[datensicherheit.de, 27.02.2019] In einer aktuellen Stellungnahme geht Nisarg Desai, GlobalSign, auf eine Studie des Beratungsunternehmens MarketsandMarkets ein, welches kürzlich seine Prognosen für den Markt der vernetzten Landwirtschaft unter dem Titel „Connected Agriculture Market Global Forecast to 2023“ veröffentlicht hat. Dieser Markt hat demnach in den letzten Jahren mit einem Volumen von 1,78 Milliarden US-Dollar bereits im Jahr 2018 ein gewaltiges Wachstum hingelegt. Bis zum Jahr 2023 soll er laut den MarketsandMarkets-Analysen auf insgesamt 4,31 Milliarden US-Dollar anwachsen.

Agrar-Prozesse effizienter gestalten

Desai: „Die Agrarwirtschaft hat einige besonders komplexe Probleme zu lösen, und das vor den Augen einer wachsamen Weltöffentlichkeit. Probleme, die sich nicht im Alleingang lösen lassen. Konzertierte Aktionen von Ländern, Organisationen und Gruppen sind gefragt.“
Innovative Technologien wie das Internet der Dinge (IoT) machten einen entscheidenden Unterschied. Das IoT habe die Situation der Agrarindustrie „an vielen Fronten verbessert, wenn es darum geht, Prozesse über den gesamten Lebenszyklus hinweg effizienter zu gestalten“. Vernetzte Lösungen erlaubten es, Daten von zahlreichen verschiedenen Geräten einzusammeln, zusammenzuführen und zu analysieren. „Und das so gut wie in Echtzeit“, so Desai.

Digitale Transformation ersetzt traditionelle Methoden und Prozesse

Die Lösungen böten etliche Vorteile und hätten den Bedarf steigen lassen. Das spiegele sich auch in den Ergebnissen des „Connected Agriculture Market Forecast“. Die Digitale Transformation habe traditionelle Methoden und Prozesse durch moderne Technologien ersetzt.
Den größten Anteil in diesem Wachstumsmarkt teilten sich die Produktionsplanung und das Management (42 %), der Bereich der Geräteverwaltung (ebenfalls 42 %) sowie der Bereich Integration und Implementierung mit 35 %. „Es nimmt also nicht Wunder, dass sich einige der weltgrößten Anbieter von Informationstechnologien in diesem Segment tummeln und ihn ihrerseits anheizen“, sagt Desai.
Die Agrarindustrie verfüge tatsächlich schon sehr lange über halbautomatisierte landwirtschaftliche Prozesse, und Autonome Fahrzeuge hätten auf den Feldern lange vor dem „heutigen pseudo-selbstfahrenden Auto“ existiert. Es gebe verschiedene „vernetzte“ Initiativen, „die heute schon im Einsatz sind – von der Bodenüberwachung bis hin zu Bewässerungssensoren“.

IoT-Einsatz am Beispiel Viehzucht

Beispielsweise lasse sich so der Gesundheitszustand von Rindern überwachen. „Mit Tracking-Halsbändern kann man den Standort der Tiere in Echtzeit ausfindig machen“, erläutert Desai. Dann könne ein Speichersystem die Daten in einer Datenbank aufzeichnen, um letztendlich ein Basismodell ihrer Bewegungen innerhalb eines gegebenen Zeitraums zu bilden.
„Wenn man intelligente Algorithmen auf diese Muster anwendet, helfen sie zu erkennen, ob die Bewegungen des Viehs unregelmäßig sind, oder ob ein oder mehrere Tiere von der Herde separiert sind. Das passiert normalerweise, wenn sie krank oder verletzt sind. So eine Lösung kann problemlos mit kleinen IoT-Trackern realisiert werden, die über ein IoT-Netzwerk wie Wi-SUN oder andere WANs kommunizieren.“ Diese Daten würden dem Landwirt oder Viehzüchter über ein Webportal oder eine Smartphone-App zugänglich gemacht. Das erleichtere es ihm, die Informationen zu verarbeiten.

