[datensicherheit.de, 30.03.2021] Der eco – Verband der Internetwirtschaft e.V. geht nach eigenen Angaben davon aus, dass ein deutsches Sicherheitssiegel für IoT-Geräte auf der Basis der Norm ETSI EN 303 645 die Sicherheit im Internet der Dinge (IoT) und die Transparenz für die Verbraucher verbessern könnte. eco-Experten haben in diesem Zusammenhang fünf Forderungen formuliert.

Foto: eco e.V.

Markus Schaffrin: eco begrüßt den IoT-Sicherheitsstandard ETSI EN 303 645

eco warnt vor Missbrauch: Bot-Netze könnten DDoS-Angriffe oder Zugriff auf private Daten ermöglichen

Ob smarte Türschlösser, Steckdosen, Kühlschränke oder Heizungen – Milliarden Geräte sind bereits im Internet of Things (IoT) vernetzt. Doch während Sensoren und Funkschnittstellen praktische Funktionen ermöglichten, „bleibt die Sicherheit häufig auf der Strecke“, warnt der eco.
Auch viele sicherheitskritische Geräte wie Überwachungskameras oder Router seien zu schlecht geschützt und böten keine Möglichkeit, die Sicherheit mittels Firmware-Update zu verbessern. „Gelingt es Hackern, auf solche Geräte zuzugreifen, dann können sie diese in Bot-Netzen für DDoS-Angriffe missbrauchen oder auf private Daten zugreifen.“ Daher begrüßt der eco „den IoT-Sicherheitsstandard ETSI EN 303 645, den das ETSI Technical Committee on Cybersecurity (TC CYBER) im Juni 2020 veröffentlicht hat“. Diese Norm definiere weltweit verpflichtende Sicherheitsanforderungen und Empfehlungen, Teststandards und Zertifizierungsschemata.

Security-by-Design im IoT laut eco noch nicht selbstverständlich

„Hersteller müssen Sicherheitsaspekte schon bei der Entwicklung und beim Design neuer IoT-Geräte mitdenken“, fordert Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter „Mitglieder Services“ im eco-Verband. Er führt aus: „,Security by Design‘ und ,Security by Default‘ gibt es noch in zu wenigen Consumer-IoT-Geräten, vom Smart-TV bis zur Heizungsanlage.“ Zudem sei es für Verbraucher kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind.
Nutzer-Authentisierung, Software-Update-Mechanismen, Absicherungen der Kommunikation und Datenschutz müssten selbstverständlich werden. Dies sei auch das Ziel der auf der EN 303 645 aufbauenden Testspezifikation 103 701, welche die Norm um Testfälle erweitere für ein harmonisiertes Prüfverfahren und ein einheitliches Kennzeichen. Die Testspezifikation diene als Framework zur Konformitätsbewertung der neuen Norm. Aktuell befinde sich das Dokument zur TS 103 701 bis Ende April 2021 noch in der Kommentierungsphase und könne um Verschläge erweitert werden.

eco: IT-Sicherheitsgesetz 2.0 soll auch IoT-Sicherheit erhöhen

Auf diese Normen aufbauend solle zukünftig auch ein deutsches Sicherheitssiegel für IoT-Geräte die Transparenz für die Verbraucher verbessern. Die gesetzliche Grundlage und den rechtlichen Rahmen dafür werde das kommende IT-Sicherheitsgesetz 2.0 bilden. Seitens des BSI (Bundesamts für Sicherheit in der Informationstechnik) sollten die Produkte und Services mit IT-Sicherheitskennzeichen regelmäßig geprüft werden, um zu verifizieren, dass die Anforderungen auch tatsächlich erfüllt sind.
Um diesen Prozess fair und transparent zu gestalten, hätten die IoT-Sicherheits-Experten des eco im März 2021 im Rahmen eines Roundtables der Kompetenzgruppen „IoT“ und „Sicherheit“ fünf Forderungen formuliert:

