Studie: Cybersicherheit im Kontext von IoT und Operational Technology

IT-Verantwortliche und Betriebsleiter finden bei der Absicherung von IoT-Geräten und der Operational Technology (OT) nur schwer eine gemeinsame Linie

[datensicherheit.de, 08.11.2017] ForeScout Technologies, Inc., Anbieter von Sicherheitslösungen für das Internet der Dinge (IoT), präsentiert heute eine neue Untersuchung zu den Auswirkungen von IoT und die Operational Technology (OT) auf Unternehmen. Spezieller Fokus liegt dabei auf den Cybersicherheitsproblemen, die sie den Security- und IT-Teams bereiten. Die Erkenntnisse basieren auf einer Umfrage, die das unabhängige Analystenhaus Forrester Consulting durchführte.

Die Umfrage zeigt, dass sich Sicherheitsverantwortliche große Sorgen um die IoT/OT-Sicherheit machen. Grund ist die Angst vor Zwischenfällen durch Pannen in kritischen Betriebsabläufen, die sich negativ auf das Geschäftsergebnis auswirken könnten. Zudem hat die Mehrzahl der Unternehmen (82 Prozent) Mühe, alle Endpunkte zu identifizieren, die mit ihren Netzwerken verbunden sind. Und auf die Frage, wer die Hauptverantwortung für die Absicherung des IoT trägt, konnten die IT-Verantwortlichen und Betriebsleiter keine klare Antwort geben oder genaue Zuständigkeiten definieren.

Bild: Forescout

Michael DeCesare, Präsident und CEO von ForeScout

„Die Ergebnisse lassen erkennen, dass sich die Einstellung der Unternehmen zur IoT-Sicherheit und den damit verbundenen Risiken dynamisch verändert. Jedes neue Gerät, das online geht, schafft einen weiteren Angriffsvektor, gegen den sich Unternehmen schützen müssen. Und ein einziges Device reicht aus, um ein ganzes Netzwerk zu kompromittieren und den Geschäftsbetrieb lahmzulegen, was verheerende Auswirkungen auf die Unternehmensbilanz haben kann“, erklärt Michael DeCesare, Präsident und CEO von ForeScout. „Da ein Angreifer das schwächste Glied in der Sicherheitskette ausnutzen wird, ist jedes Risiko eines zu viel. Organisationen müssen vollständige Sichtbarkeit und Transparenz gewinnen.“

Bei der Umfrage, an der Mitarbeiter von mehr als 600 global agierenden Unternehmen teilnahmen, stimmten 77 Prozent der Befragten der Aussage zu, dass der vermehrte Einsatz vernetzter Geräte erhebliche Sicherheitsprobleme aufwirft. Folglich erklärten 76 Prozent der Teilnehmer, dass die Sorge um die IoT-Sicherheit sie zwingt, ihre Sicherheitsstrategien für die IT und die Geschäftsbereiche zu überdenken.

„ Die Vernetzung von IoT und die OT bringen Unternehmen weltweit beträchtliche Vorteile, die ohne deren Verbindung zum Netzwerk so nicht möglich gewesen wären“ so die Forrester Consulting Untersuchung „Fail To Plan, Plan To Fail“. „Was die Sicherheitsinvestitionen für das IoT betrifft, bewegen sich die Unternehmen in die richtige Richtung, und wir hoffen, noch mehr Bewusstsein für die Herausforderungen und die Best Practices schaffen zu können. Allerdings zeigt diese Umfrage auch, dass im Bereich IoT-Sicherheit noch mehr getan werden muss.“

Die wichtigsten Ergebnisse der Umfrage:

• Die Sorgen um die IoT-Sicherheit reiben die Sicherheitsmitarbeiter auf
  Mit dem IoT steigt sowohl die Komplexität als auch die Gefahr, dass eventuelle Sicherheitsverletzungen negative geschäftliche Auswirkungen nach sich ziehen. Bei der Umfrage gaben mehr als die Hälfte der Befragten (54 Prozent) an, dass ihnen die IoT-Sicherheit Sorgen bereitet. Dabei war die Angst bei den Geschäftsbereichsleitern (58 Prozent) größer als bei ihren Kollegen aus der IT (51 Prozent). Wenn Geschäftsbereichsleitern klar ist, welche enormen Folgen IoT- oder OT-Sicherheitspannen für ihr Unternehmen haben können, und sie gleichzeitig von der IT keine angemessene Zusicherung erhalten können, dass ihre Geräte geschützt sind, kann dies bewirken, dass sie sich mehr Sorgen machen als die IT-Mitarbeiter. Die zusätzlichen Kosten und der Zeitaufwand für die Verwaltung der Geräte steigert den Stresslevel weiter, ebenso wie der Mangel an Sicherheitsexperten.
• Investitionshemmnisse und Compliance-Komplikationen führen zu Risiken
  Die befragten IT-Verantwortlichen und Geschäftsbereichsleiter betrachteten Budgetbeschränkungen (IT 45 Prozent; Geschäftsbereiche 43 Prozent) als das größte Hemmnis für Investitionen in die IoT-Sicherheit. Als ein Grund für ausbleibende Investitionen wurde Skepsis in der Führungsspitze angeführt. Ohne zusätzliches Engagement müssen sich die Sicherheitsmitarbeiter beim Schutz des IoT und der OT weiter auf ihre herkömmlichen Schutzmaßnahmen verlassen (40 Prozent). Mit dieser Strategie sind Firmen aber nicht in der Lage, alle Geräte zu identifizieren, die mit ihrem Netzwerk verbunden sind.