Feld- sowie Bodenüberwachung und Steuerung der Bewässerung

Ein weiterer Einsatzbereich für das IoT in der Landwirtschaft sein Drohnen zur Verbesserung der Pflanzengesundheit. Desai: „Die Drohnen-Gruppen sind in einer Basisstation untergebracht, von der aus sie automatisierte, periodische Patrouillen durchführen, um Bilddaten über die Pflanzen zu erfassen. Mit Computer-Vision/Bilderkennungsalgorithmen kann man feststellen, welche Flächen auf einem Betrieb beeinträchtigt sind. Markierte Bilder werden mit dem Drohnen-GPS korreliert und liefern genau lokalisierte Informationen. Sie werden auf der Basis verschiedener Drohnen-Aufnahmen verarbeitet, analysiert und dem Landwirt gemeldet, der dann Maßnahmen ergreifen kann, um Abhilfe zu schaffen.“
Das sogenannte „Precision Farming“ (Präzisionsackerbau) sei ein weiterer Bereich, in dem der Einsatz von verbundenen Sensoren steil nach oben gehe. Die Geräte würden sich sogar allmählich beim Endverbraucher durchsetzen. Batteriebetriebene Fern-Bodensensoren sammelten Daten über den Stickstoffgehalt und meldeten diese Werte periodisch.
Desai benennt ein weiteres Beispiel: „Bewässerungssensoren messen den Wasserstand und informieren automatisch das Bewässerungs- und Berieselungssystem. Flutsensoren überwachen und steuern automatisch den Wasserstand. Gleichzeitig senden sie eine Benachrichtigungs-E-Mail an eine vorgegebene Adresse. Und schließlich erfasst ein Frostsensor, wenn Wetterbedingungen zu Frost führen, der empfindlichen Pflanzen möglicherweise schädigt…“

„Schöne neue IoT-Welt“: Sicherheit als Designprinzip!

„Schon die wenigen hier skizzierten Anwendungsfälle illustrieren, wie sehr die Agrarindustrie von den neuen vernetzten Technologien profitiert. ,Smart Agriculture‘ automatisiert manuelle Prozesse und setzt die nötigen Praktiken mit nur minimalen Eingriffen eines Benutzers um. Genau das macht die Anwendungen aber zu einer leichten Beute für jeden Angreifer“, warnt Desai. Diese Systeme würden häufig in nicht überwachten Netzwerken betrieben: „Versuchte oder sogar erfolgreiche Sicherheitsverletzungen werden also nicht gemeldet.“
Die Landwirtschaft sei zudem ein Sektor, „der traditionell nicht unbedingt als erstes an Cyber-Sicherheit denkt“. Wenn neue Anforderungen entstehen und entsprechende Lösungen entwickelt werden, fehlen laut Desai meistens die Sicherheitskonzepte. „Man kann sich vorstellen, dass Hacker sich leicht Zugang zu Bewässerungssteuerungssystemen einer Anlage verschaffen, diese böswillig manipulieren oder Lösegeld fordern, um die Steuerung wieder freizugeben. Die Verabreichung von Pestiziden, die sorgfältig kontrolliert werden, kann manipuliert werden, ohne dass der Landwirt davon weiß.“ Schlussendlich ließen sich die mit dem Internet verbundenen Systeme dazu verwenden, Zugang zu anderen vernetzten Systemen von Drittanbietern zu erlangen und letztendlich Teil eines Bot-Netzes zu werden. Die Wege und Motive für einen Angriff seien vielfältig.
Die Verantwortung für die Selbstregulierung und das Einhalten von „Best Practices“ beim Thema Sicherheit, wenn nicht sogar von Sicherheitsstandards, liege bei den Herstellern der sogenannten smarten Geräte. „Dazu muss man das Rad nicht neu erfinden. Man sollte Sicherheitsmethoden nutzen, die sich bewährt haben, sich mit Sicherheitsexperten dazu austauschen und Sicherheit als Designprinzip zur grundlegenden Komponente einer Lösung machen.“ Eine Public-Key-Infrastructure funktioniere „wie ein Schweizer Taschenmesser“ – sie helfe, Geräte zu identifizieren, mache die Kommunikation abhörsicher und schütze vertrauliche Daten und Informationen. Verschlüsselung und sicheres Schlüsselmanagement schafften zusätzlich eine „solide Sicherheitsgrundlage, die auf starker Identität, Authentifizierung und Vertrauen basiert“.

Sicherheit und Schutz sensibler Daten in jedem Stadium gefordert

„Die Ausstattung landwirtschaftlicher Geräte und deren Implementierung werden für ein riesiges IoT-Ökosystem sorgen.“ Man brauche nicht viel Phantasie um zu prognostizieren, „dass die Ära der vernetzten Landwirtschaft von Cyber-Angriffen begleitet sein wird“.
Die Grundlage vieler Staatshaushalte sei nicht zuletzt die landwirtschaftliche Produktion. Für alle Beteiligten sollten Sicherheit und der Schutz sensibler Daten in jedem einzelnen Stadium des Lebenszyklus der Geräte und der gesamten Produktions- und Lieferkette an oberster Stelle der Prioritätenliste stehen, so Desais Fazit.