1. Bestehende Siegel und Zertifizierungen einbeziehen
   Es müsse sichergestellt werden, „dass die Zertifizierungsmaßnahmen, welche sich bereits etabliert haben, durch die neue Norm und das geplante IT-Sicherheitskennzeichen nicht auf der Strecke bleiben“. Die Anbieter müssten in den Prozess stärker eingebunden werden, um das Ziel eines klaren und einheitlichen Prüfstandards zu erreichen.
2. Nachvollziehbarkeit des Siegels
   Das IT-Sicherheitskennzeichen für Deutschland brauche einen hohen Praxisbezug und müsse für Hersteller und Verbraucher nachvollziehbar sein. So könne sich dieses Siegel zu einem Wettbewerbsvorteil entwickeln und am Markt etablieren – und Anwendern ein sicheres Gefühl beim Kauf von IoT-Geräten vermitteln.
3. Unabhängige Prüfungen
   Gerade mit Blick auf das nationale IT-Sicherheitskennzeichen müssten unabhängige Prüfstellen IoT-Geräte entsprechend der festgelegten Sicherheitsanforderungen testen. Dies gewährleiste Transparenz für die Verbraucher und stelle die Wertigkeit des Kennzeichens und die tatsächliche Erfüllung der Sicherheitsstandards sicher: „Das stärkt das Vertrauen auf Hersteller- und Anwenderseite.“
4. Betrachtung des gesamten Lebenszyklus von IoT-Geräten
   Sicherheit müsse von Anfang an mitgedacht und bereits in die Entwicklung von IoT-Geräten einfließen. „Mittels Updates muss Sicherheit über den gesamten Produktlebenszyklus hinweg gewährleistet werden.“ Der Security-by-Design-Gedanke müsse prozessual stärker nach vorne gebracht werden. Um ein Grundverständnis für die Security-by-Design-Gestaltungsprinzipien zu erlangen, empfehle sich die Handreichung „Security by Design – Ein Leitfaden für Entscheider“ von TeleTrust.
5. Erhöhung der Nachhaltig
   Security-by-Design zahle auf die Nachhaltigkeit von IoT-Geräten enorm ein. Mit der Verfügbarkeit von Sicherheits-Updates und der Möglichkeit von „Bug Fixes“ für einen deutlich längeren Zeitraum, als dies aktuell bei vielen Geräten der Fall sei, müssten die Geräte nicht frühzeitig abgewrackt werden. Altgeräte würden so kein Sicherheitsrisiko mehr darstellen und Verbraucher könnten ihre Geräte viel länger und vor allem sicher nutzen.

eco möchte Umsetzung und praktische Anwendung am Markt beobachten

„Auch wenn mit der Norm EN 303 645, der TS 109 701 und einem darauf aufbauenden deutschen IT-Sicherheitskennzeichen der richtige Weg eingeschlagen wird, bleibt es abzuwarten, wie sich die Umsetzung und praktische Anwendung am Markt gestalten wird“, betont Schaffrin.
Noch befänden sich die entsprechenden Dokumente in der Abstimmung und könnten eingesehen und um Kommentare erweitert werden, bevor es voraussichtlich Mitte 2021 zur Ratifizierung komme.

Weitere Informationen zum Thema:

datensicherheit.de, 20.05.2019
Sicherheit im Industrial Internet of Things

ETSI
Final draft ETSI EN 303 645 V2.1.0 (2020-04) / Cyber Security for Consumer Internet of Things: Baseline Requirements

ETSI
docbox.etsi.org / CYBER / CYBER / Open / Latest_Drafts

TeleTrusT
Security by Design / Zukunftsfähiges Konzept für Informationssicherheit und Datenschutz im Produktlebenszyklus

[datensicherheit.de, 28.07.2020] Das Internet der Dinge (engl.: IoT) setzt sich offensichtlich im großen Stil durch, weil die potenziellen Vorteile immens erscheinen: Ob es sich um Gebäude- und Straßenlichtsensoren, Überwachungskameras, IP-Telefone, Point-of-Sale-Systeme, Konferenzraumtechnik und vieles mehr handelt – „das IoT ist im Netzwerk und im Unternehmen längst Realität“. Es sei zu einem wesentlichen Teil der Infrastruktur für jedes Unternehmen und jede Branche geworden. Dies hat nach Ansicht von Palo Alto Networks auch erhebliche Auswirkungen auf die Relevanz der damit verbundenen IT-Sicherheit.

IoT-Geräte mit einzigartigen Sicherheits-Herausforderungen

IoT-Geräte stellten Sicherheitsteams vor einzigartige Herausforderungen. Sie seien an das zentrale Netzwerk eines Unternehmens angebunden, doch im Allgemeinen „nicht verwaltet“. Verschiedene IoT-Geräte verwendeten unterschiedliche Hardware, Betriebssysteme und Firmware.
Meistens seien sie auch unreguliert, würden mit unbekannten oder ungepatchten Schwachstellen ausgeliefert, und oft übersteige ihre Nutzungsdauer ihre unterstützte Lebensdauer. Laut dem „2020 Unit 42 IoT Threat Report“ sind 57 Prozent der IoT-Geräte „anfällig für Angriffe mittlerer oder hoher Schwere“ und 98 Prozent des gesamten IoT-Geräteverkehrs würden unverschlüsselt abgewickelt.