  Dies führt zu Risiken und Compliance-Problemen. So erklärten 82 Prozent der Umfrageteilnehmer, dass sie nicht 100 Prozent der Geräte in ihrem Netzwerk identifizieren können, was Risiken für ihr Unternehmen aufwirft. Außerdem sagten mehr als die Hälfte der Befragten (59 Prozent), dass sie bereit sind, im Hinblick auf die Compliance-Anforderungen an die IoT-Sicherheit ein mittleres bis hohes Risiko-Level zu tolerieren. Das ist ausgesprochen problematisch, da 90 Prozent der Organisationen erwarten, dass die Zahl der verbundenen Geräte in ihren Netzwerken in den nächsten Jahren steigen wird.

• Die Ausweitung des IoT und der OT sollten bereichsübergreifende Beziehungen im Unternehmen führen
  Die Studie lässt auf eine klare Diskrepanz zwischen IT und Bereichsleitern schließen und rückt potenzielle Probleme hinsichtlich der Verantwortung für die Absicherung prozessspezifischer IoT/OT-Geräte in den Blick. Auf die Frage, wer die Hauptverantwortung für die Absicherung der IoT/OT-Geräte in einem Unternehmensnetz trägt, hielten 44 Prozent der befragten IT-Fachleute die Mitarbeiter im Security Operations Center (SOC) für primär verantwortlich; bei den befragten Geschäftsbereichsleitern taten dies nur 36 Prozent. Im Gegensatz zu den Teilnehmern aus der IT sahen die befragten Bereichsleiter die Verantwortung lieber in den Händen bereichsinterner IT-Mitarbeiter oder der IT-Fachkräfte. Wenngleich die meisten Unternehmen dazu neigen, die Sicherheit in der Zuständigkeit der IT zu belassen, wird sie zu einem immer wichtigeren Aspekt in der Zusammenarbeit zwischen Asset-Managern, bereichseigenen Teams und Netzwerkteams, die die vernetzten Geräte einbringen und bereitstellen. Dies müssen Unternehmen beachten, wenn sie ihre Sicherheitsstrategien für das IoT planen, einschließlich der Verwaltung der standardmäßigen Sicherheitskonfigurationen und der Maßnahmen für eine angemessene Sichtbarkeit und Transparenz aller Geräte.
• Sicherheitsprobleme durch das IoT und die OT: Die richtigen Weichen für die Zukunft stellen
  Die Umfrage zeigt, dass eine Kombination aus Unterstützung von oben, den richtigen Sicherheitstools sowie Audits das Vertrauen auf die Sichtbarkeit und Transparenz in den IoT/OT-Netzwerken stärken. 48 Prozent bezeichneten eine bessere Kenntnis und Transparenz der IoT-Geräte als eine der wichtigsten Voraussetzungen für die Erhöhung der IoT-Sicherheit, und 82 Prozent der Befragten rechnen damit, dass ihre Ausgaben für die IoT/OT-Sicherheit in den nächsten ein bis zwei Jahren steigen werden. Was den Einsatz neuer Sicherheitslösungen für das IoT anbelangt, so erklärten mehr als die Hälfte der Teilnehmer (55 Prozent), dass die Integration mit den bestehenden Sicherheitssystemen das wichtigste Kriterium sei.

Erhebungsmethodik

Im Auftrag von ForeScout führte Forrester Interviews mit 603 IT- und geschäftlichen Entscheidern, die direkt in die Sicherheitsprozesse für Netzwerke, Daten und Endpunkte in ihrem Unternehmen involviert sind. Die Teilnehmer wurden zu den Herausforderungen der IoT-Sicherheit und zum Gesamtbewusstsein für die Geräte in ihrem Netzwerk befragt. Die teilnehmenden Unternehmen befinden sich in den USA, Großbritannien, Deutschland, Frankreich, Australien und Neuseeland und beschäftigen mindestens 2.500 Mitarbeiter.

Weiter Informationen zum Thema:

ForeScout
IoT and OT Security Research Exposes Hidden Business Challenges (Fail To Plan, Plan To Fail)
Vollständige Studie