Weitere Informationen zum Thema:

MARKETS AND MARKETS
Connected Agriculture Market … – Global Forecast to 2023

datensicherheit.de, 03.08.2018
Internet der Dinge: Aufbau sicherer Systeme

[datensicherheit.de, 19.11.2017] Der Markt für Cyber-Versicherungen ist ein relativ junger Markt, in den ständig neue Anbieter und Angebote drängen. Es herrscht dementsprechend viel Bewegung und die Preisdynamik heizt das Segment zusätzlich an. Aber es gibt es immer noch wesentliche Bereiche, die Makler, Versicherungsträger und Regulierer, aber auch potenzielle Kunden gleichermaßen verwirrt zurücklassen. Nicht zuletzt im Hinblick auf die EU-Datenschutz-Grundverordnung (EU-DSGVO) gibt es noch viele Fragezeichen im Hinblick auf das, was Versicherer, Makler und Regulierer in Betracht ziehen müssen.

Versicherungswirtschaft muss Geschäftsmodelle kontinuierlich überdenken und anpassen!

Versicherer werden in Zukunft noch anpassungsfähiger und flexibler sein müssen, wenn es gilt sich den wechselnden Bedingungen im Umfeld für Cyber-Sicherheit anzupassen.
Das gilt nicht nur für kurzfristige Trends, sondern auch für Entwicklungen, die den Markt und die gesamte Branche langfristig beeinflussen und grundlegend verändern werden.
Für die Versicherungswirtschaft bedeutet das, ihre Geschäftsmodelle kontinuierlich überdenken und anpassen zu müssen, wenn sie einem deutlich anders als bisher funktionierenden Wettbewerbsumfeld bestehen wollen.

Sicherheitsrisiken vorausschauend adressieren!

Nach Ansicht von Dawn Illing hält der Markt für Cyber-Versicherungen trotzdem beides bereit: Chancen und Risiken. Denn inzwischen zeichne sich in der Haltung vieler Firmen zum Thema „Cyber Security“ so etwas wie eine Trendwende ab:
Statt der bisherigen eher reaktiven Herangehensweise, versuche man Sicherheitsrisiken vorausschauend zu adressieren. Dazu trage nicht zuletzt die im Mai 2018 endgültig in Kraft tretende EU-DSGVO bei.

EU-DSGVO: Derzeit noch mehr Fragen als Antworten…

„Es ist nicht ganz einfach schlüssige Prognosen zu treffen, wie sich die Vorgaben der DSGVO konkret auf die Entwicklung von Cyber-Versicherungen auswirken werden“, sagt Illing.
Aber manchmal helfe es schon, die richtigen Fragen zu stellen, beziehungsweise auf existierende Diskrepanzen aufmerksam zu machen. Da seien zum einen die immensen Strafen, mit denen Unternehmen im Falle einer Datenschutzverletzung unter Nichteinhaltung der DSGVO zu rechnen haben. Eine gesetzliche Vorschrift diese zu versichern werde es aller Wahrscheinlichkeit nach nicht geben.
Illing: „Dazu kommt, dass die bisher höchste Versicherungssumme in Europa überhaupt ein Limit von in diesem Fall 400 Millionen Pfund Sterling hat. Keine ganz kleine Summe, gewiss.“ Man müsse sie allerdings in Relation setzen zu den weltweiten Umsatzsummen eines multinationalen Konzerns, von denen zwei bis vier Prozent des global erzielten Jahresumsatzes bei einer Strafe zugrundegelegt werden könnten.

Cyber-Policen genauer unter die Lupe nehmen!

Die potenziell zu erwartenden Strafen sollten aber ohnehin nicht der Treiber sein, wenn Firmen sich im Angesicht der dräuenden DSGVO für eine Cyber-Versicherung entscheiden.
„Wie gesagt, dass es eine entsprechende Gesetzgebung oder gar Deckung geben wird, ist zum jetzigen Zeitpunkt äußerst unwahrscheinlich“, so Illing. Die weitaus meisten Policen enthielten sowieso Provisionen für Krisenmanagement und Aufwendungen dafür, wie ein Sicherheitsvorfall gehandhabt wird, für Analysen, Nachforschungen und Wiederherstellung sowie die Haftungsbestimmungen bei Datenklau und Netzwerkbeeinträchtigungen.
„Was die Haftungsverpflichtungen angeht ist zukünftig jeder, der einen materiellen oder immateriellen Schaden aufgrund eines Datenschutzvorfalls erleidet, gegenüber dem betreffenden Unternehmen anspruchsberechtigt“, warnt Illing. Eine Cyber-Police würde die Kosten für die notwendigen Verteidigungsmaßnahmen übernehmen sowie die Haftungsansprüche, die sich aus einer Datenschutzverletzung etwa bei vertraulichen Informationen ergeben.
„Unternehmen tun also gut daran, Policen genauer unter die Lupe zu nehmen – vor allem was Obergrenzen bei potenziellen Schadenersatzübernahmen anbelangt. Warum? Weil aufgrund der strikteren Datenschutzvorgaben und Regularien die finanziellen Folgen einer Datenschutzverletzung die Kosten für den Datenschutz, den eine Firma im Rahmen des Risikomanagements beziffert hat, bei weitem übersteigen werden“, erläutert Illing.