IoT-Geräte könnten zur Durchführung von Cyber-Angriffen „bewaffnet“ werden I

Eine der größten Befürchtungen sei, dass diese Geräte zur Durchführung von Cyber-Angriffen „bewaffnet“ werden könnten. IT-Sicherheitsexperten von Palo Alto Networks haben nach eigenen Angaben zuletzt festgestellt, dass die „Sofacy Group“ (auch „Fancy Bear“ oder „APT28“) gängige IoT-Geräte wie VoIP-Telefone, Bürodrucker und Videodecoder kompromittiert habe, um mehrere Unternehmensnetzwerke zu infiltrieren. Dies sei nur einer von vielen solchen IoT-Sicherheitsvorfällen.
Es sei schwer genug, die Risiken einzuschätzen und Richtlinien für IoT-Geräte durchzusetzen, die für Unternehmensprojekte eingesetzt werden. Viele IoT-Geräte würden aber auch ohne das Wissen der IT-Abteilung in Unternehmen eingesetzt. Diese Geräte seien schwierig genug zu sichern, aber hinzukomme, dass die IT-Abteilung sie erst einmal identifizieren müsse – und dies sei „eine ganz eigene Herausforderung“.

Gesamten IoT-Sicherheits-Lebenszyklus mittels Maschinellem Lernen schützen

Die herkömmliche Netzwerk-Perimeter-Verteidigung sei für diese Sicherheitsherausforderungen schlecht gerüstet. Neue Anbieter von IoT-Sicherheitslösungen seien oft nicht in der Lage, diese Probleme vollständig zu bewältigen. Sie beschränkten sich auf die Identifizierung nur bekannter Gerätetypen und verfügten über manuelle, regelbasierte „Richtlinien-Engines“, die nicht skalierbar seien. Sie verwendeten oft eine schwerfällige Implementierung von Einzwecksensoren, die je nach Einsatz die Integration mit anderen Anbietern erfordere. Bestehende Ansätze würden dem Bedarf einfach nicht gerecht.
Der effektivere Weg zur Bewältigung der IoT-Sicherheits-Herausforderungen bestehe darin, den gesamten IoT-Sicherheits-Lebenszyklus zu schützen. Der Kern dieses Ansatzes sei das sogenannte Maschinelle Lernen (ML). Palo Alto Networks hat nach eigenen Angaben im Herbst 2019 „Zingbox“ integriert – eine patentierte dreistufige Plattform für Maschinelles Lernen. Diese soll Unternehmen bei der Entdeckung und Identifizierung nicht verwalteter Geräte im Netzwerk unterstützen.

Automatisch neue IoT-Geräte erfassen, Risiken bewerten und Erkenntnisse in Richtlinien umzuwandeln

Diese Technologie sei mittlerweile um patentierte „App-ID“-Technologie erweitert worden. Dies ermögliche es nun, automatisch neue IoT-Geräte zu erfassen, Risiken zu bewerten und die Erkenntnisse in Richtlinien umzuwandeln, um das IoT schützen.
Durch die Anwendung der umfassenden Präventionsfähigkeiten könne die IoT-Sicherheit mit der gesamten Palette der anderen Cloud-basierten Sicherheitsabonnements kombiniert werden, um alle bekannten und unbekannten, auf IoT- und OT-Geräte abzielenden Bedrohungen zu stoppen.

Vereinfachung der Implementierung von IoT-Sicherheit

Eine Komplettlösung erfordere im Idealfall keine dedizierten Sensoren, kein anderes Produkt für die Durchsetzung, keine manuellen Fingerabdruck-Technologien oder das mühsame Zählen von IoT-Geräten für die Lizenzierung.
Um den begleitenden Aufwand gering zu halten, werde IoT-Security vermehrt als Subskription geliefert. Diese ermögliche es Sicherheitsteams, nicht verwaltete IoT-Geräte mit jedem ML-unterstützten Next-Generation-Firewall-Formfaktor zu erfassen – über Hardware-Appliances, virtualisierte Firewalls oder über Cloud-basierte „Secure Access Service Edge“ (SASE)-Netzwerksicherheitsservices.

Seit Kurzem: IoT-Sicherheit per ML-unterstützter Next-Generation-Firewall

Seit Kurzem böten Hersteller auch IoT-Sicherheit auf ML-unterstützten Next-Generation-Firewalls, die als Sensor und Durchsetzungspunkt dienten. Dies ermögliche auf kosteneffiziente Weise die Erfassung von nicht verwalteten IoT-Geräten und deren Schutz. Hierzu gehöre auch die Durchsetzung von Sicherheitsrichtlinien an Orten, an denen keine Firewalls vorhanden sind, so dass Unternehmen nicht mehr mehrere Produkte kaufen und integrieren oder betriebliche Prozesse ändern müssten, um eine vollständige IoT-Sicherheitslösung zu erhalten.
Unabhängig davon, wie weit ein Unternehmen auf dem Weg zur Einführung des Internets der Dinge bereits ist – für die Sicherheit sei der Schutz der IoT-Investitionen von großer Bedeutung. Wie bei der IT-Sicherheit gelte es dabei nach Ansicht von Palo Alto Networks, „den Angreifern einen Schritt voraus zu sein“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, 10.03.2020
2020 Unit 42 IoT Threat Report

