aktualisieren: Sorgen Sie dafür, dass die Sicherheitsrichtlinien in Ihrem Unternehmen auf dem neuesten Stand sind. Das bedeutet auch, dass Ihre IT-Expert:innen im Blick behalten, wie sich die cyberkriminelle Szene entwickelt – um mit immer neuen Schutzmaßnahmen reagieren zu können. Zu einer guten Sicherheitsrichtlinie gehört es auch, dass alle im Betrieb genutzten Endgeräte regelmäßig überprüft werden, etwa Smartphones und Tablets.

Datenströme überwachen: Kontrollieren Sie Ihr Firmennetzwerk regelmäßig, um Angriffen von Unbefugten vorzubeugen. Achten Sie unter anderem auf folgende Punkte:

  • Sind die Sicherheitsfunktionen der Firewalls und VPNs (Virtual Private Networks) in Ihrem Netzwerk auf dem aktuellen Stand?
  • Können Sie alle Datenübertragungen in Ihrem Netzwerk nachvollziehen? Das ist besonders wichtig, wenn Ihre IT ganz oder teilweise auf Cloud-Dienste zurückgreift.
  • Funktionieren alle IoT-Sensoren ordnungsgemäß? Eine manipulierte Sensorik kann Auswirkungen auf alle erhobenen Daten haben.

Starke Authentifizierungen einrichten: Der unbefugte Zugriff auf Firmen-IT-Systeme erfolgt oft über gekaperte Benutzerkonten von Mitarbeiter:innen. Deshalb ist es besonders wichtig, den Zugang zu diesen Benutzerkonten gut zu sichern. Hierfür bietet sich die sogenannte Mehrfaktor-Authentifizierung an. Das bedeutet, dass für den Log-in in Benutzerkonten mehr als ein Passwort notwendig ist – zum Beispiel ein zusätzlicher Code, der bei jedem Einloggen neu generiert wird.

Mögliches Sicherheitskonzept: Was ist das Least-Privilege-Prinzip?

Als Least-Privilege-Prinzip (Principle of Least Privilege, kurz: PoLP) bezeichnen Expert:innen ein IT-Sicherheitskonzept, bei dem Nutzer:innen nur die für ihre jeweilige Tätigkeit nötigen Zugriffsrechte bekommen. PoLP-Lösungen gelten als besonders sicher. Der Grund: Die Abstufungen der unterschiedlichen Berechtigungen gelten nicht nur für Systemzugriffe durch menschliche Nutzer:innen. Auch der automatische Datenaustausch zwischen Maschinen ist streng reglementiert. Jede Maschine in einem Netzwerk hat nur so weit Zugriff auf bestimmte Daten, wie es nötig ist. Daraus ergeben sich folgende Vorteile:

Guter Schutz gegen Cyberangriffe: Viele Attacken basieren heute auf der Nutzung erbeuteter Anmeldedaten. PoLP-Lösungen gewähren jedoch nur bestimmten Nutzer:innen ganz spezielle Rechte. Dadurch verkleinert sich die mögliche Angriffsfläche für Cyberkriminelle.

Schutz gegen Malware: Eine konsequente Least-Privilege-Strategie kann verhindern, dass Angriffe durch Schadprogramme Ihr gesamtes System beschädigen. Angriffe mit einer SQL-Injection haben zum Beispiel das Ziel, möglichst viele Endgeräte in einem IT-System zu befallen. Dieses Vorgehen wird mithilfe einer PoLP-Lösung deutlich erschwert.

Mehr Komfort für Nutzer:innen: Ein Bestandteil vieler PoLP-Lösungen ist die sogenannte Just-in-Time-Ausweitung von Benutzerrechten. Damit können Sie Ihren Mitarbeiter:innen kurzfristig und zeitlich begrenzt Nutzungsrechte für bestimmte Anwendungen gewähren. Nach dem Ablauf der festgelegten Frist werden die Berechtigungen wieder eingeschränkt. Dadurch erhalten die jeweiligen Mitarbeiter:innen zeitnah alle nötigen Zugangsdaten, ohne diese jeweils einzeln bei Ihrem IT-Helpdesk erfragen zu müssen. Gleichzeitig haben sie nicht länger Zugriff auf zusätzliche Daten als unbedingt notwendig.

IoT-Security von Anfang an: Security-by-Design

Sie können schon vor der Anschaffung von IoT-Technik dafür sorgen, dass Ihre Anlagen und Geräte so sicher wie möglich sind. Informieren Sie sich vor dem Kauf beim Hersteller, ob die Firma nach dem Security-by-Design-Ansatz (deutsch: Sicherheit durch richtige Gestaltung) arbeitet. Folgendes steckt dahinter: Bei der Planung und Entwicklung von IoT-Geräten sollten Hersteller auf mögliche Schwachstellen achten. So geben sie Cyberkriminellen keine Möglichkeiten für Angriffe auf IoT-Sensoren. Diese auf Sicherheit bedachte Planung von IoT-Technik bezeichnen Expert:innen als Security-by-Design. Dieser Ansatz kann dabei helfen, Kosten für IT-Sicherheitsmaßnahmen in Unternehmen zu senken.

 

IoT-Security: Das Wichtigste in Kürze

  • IoT-Security-Strategien sind ein essenzieller Schutz für Ihr Unternehmen.
  • IoT-Security muss immer Teil einer umfassenden Cybersecurity-Strategie sein.
  • Angriffe durch Kriminelle richten sich meist direkt gegen Ihre IoT-Geräte oder gegen Steuerungs-Apps und die Datenverwaltung.
  • Ihr Unternehmen sollte Cyberkriminellen einen Angriff auf die Firmen-IT so schwer wie möglich machen.
  • Verbindliche Richtlinien sind ein wichtiger Teil eines Sicherheitskonzepts. Sie sollten die neuesten technischen Möglichkeiten im Kampf gegen Angriffe auf Ihre Firmen-IT berücksichtigen.
  • Grundlage einer wirksamen IoT-Security-Strategie ist eine Risikoanalyse. Sie zeigt, welche Schwachstellen in Ihrem Unternehmen Angriffe aus dem Internet begünstigten können.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/internet-of-things-sicherheit/