Fragenkatalog für Versicherer und Makler:

Es gebe also eine Reihe von Fragen, die Versicherer und Makler in Betracht ziehen müssten. Dazu gehören laut Illing etwa die folgenden:

• Sind diese in der Lage zu entscheiden, ob ein Kunde die notwendigen Sicherheitsmaßnahmen beispielsweise im Hinblick auf seine Website umgesetzt hat oder nicht? Umso mehr, wenn der betreffenden Kunde Zahlungen von seinen eigenen Kunden entgegennimmt. Was tun Versicherer und Makler, wenn der Kunde keine ausreichenden Sicherheitsmaßnahmen implementiert hat (und wie können sie überhaupt ihrerseits sicherstellen, dass sie davon genaue Kenntnis haben)? Und werden sie den betreffenden Kunden dann weiter versichern oder nicht?
• Denken Versicherer und Makler darüber nach, entsprechende Prozesse zur Überprüfung einzuführen?
• Welche Methoden sind geeignet herauszufinden, ob ein Versicherungsnehmer tatsächlich Sicherheitsmaßnahmen umgesetzt hat, die geltenden Best-Practices-Empfehlungen für den Schutz von sensiblen Kundendaten entsprechen?
• Und wenn es möglich ist solche Prozesse einzuziehen, würden Versicherer und Makler ihre Versicherungsnehmer dahingehend kontrollieren, beispielsweise in unregelmäßigen Abständen nach dem Zufallsprinzip?
• Und noch einen Schritt weiter gedacht: Würde es sich auf die Preisgestaltung eines Anbieters oder Maklers auswirken, wenn der Kunde tatsächlich Sicherheitsmaßnahmen zum Schutz seiner Website und der Daten von Kunden getroffen hat?

Man dürfe getrost davon ausgehen, dass zum aktuellen Zeitpunkt kein Versicherer oder Makler alle diese Fragen zufriedenstellend beantworten könne.

In Zukunft noch anpassungsfähiger und flexibler sein!

Illing nimmt dazu Stellung, was sich für die Versicherungswirtschaft ändert und was Versicherer tun können:
Versicherer würden in Zukunft noch anpassungsfähiger und flexibler sein müssen, wenn es gilt sich den wechselnden Bedingungen im Umfeld für Cyber-Sicherheit anzupassen. Das gelte nicht nur für kurzfristige Trends, sondern auch für Entwicklungen, die den Markt und die gesamte Branche langfristig beeinflussen und grundlegend verändern würden.
Illing: „Für die Versicherungswirtschaft bedeutet das, ihre Geschäftsmodelle kontinuierlich überdenken und anpassen zu müssen, wenn sie in einem deutlich anders als bisher funktionierenden Wettbewerbsumfeld bestehen wollen.“

Einige der wichtigsten Schritte und Erfordernisse laut Illing:

• Versicherer seien gezwungen neue Produkte zu entwickeln, die den Deckungsansprüchen in einer veränderten digitalen Wirtschaft entsprechen.
• Ein erweitertes Risikomanagement im Bereich Cyber-Sersicherungen sei zwingend erforderlich. „Eines, das der sich stetig wandelnden Bedrohungslandschaft ebenso entspricht, wie den neuen gesetzlichen Regularien“, so Illing.
• Versicherer würden nach neuen Distributionskanälen Ausschau halten und bestehende ausweiten.
• Versicherer würden zusätzliches Wissen in den Bereichen Cyber-Sicherheit, Sicherheitsanforderungen und Sicherheitsmaßnahmen für Webseiten, Verschlüsselung und so weiter erwerben (müssen) sowie die notwendigen passenden Versicherungstools entwickeln und anwenden.
• Dieses Wissen müssten Versicherer an Versicherungsberater weitergeben.
• Stichwort: „E-Versicherungen“ – der gesamte Prozess werde vermutlich elektronisch abgewickelt werden; der physische Ort als solcher spiele schon jetzt kaum noch eine Rolle, digitale und elektronische Signaturen seien inzwischen Standard. Versicherer und Broker sollten also definitiv über Basis-Know-how im Bereich „Public Key Infrastructure“ verfügen.
• Und auch die Anforderungen an die Belegschaft würden sich verändern beziehungsweise hätten das schon getan; zum einen seien neue Fähigkeiten gefragt, zum anderen würden sich neue Berufsbilder wie etwa das des „Data Scientist“ auch in der Versicherungswirtschaft etablieren.
• Kundenorientierung und Kundenbindung seien zentrale Faktoren, denn die einstmals branchentypische Markentreue sei zusehends aufgeweicht worden.