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

[datensicherheit.de, 27.01.2015] Hessens Staatsminister für Wissenschaft und Kunst, Boris Rhein, hat am Mittwoch, 28.01.2014,  die Darmstädter Cybersicherheitsforschung besucht. Sein besonderes Interesse galt dabei dem im Rahmen der hessischen LOEWE-Initiative geförderten Center for Advanced Security Research Darmstadt (CASED), das gemeinsam von der Technischen Universität Darmstadt, der Hochschule Darmstadt und dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) betrieben wird. Beim Besuch informierte sich Minister Rhein auch über neue Software-Testverfahren. Damit hatten CASED-Forscher erst vor Kurzem einen Banking-Trojaner aufgespürt. Höhepunkt des Besuchs bildete ein Blick ins neu eingerichtete Cyberphysical Security Lab, wo datenschutzfreundliche IT-Systeme für das Auto der Zukunft entwickelt werden.

Die TU Darmstadt und die Hochschule Darmstadt bilden einen Arbeitsschwerpunkt der IT-Sicherheit, was sich aich an der großen Anzhal der beteiligten Professuren ablesen lässt. Zusammen mit dem Fraunhofer SIT arbeiten mehr als 350 Forscherinnen und Forscher am Schutz von digitalen Daten, Diensten, Geräten und Infrastrukturen.

„Mein Ziel ist der gezielte Ausbau des Cyber-Security Forschungsstandorts Darmstadt als national und international sichtbarer Hotspot der IT-Sicherheit. Daher begrüße ich die Pläne, in Darmstadt ein Spitzenforschungszentrum für Cybersicherheit einzurichten, das die Forschungskapazitäten von Technischer Universität, Hochschule Darmstadt und Fraunhofer SIT weiter bündeln soll“, erklärte Wissenschaftsminister Boris Rhein.

„Die IT-Sicherheit gehört zu den national wie international hoch sichtbaren Themenfeldern, die das Forschungsprofil der TU Darmstadt prägen“, betonte TU-Präsident Professor Hans Jürgen Prömel anlässlich des Minister-Besuchs. „Dank der LOEWE-Förderung konnten an der TU Darmstadt substantielle und nachhaltige Strukturen aufgebaut werden, die von Professuren bis zur Gebäudeinfrastruktur reichen. Wir sehen darin eine gute Ausgangslage für die erfolgreiche Weiterentwicklung dieses gesellschaftlich wichtigen Themenfeldes.“

Empfangen wurde der Minister von Spitzenvertretern der drei an CASED beteiligten Forschungsinstitutionen, angeführt durch Professor Dr. Hans Jürgen Prömel, dem Präsidenten der Technischen Universität Darmstadt, und Professorin Dr.-Ing. Mira Mezini, der Vizepräsidentin der Technischen Universität Darmstadt. Professor Dr. Arnd Steinmetz vertrat die Hochschule Darmstadt und Professor Dr. Michael Waidner das Fraunhofer-Institut für Sichere Informationstechnologie.

[datensicherheit.de, 05.12.2014] Bei aller Bequemlichkeit, die „Smart Homes“ bieten können, darf nicht vergessen werden, dass es hier um diverse internetfähige Endgeräte wie Router, Thermostate und Kameras geht, die für Cyber-Kriminelle zum virtuellen Türöffner in die eigenen vier Wände werden könnten. Symantec nimmt die bevorstehende Weihnachtszeit zum Anlass, Warnungen und Empfehlungen auszusprechen. Man habe herausgefunden, dass solche Endgeräte bzw. Sensoren im Haus direkt attackiert werden können – z.B. nach heimlicher Modifizierung der Firmware.

Unter die virtuellen Räuber fallen

Ungeschützte Geräte und Heimnetze sind für Angreifer attraktive Ziele. Hacker könnten die Kontrolle über die ungeschützten Systeme aus der Ferne übernehmen und die Geräte nutzen, um an Informationen über die Bewohner des jeweiligen Haushalts und deren Gewohnheiten zu gelangen.

Cyber-Angriffe mit Schäden in der realen Welt

Wie „praktisch“, wenn der Einbrecher über die gehackte Eingangskamera weiß, dass niemand zu Hause ist oder sich quasi eigenhändig die Tür öffnet, indem er die Alarmanlage deaktiviert. Gefährlich wird es, wenn „Witzbolde“ die Rauchmelder ausschalten, während der Weihnachtsbaum unbemerkt vor sich hin qualmt…

Abbildung: Symantec., Mountain View (Ca., USA)

Wenn Online-Verfügbarkeit von Haustechnik zur Gefahr wird

Weitere Informationen zum Thema:

Symantec. Official Blog, 03.12.2014
Smart security for today’s smart homes: Don’t let attackers spoil your Christmas

datensicherheit.de, 13.11.2014
Internet of Things: Security & Safety by Design erfolgsentscheidend

datensicherheit.de, 26.09.2014
Internet Security Days 2014: Sicherheit von morgen im Blick

Von unserem Gastautor Ian Trump, Sicherheitsexperte bei MAXfocus (von LogicNow)

[datensicherheit.de, 24.11.2014] Es sieht ganz so aus, als ob Mitarbeiter in Produktionsbetrieben genauso gern ihre Facebook-Nachrichten durchstöbern wie wir alle. Auf den ersten Blick ist das nicht verwunderlich und kein Grund zur Sorge – oder doch? Immerhin vernetzen sich die Mitarbeiter mit den sozialen Medien über das gleiche flache Netzwerk, das sämtliche Bereiche der Produktion kontrolliert. Für dieses Szenario gibt es definitiv kein „Like“, denn das ist gefährlich.

Zu einem ähnlichen Schluss war ich bereits gekommen, nachdem ich ein Cybersecurity Audit in einer Fabrik durchgeführt hatte. Internetzugang zu gewähren über Maschinen, die eigentlich ausschließlich für Produktionszwecke eingesetzt werden sollten, hatte vor allem eine Wirkung: Es setzte den Geschäftsbetrieb des Unternehmens sämtlichen kriminellen Elementen im Netz aus. Da das Netzwerk nicht nach Sicherheitskriterien segmentiert war und nicht über eine interne Firewall verfügte, beschwor der Hersteller die Katastrophe quasi herauf. Hacker hätten die Förderbänder anhalten können – oder noch schlimmer: Sie hätten das Netzwerk mit einem Virus infizieren können. (Ein Mitarbeiter sagte, dass eine Sicherheitsverletzung das Unternehmen zwischen 2.500 und 3.000 Euro gekostet hätte – pro Stunde!). Dieses enorme Risiko brachte mich dazu, den Entscheidungsträgern der Fabrik die Frage zu stellen, die alle Managed Service Provider (MSP) ihren bestehenden und potenziellen Kunden stellen sollten: Was ist für Ihr Unternehmen wirklich wichtig?

Wie man sich vorstellen kann, wurde es als abträglich für das Geschäft angesehen, wenn Angestellte auf Computern, die von entscheidender Bedeutung für die Produktion waren, ihren Status überprüften, ein neues Selfie hochluden oder ihre E-Mails checkten – soweit wenig überraschend. Um wirklich alle Unbekannten aus der Gleichung zu entfernen, müssen MSPs aber noch weiter gehen – wie in der Geschichte mit dem Produktionsbetrieb. An erster Stelle steht dabei die Frage an den Kunden, was für ihn wichtig ist im Hinblick auf das Thema Sicherheit. Solange der MSP die Denke seines Kunden nicht verstanden und sein Verständnis von Cybersecurity nicht bewertet hat, kann er auch keine wirkungsvolle Lösung für den Kunden entwickeln. Für erfolgreiche MSPs ist dies bereits die wichtigste Erkenntnis zum Thema Cybersecurity.

Und hier folgen noch vier weitere Punkte, die jeder IT Service Provider berücksichtigen sollte:

• Solide Geschäftsprozesse aufbauen
  Können Sie die Services, die Sie anbieten, klar definieren – und können das auch Ihre Kunden? Wie auch immer Ihre Strategie aussieht: Sorgen Sie dafür, dass sie wiederholbar und nachvollziehbar ist. Falls Sie jemals erklären müssen, warum Sie einen bestimmten Ansatz verfolgt haben, sollten Sie verständlich machen können, wie und warum dieser Ansatz Teil Ihres Plans ist.
• Machen Sie sich mit einer Firewall vertraut
  Tun Sie sich selbst einen Gefallen: Arbeiten Sie mit einem Firewall-Produkt, lernen Sie es gut kennen und standardisieren Sie es über die Gesamtheit Ihrer Kunden. Das wird einen enormen Unterschied ausmachen, wenn Sie für Ihre Kunden den Zugang zum Netz herstellen. Verschiedene unterschiedliche Produkte gut zu kennen (und zu versuchen, sie alle zum Laufen zu bringen), kann sich als Bumerang herausstellen. Und selbst wenn Sie dabei eine Katastrophe vermeiden können: Mit verschiedenen Produktvarianten zu jonglieren kostet nicht nur Zeit, sondern ist auch eine unnötige Herausforderung.
• Werden Sie Experte
  Die Einführung des „Internet der Dinge“ – die Interkonnektivität internetfähiger Computergeräte – hat Netzwerke in sich ständig verändernde Anwendungsumgebungen verwandelt. Es ist daher absolut unerlässlich, dass Sie sich regelmäßig darüber informieren, wie die aktuellsten Produkte und Services funktionieren und ein tiefgehendes Verständnis für die Wirkung entwickeln, die sie in verschiedenen Branchen haben. Wie das geschilderte Beispiel der Fabrik zeigt, herrschen im Markt zahlreiche Missverständnisse darüber, welche Systeme und Services über das Internet zugänglich sein sollten – oder eben nicht.
• Pen The Policy
  Im Zusammenhang mit dem voran gegangenen Punkt, sollten MSP ihren Kunden anbieten, sie dabei zu unterstützen, Richtlinien zur Computernutzung schriftlich festzuhalten. Wenn Sie Ihr Wissen in diesem Bereich anbieten, stärkt das die Bindung zwischen Ihrem Unternehmen und Ihren Kunden. Außerdem dokumentieren Sie damit, dass Ihnen die Sicherheit Ihrer Kunden wichtig ist. Es hilft außerdem, sich noch einmal der sicherheitsrelevanten Themen und Aspekte sowie bestehender Risiken bewusst zu werden, was der beste Weg zur Verteidigung ist (und damit einen hervorragenden Return on Invest darstellt).
  Ein Aspekt zieht sich wie ein roter Faden durch diese Hinweise: Weiterbildung und der kontinuierliche Ausbau von Know-how sind sowohl für MSP selbst, als auch für ihre Kunden absolut unverzichtbar. Der Markt für Technologien ändert sich extrem schnell – es gibt also immer etwas Neues zu entdecken und zu lernen.