Was entsprechend vorgebildete Makler angeht, würden diese sich Anbieter aussuchen, die dem veränderten Anforderungsprofil der digitalen Versicherungswirtschaft und der Cyber-Versicherungen im Besonderen entsprechen. Dazu kämen Kriterien wie ein passendes Geschäftsmodell und die Möglichkeit einer flexiblen Preisgestaltung.

Rasante Portfolio-Veränderungen

„Betrachtet man diese Fragenkomplexe als Ganzes, dominieren Datenschutz-Policen zumindest aus Sicht der Versicherer den Markt. Und sie beinhalten das, was ein Versicherer abdeckt: Den Verlust großer Mengen von Daten, üblicherweise den von Kundendaten“, führt Illing aus.
Bleibe noch zu bedenken, dass freie Makler und Großmakler dazu tendierten, nur die Versicherungsanbieter in ihr Portfolio zu nehmen, welche genau ihrem eigenen Geschäftsmodell entsprechen. Das führe potenziell dazu, dass sich das Portfolio gegebenenfalls schnell ändere, dass aber im Umkehrschluss Versicherungsanbieter sehr wohl die Möglichkeit hätten, die Auswahl eines Maklers für sich positiv zu beeinflussen. Ein enges Zusammenspiel und eine vergleichsweise zügige Schadensbearbeitung wirkten sich zusätzlich positiv auf die Kundenbindung aus.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen

datensicherheit.de, 13.08.2017
EU-Datenschutz-Grundverordnung: Tenable Inc. stellt drei essentielle Schritte vor

datensicherheit.de, 13.06.2017
Spiel mit dem Feuer: Nichtbeachtung der EU-Datenschutz-Grundverordnung

datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück

datensicherheit.de, 03.04.2017
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe

[datensicherheit.de, 25.08.2016] Beim Thema Online-Authentifizierung kommt auch die biometrische Variante ins Spiel. Laut einer jüngst von Visa veröffentlichte Studie würden zwei Drittel der befragten Europäer die biometrische Authentifizierung bei Online-Transaktionen verwenden. Was man aber genau unter Multi-Faktor-Authentifizierung wie der biometrischen versteht, wie diese funktioniert und ob sie wirklich sicher ist, erörtert Petteri Ihalainen von GlobalSign in einem Blog-Beitrag.

Als anfällig erwiesen: SMS-Code als zweiter Faktor

Der Begriff Multi-Faktor-Authentifizierung zeigt demnach an, dass zum Nachweis der Identität eines Online-Benutzers mehr als ein Faktor verwendet werden muss. Ein üblicher zweiter Faktor kann also ein SMS-Code sein, der an eine registrierte Mobilfunknummer des Benutzers gesendet wird (oft als „Einmalpasswort“ bezeichnet). Diese weitverbreitete Methode habe sich, kritisch betrachtet, allerdings als anfällig erwiesen, so Ihalainen. Sie werde inzwischen von Institutionen wie dem NIST (National Institute of Standards and Technology) abgewertet.

Grundsätzlich gebe es drei Kategorien von Faktoren:

• etwas, was man kennt (z.B. ein Passwort)
• etwas, was man besitzt (z.B. einen Token, ein Handy, eine Smartcard)
• etwas, was man ist (z.B. Fingerabdruck)

Ein Fingerabdruck sei, dank der Verbreitung von Fingerabdruck-fähigen Smartphones auf dem Markt, der häufigste biometrische Faktor. Weitere Beispiele für biometrische Faktoren seien Gesicht, Netzhaut (Auge), Herzschlag, Stimme, Verhalten usw. Diese erleichterten den Authentifizierungsprozess.