Denn die besten MSP wissen: „Man lernt nie aus.“

Bild: MAXfocus

Ian Trump ist Sicherheitsexperte bei MAXfocus from LogicNow (früher GFI MAX), einem globalen Anbieter von Cloud-basierten IT-Sicherheit und Management-Lösungen für die weltweit größte Community von MSP.

–

[datensicherheit.de, 13.11.2014] In der IT-Branche werden hohe Erwartungen in das „Internet der Dinge“ (engl. „Internet of Things“, IoT) gesetzt – großen wie kleineren Unternehmen und auch Behörden könnte es enorme Vorteile bringen, denn das Potenzial für Einblicke in „Echtzeit“, erweiterte Big-Data-Analysen und hochwertige „Business Intelligence“ erscheint unbegrenzt. Nichtsdestotrotz müssen Unternehmensführer und Entscheidungsträger erkennen, dass es durchaus kein einfacher Prozess sein wird, das IoT erfolgreich zu nutzen. Der hohe Vernetzungsgrad bietet neue Möglichkeiten, schafft aber eben auch neue Schwachstellen. Diese sind ein Problem für Nutzer wie Anbieter von IoT-Lösungen und -Geräten.

Bequemlichkeit schafft weiche Flanken im Haushalt

Selbst die einfachsten Haushaltsartikel könnten in das IoT eingebunden werden – intelligente Leuchtmittel z.B., die sich mit den WLAN-Netzwerken der Besitzer so verbinden, dass diese die Beleuchtung ihrer Häuser über Smartphone oder Tablet steuern können. Durch Ausnutzen einer Sicherheitslücke könnten sich Hacker Zugang zum WLAN-Netzwerk eines Benutzers verschaffen und die Macht über das heimische Beleuchtungsmanagement übernehmen.
Für das IoT gilt also noch mehr denn je, das Heimnetzwerk zu schützen.

Unternehmen müssen ihre IoT-Kontaktpunkte identifizieren

Mit der Ausbreitung des IoT werden Unternehmen unweigerlich noch mehr miteinander verbundene Geräte verwenden. Nicht behobene Schwachstellen auf diesen Rechnern können und werden direkt zu verheerenden Fällen von Datenmissbrauch und anderen Datenschutzvorfällen führen. Unternehmen müssen deshalb zunächst ihre IoT-Kontaktpunkte identifizieren. Seinem Wesen nach schafft das IoT eine große Anzahl dieser Punkte.
Jeder einzelne Anwender kann somit potenziell als Zugang für einen feindlichen Cyberangriff dienen – durch bösartige Zugriffe über die von ihm genutzten ungesicherten Geräte. Jede Firma, die die Vorteile des IoT nutzen will, braucht also gründliche Kenntnis davon, wo diese Schwachstellen entstehen können. Der Schutz sensibler interner Informationen wird in Zukunft noch schwieriger.

Sicherheitsproblemen von IoT-Produkten schon auf Design- und Produktionsebene begegnen

Offensichtlich könnte ein Missbrauch, wie z.B. auf die oben beschriebene Hausbeleuchtung, schwerwiegende Folgen für den Hausbesitzer haben. Aber der Lösungsanbieter selbst dürfte überproportional mehr von IoT-Sicherheitslücken betroffen sein. Denn Verbraucher sind sich heutzutage stärker bewusst, wie wichtig es ist Identitäten zu schützen – sie wissen, dass sie vorsichtig mit ihren sensiblen Daten umgehen müssen, um einen möglichen Identitätsdiebstahl oder Betrug zu vermeiden.
Ein großer Teil dieser Vorsichtsmaßnahmen besteht darin, Unternehmen zu meiden, bei denen Datenmissbrauch oder andere Sicherheitsvorfälle bekannt geworden sind. Ruf und Umsatz einer Firma, die IoT-fähige Geräte anbietet, würden nachhaltig beschädigt, wenn derartige Sicherheitsmängel ans Licht kommen.
Unternehmen, die IoT-fähige Produkte und Dienste anbieten, müssen also die Zugangspunkte kennen, die ihre Produkte schaffen – und sie müssen diese Informationen klar an potenzielle Kunden vermitteln. Sicherheitsproblemen von IoT-Produkten sollte schon auf der Design- und Produktionsebene begegnet werden.