Die Authentifizierungsphase

Ein „iPhone“ z.B. gewähre nun nicht automatisch Zugang zum Bankkonto, denn Apple und die entsprechenden Banksysteme arbeiteten völlig getrennt voneinander. Um also die Lücke zu schließen und Zugang zum Konto per Fingerabdruck zu gestatten, müsse man als Erstes einen Identitätsanbieter (wie etwa GlobalSign) nutzen. Dieser ermögliche es der Bank, auch andere Authentifizierungsmethoden als die eigenen Einmalpasswort-Generatoren zu akzeptieren.
Als Nächstes brauche man eine App wie „MePin“ auf seinem Smartphone. Wenn man diese App heruntergeladen hat, den Browser startet und auf die eigene Banking-Website zugreift, führe der Identitätsanbieter eine sogenannte „User Driven Federation“ durch. Man müsse sich in der Authentifizierungsphase zuerst mit den Banking-Zugangsdaten authentifizieren und dann etwas wie z.B. die eigene Mobilfunknummer eingeben. Der Identitätsanbieter der Bank sende dann eine Authentifizierungsanforderung an die Smartphone-App, den Fingerabdruck anzufordern. Könne man den Fingerabdruck anstatt des Tokens zur Authentifizierung gegenüber der Bank verwenden.

Biometrie schützt privaten Schlüssel

Ihalainen: „Betrachtet man oben beschriebenen Ablauf, gewinnt man den Eindruck, der Fingerabdruck ist der Schlüssel, der die Tür zur Website entriegelt. Das aber ist falsch.“
Im obigen Szenario ersetze der Fingerabdruck einen PIN-Code. In der App gebe es einen privaten Schlüssel (PKI), der die Antwort an den Identitätsanbieter kryptografisch signiere. Diesen Schlüssel könne man mittels PIN-Code, Fingerabdruck oder Gesichtserkennung schützen. Das sei der korrekte Weg, biometrische Authentifizierung für Online-Dienste zu implementieren. Dabei verließen die biometrischen Daten das Gerät nicht.

Authentifizierung per Smartphone genießt hohen Aktenztanzwert

Stellt man sich einen durchschnittlichen Nutzer vor, der sich nicht unbedingt im Detail mit Sicherheitsvorkehrungen auskennt, so vertraut dieser laut Ihalainen darauf, dass die Bank sich darum kümmert. Was ihn viel mehr interessiere sei, ob ein System bequem und benutzerfreundlich ist.
Komplexe Passwörter, die alle 90 Tage geändert werden müssten, seien „ein Albtraum“. Man könne zudem davon ausgehen, dass Einmalpasswort-Token, die Zahlenfolgen mit sechs bis acht Ziffern generierten, im Alltag nicht immer die tauglichste Alternative seien. Token hätten (wie andere kleine Dinge) den „fatalen Hang“, gerne auf „Nimmerwiedersehen“ zu verschwinden.
Wenn man mithilfe der Biometrie etwas nutzen könne, das man ohnehin Dutzende Male am Tag in der Hand hält (und nicht erst seit „Pokémon Go“) wäre das für die Authentifizierung ungleich praktischer. Zudem sei diese Variante benutzerfreundlich und genieße einen hohen Akzeptanzwert.

Kritik an der Verwendung biometrischer Daten

Der Kritikpunkt, der in Bezug auf biometrische Daten am häufigsten genannt werde sei, dass man diese Art von Daten nicht verändern könne. „Das stimmt, wenn auch mit kleinen Ausnahmen“, betont Ihalainen. Sei aus irgendwelchen Gründen die biometrische Vorlage eines Daumenabdrucks durchgesickert, gebe es so etwas wie „löschbare biometrische Daten“ (Cancelable Biometrics), bei denen die biometrischen Merkmale verzerrt und auf eine neue Vorlage abgebildet würden.
Ein weiterer wunder Punkt sei die Privatsphäre. Nicht jeder wolle sich bei einem biometrischen System registrieren lassen. Biometrische Daten gälten als sehr persönlich und bereits das Registrieren werde unter Umständen als Eingriff in die Privatsphäre empfunden.
In der Informationstechnik sei „nichts zu 100 Prozent sicher“. Sicherheitsforscher hätten bereits nachgewiesen, dass es ziemlich einfach sei, einen biometrischen Sensor zu täuschen. Natürlich hätten die Anbieter von biometrischen Authentifizierungslösungen ihre Software verbessert. Ein Beispiel dafür: Es sei jetzt möglich, statische Bilder eines Gesichts zur Gesichtserkennung zu verwenden.
Die biometrische Authentifizierung sei sicherlich bequem. Trotzdem rät Ihalainen dazu, biometrische Daten zum Entsperren von etwas Anderem (z.B. eines privaten Schlüssels innerhalb einer PKI) zu verwenden. Geht dann ein Gerät verloren, könne man es einfach entfernen und den PKI-Schlüssel sperren.

Weitere Informationen zum Thema:

GlobalSign Blog, 19 Jan 2016
5 Things to Consider Before Using Biometric Authentication

[datensicherheit.de, 17.08.2016] Lila Kee, GlobalSign-Autorin, erörtert in einem aktuellen Blogpost, warum bisher ein Großangriff auf Kritische Infrastrukturen (KritIs) offensichtlich ausgeblieben ist. Dies sei aber kein Freibrief für eine Entwarnung – Energieversorger, Verbände und Gesetzgeber bleiben demnach aufgefordert, weitere Schritte für mehr Sicherheit zu unternehmen.

Kontinuierlich „Best Practices“ weiterentwickeln

In einer zusammenfassenden Betrachtung der von den großen Nachrichtenagenturen veröffentlichten Meldungen zu Schwachstellen wirke es so, „als ob nationale kritische Infrastrukturen, insbesondere der Energiesektor, mit Sicherheitslücken gespickt und damit reif für einen katastrophalen Cyberangriff wären“. In Wirklichkeit hätten wir einen solchen Angriff zum Glück noch nicht erlebt. Kee wirft die Frage auf, ob „abgesehen von übergeordneten politischen Gründen wie Angst vor Vergeltung und weitreichenden wirtschaftlichen Auswirkungen“ es vielleicht möglich sei, dass wir noch keinen solchen Angriff erlebt hätten, weil die Sicherheitslücken überbewertet oder die Wahrscheinlichkeit hochgespielt worden seien.
Kee möchte dabei richtig verstanden werden – sie wolle nicht unterstellen, dass wir „aus dem Gröbsten raus sind“ und uns um die Cyber-Sicherheit unserer Energieversorgungsnetze keine Sorgen machen müssten. Ganz im Gegenteil, so Kee: Es gehe darum, kontinuierlich „Best Practices“ weiterzuentwickeln, entsprechenden Normen und Richtlinien Geltung zu verschaffen, aber auch branchenspezifische Technologien voranzutreiben. Insbesondere, da Energiesysteme inzwischen mit dem Internet verbunden seien.
Kee versucht, die „großen Drei“ – also Befürchtungen, Ungewissheit und Zweifel – durchzuspielen und zu beleuchten, warum es bisher gelungen ist, die Energienetze weitestgehend zu schützen.

Jeden Tag Hackerangriffe auf Netzbetreiber

Netzanbieter würden jeden Tag gehackt (2015 seien dem Industrial Control Systems Cyber Emergency Response Team [ICS-CERT] 303 Vorfälle gemeldet worden). Die meisten dieser Hacks seien erfolglos geblieben, da kritische Systeme entweder nicht im Netz oder nur von privaten Netzwerken aus zugänglich gewesen, d.h. nicht über das Internet betrieben worden seien. Ältere Systeme seien bereits nachgerüstet worden, aber auch die meisten dieser Systeme seien nicht im Netz.
Die nächste Generation intelligenter Netzsysteme sei demgegenüber von Anfang an im Hinblick auf Sicherheit konzipiert worden. Ein gutes Beispiel sei das „Open Field Message Bus Framework“ (OpenFMB), das eine Spezifikation für Feldgeräte bei intelligenten Energiesystemen biete. Das Rahmenwerk nutze eine nicht-proprietäre und standardbasierte Referenzarchitektur, die aus Internetprotokoll-Vernetzung (IP) und „Internet of Things“-Datentransfer (IoT) bestehe. OpenFMB sei eines der Projekte der „Energy IoT Initiative“ des Smart Grid Interoperability Panels (SGIP) – entwickelt, um IoT-Innovationen in der Energiewirtschaft zu beschleunigen.
Wie sich in anderen Branchen wie Automobil, Fertigung und beim Konzept der Intelligenten Städte gezeigt habe, seien Mehrwertdienste durch IoT-Neuerungen rund um Energienetze in nahezu unbegrenzter Zahl möglich. Trotzdem hätten auch dort Sicherheitsbedenken oberste Priorität. Die Standardentwicklung spiele dabei eine ganz entscheidende Rolle. In den USA hätten sich dazu die North American Energy Standards Boards (NAESB) und OpenFMB zusammengetan. So sei eine Reihe von komplementären und verbindlichen Standards für Energieversorgungsunternehmen entstanden. Damit sie nicht im „luftleeren Raum“ existierten, seien Kooperationen mit weiteren Verbänden unumgänglich. Nur das gewährleiste, dass die Industrie ausreichend beteiligt sei und die Standards schneller umgesetzt würden.