IoT: Neue Sicherheitsansätze gefragt

Mit den prognostizierten 50 Milliarden „Dingen“ des Internets, die den Markt mittelfristig geradezu überschwemmen werden, müssen IoT-Unternehmen Sicherheitsprobleme von Beginn des Entwicklungsprozesses an bedenken. Das betrifft sämtliche der hier kurz angerissenen potenziellen Risiken.

Weitere Informationen zum Thema:

GlobalSign
GlobalSign – Europas globales TrustCenter

datensicherheit.de, 17.09.2014
Internet of Everything: Cisco eröffnet Forschungszentrum in Berlin

datensicherheit.de, 13.04.2010
IoT/RFID-Technologie im Flugverkehr: Herausforderungen und Risiken müssen identifiziert und proaktiv angegangen werden

[datensicherheit.de, 25.09.2014] Cloud, Big Data, M2M – die Entwicklung neuer internetbasierter Dienste schreitet unaufhaltsam voran. Passende Sicherheitslösungen müssen damit einhergehen. Die Internet Security Days 2014 im Phantasialand in Brühl bei Köln, bei denen internationale Security-Experten Einblicke in den aktuellen Stand der Technik bieten und diverse Lösungen für die Bekämpfung von Cyberkriminalität und die Absicherung moderner Anwendungen im Gepäck haben – für die Sicherheit von heute und morgen.

Die Herausforderungen für Sicherheitsexperten sind vielfältig: Angefangen von Spam über Attacken und Angriffe jeder Art bis zur Absicherung diverser Hardware einschließlich Smartphones. Security-Experten aus aller Welt treffen sich heute bei den Internet Security Days (ISD), um ihr Wissen zu teilen und über aktuelle Lösungen und Maßnahmen zu diskutieren. Und auch künftige Aufgaben sind bereits heute ein Thema.

© eco

Harald A. Summa, Geschäftsführer des eco, bei der Eröffnungsansprache

Angriffsziel Internet der Dinge

Eine riesiges Betätigungsfeld für unbefugte und sogar kriminelle Handlungen eröffnet sich durch das Internet der Dinge. So ist jede Komponente mit Netzwerkanschluss von Fremden gekapert oder mittels DDoS-Attacken lahmgelegt werden. Dazu kommt die Kommunikation der Geräte untereinander, die ein Einfallstor für (Wirtschafts-)Spionage bietet. Dr. Bettina Horster, eco Direktorin Mobile, fordert deshalb: „Der Sicherheitsaspekt muss bei der Entwicklung von M2M-Lösungen eine herausragende Rolle spielen. Die Branche ist gefordert, von Anfang an wirksame Sicherheits- und Verschlüsselungslösungen mit einzuplanen.“ Der Track „The Fridge is Calling – Internet of Things meets Production“ beschäftigte sich mit diesen Fragestellungen.

Verschlüsselung als Selbstverständlichkeit

Seit den Enthüllungen von Edward Snowden ist die Öffentlichkeit sensibilisiert, wie anfällig elektronische Kommunikation grundsätzlich für Ausspähung jeder Art ist. Auch wenn es dagegen keinen absoluten Schutz gibt, empfiehlt eco den breiten Einsatz von Kommunikationsverschlüsselungen. „IT-Unternehmen sind aufgerufen, Benutzern den Einsatz von Verschlüsselungen mit intuitiv bedienbaren Lösungen so einfach wie möglich zu machen. Gleichzeitig sind aber auch die deutsche Politik und die Bürger selbst gefragt, sich umfassend zu informieren und Verschlüsselungsmaßnahmen konsequent zu nutzen“, mahnt Oliver Dehning, Leiter der eco Kompetenzgruppe Sicherheit. Im Track „My data is mine – A simple guide to encryption“ am werden gängige Lösungen vorgestellt und auch aus der Nutzerperspektive beleuchtet.