Ausfallsichere Netze als oberste Priorität

„Wenn man sich genauer ansieht, wie Energieversorgungsnetze gemanagt werden, halte ich einen landesweiten Netzausfall für eher unwahrscheinlich“, sagt Kee. Ein hochdichter Ausfall in einer Großstadt sei hingegen durchaus denkbar – allerdings eher als Folge z.B. von Sprengstoffzündungen in einem Schacht mit Kabeln zu etlichen Energieverteilerstellen. Also ein Szenario, das auf physikalische Sicherheitslücken und nicht auf Cyber-Schwachstellen zurückzuführen sei. In jüngster Zeit habe sich indes „der Fokus deutlich auf letztere verlagert“.

Cyber-Sicherheit im besten Interesse des Netzbetreibers

Man sollte nicht vergessen, so Kee, dass Netzbetreiber Unternehmer seien, die Gewinn machen wollten – und das funktioniere nur, wenn ihre Fähigkeit zur Erzeugung und Übertragung von Strom nicht beeinträchtigt sei. Die Zuverlässigkeit des Netzes habe daher oberste Priorität. Die Betreiber seien folglich extrem motiviert, Löcher zu stopfen und Ausfälle zu vermeiden.
Netzanbieter hätten bereits wichtige Schritte unternommen, um einen unbefugten Zugriff auf ihre Systeme zu verhindern. Denn genau dort liege der größte Schwachpunkt. Energieversorger-„Enduser“ seien bereits sehr aktiv in der „Identity and Access Management“-Initiative (IAM) des National Cybersecurity Center of Excellence (NCCoE), um den Strommarkt zu unterstützen, sichere IAM-Kontrollen zu implementieren, die mit vorhandenen Energiestandards korrespondierten.
Darüber hinaus nähmen „Incident Response“-Maßnahmen einen großen Teil der Forderungen der North American Electric Reliability Corporation (NERC) zur „Critical Infrastructure Protection“ (CIP) ein. Es handele sich dabei um eine Reihe von Standards, „die entwickelt wurden, um das Stromnetz vor Cyber-Bedrohungen zu schützen“, erläutert Kee. Daran seien alle Anbieter und Betreiber gebunden, um bei einem Ausfall und/oder Angriff, die Folgen abzumildern. Andere Institutionen müssten engmaschig eingebunden werden, wolle man bei einem Notfall eine schnelle Wiederaufnahme der Energieversorgung gewährleisten. Ein Beispiel sei der Notfallaktionsplan der ISO New England.

Groß angelegter Angriff unvermeidlich?

Kee zeigt sich sicher, dass sie diese Worte bereuen werde, aber sie glaube nicht, dass ein landesweiter katastrophaler Angriff wahrscheinlich sei. Sie sehe Angriffsnester, die sicher für eine bestimmte Region verheerend sein könnten. Sie geht aber davon aus, dass mit den jüngsten, jetzt durchsetzbaren „NERC CIP v5“-Standards die USA viel besser vorbereitet seien als in der Vergangenheit, „cyberbedingte Ausfälle“ zu verhindern, einzugrenzen und zu stoppen sowie Netzmodernisierungen zu unterstützen. Vergleichbare Standards und Gesetzesvorgaben gebe es auch in Europa. So zum Beispiel das vor rund einem Jahr in Deutschland verabschiedete „Gesetz zum Schutz kritischer Infrastrukturen“, dem allgemein eine „Vorreiterrolle innerhalb der EU“ zugesprochen werde. Jüngsten Medienberichten zufolge habe die anfänglich skeptische Wirtschaft inzwischen ihre Zweifel weitgehend abgelegt und stehe dem Gesetz positiv gegenüber.
Netzbetreiber und Behörden sollten gemeinsam an „Pen-Tests“ arbeiten, um Sicherheitslücken zu entdecken und schließen, bevor sie ausgenutzt werden. Wir sollten Netze zukunftssicher machen, indem wir IoT-Sicherheitsspezifische Standards für bestimmte Branchen schaffen (z.B. Netzanbieter und Netzbetreiber), rät Kee. Nur so könne die Industrie starke Authentifizierung, Zugangskontrolle und Verschlüsselung in ihre Produkte einbauen, bevor sie auf den Markt kommen.