Weitere Informationen zum Thema:

Internet Security Days
http://isd.eco.de

datensicherheit.de, 09.09.2014
Internet Security Days 2014 am 24. und 25.09. 2014 im Phantasialand in Brühl

[datensicherheit.de, 17.09.2014] Gemeinsam mit dem Land Berlin hat Cisco heute das Internet of Everything Innovation Center openBerlin angekündigt. Ziel sei es, Innovationen sowie Entwicklungen rund um das Thema Internet of Things (IoT) und Industrie 4.0 zu beschleunigen und zu präsentieren. Dazu arbeiten im Innovation Center Kunden, Branchenpartner, Startup-Unternehmen, Experten sowie Vertreter von Behörden und Universitäten zusammen. Neben Rio de Janeiro (Brasilien), Toronto (Kanada), Songdo (Südkorea), Barcelona (Spanien) und London (England) ist Berlin einer von sechs neuen Standorten in denen Cisco ein IoE Innovation Center eröffnet.

Die offizielle Eröffnung des IoE Innovation Center ist für 2015 geplant. Cisco will dazu rund 30 Millionen US-Dollar (ca. 23 Millionen Euro) in den neuen Standort auf dem EUREF-Campus im Berliner Ortsteil Schöneberg investieren.

Cornelia Yzer, Senatorin für Wirtschaft, Technologie und Forschung des Landes Berlin wertete das Engagement von Cisco als große Anerkennung für den Standort Berlin: „Innovation und Berlin gehören zusammen. Wir sehen die Entscheidung von Cisco auch als Bestätigung für unsere strategische Weichenstellung in der Wirtschaftspolitik. Berlin hat nicht nur das Image von Kreativität und Erfindungsreichtum, sondern auch die Kraft das technologisch Mögliche in die Anwendung zu bringen und damit Referenzstadt für die Lösungen von morgen zu sein. Dafür brauchen wir starke Partner wie Cisco.“

„Deutschland ist eine Hochburg für Innovationen, insbesondere wenn es um Produktion und Logistik geht“, sagt Michael Ganser, Senior Vice President Central Europe bei Cisco. „Dies spiegelt sich auch in der Industrie 4.0-Strategie der Bundesregierung wider. Daher haben wir uns entschlossen, unser weltweites IoE Innovation Center für Produktion, Transport und Logistik in Berlin zu eröffnen. Dadurch nutzen wir die Stärken und das Potenzial des Standortes Deutschland. Mit openBerlin und seinem Ökosystem an Partnern können wir die Verbreitung von IoE in Deutschland beschleunigen.“

Wie eine aktuelle Cisco Studie belegt, ist das Potenzial in Deutschland aufgrund von gut ausgebildeten Ingenieuren und einer hohen Innovationskraft sehr hoch: Cisco schätzt, dass der potenzielle Mehrwert durch IoE für die deutsche Wirtschaft bei mehr als 900 Milliarden US-Dollar (fast 700 Milliarden Euro) liegt.

openBerlin: Plattform für Technologie-Ideen und offene Innovationen

Ein Teil des Innovation Centers ist ein Forschungs- und Entwicklungslabor (R&D Lab), in dem sowohl Branchenlösungen als auch Lösungen für spezifische Kundenanforderungen entwickelt werden. Darüber hinaus präsentiert Cisco Anwendungsbeispiele in Verbindung mit dem Internet of Everything. Zudem haben Kunden, Startups, Forscher, Unternehmer und Technologie-Experten die Möglichkeit, gemeinsam neue Ideen und Technologien zu entwickeln.

Das openBerlin Team arbeitet bereits mit einem Ökosystem aus mehr als 40 deutschen sowie internationalen Unternehmen und Organisationen zusammen. Darunter befinden sich Bosch Connected Devices and Solutions; Bosch Software Innovations und Intel, insbesondere Intels jüngst vorgestelltes, europaweites IoT Ignition Lab; das Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS; TTTech, spezialisiert auf industrieübergreifende Standards; Startupbootcamp Berlin oder element14, eine Online-Community für Ingenieure.

Berlin biete die richtige Mischung aus Experten und Infrastruktur sowie eine starke Business-, Ausbildungs- und Forschungsgemeinschaft: Laut dem McKinsey Metropolitan Report ist Berlin in punkto Innovationen die führende Stadt in Deutschland. Allein in den vergangenen zwölf Monaten wurden 500 ITK-Unternehmen gegründet, damit ist die deutsche Hauptstadt eine internationale Drehscheibe für Startups. Um intelligente Lösungen für Städte weiterzuentwickeln, wie beispielsweise den Betrieb von Häfen, geht Cisco mit weiteren deutschen Städten wie Hamburg Partnerschaften ein.

Weiter Informationen zum Thema:

datensicherheit.de, 15.05.2014
Deutschland erreicht Spitzenposition beim Einsatz von IPv6

[datensicherheit.de, 05.03.2014] Die Digitalisierung von immer mehr Lebensbereichen schreitet unaufhaltsam voran. Zunehmend werden auch Geräte und andere Gegenstände ans Netz angebunden. Das so genannte „Internet der Dinge“ bietet Unternehmen dabei auf der einen Seite eine Reihe neuer Möglichkeiten zum Beispiel zur IT-Automatisierung, Datenerfassung oder zur Erstellung von fundierten Prognosen. Auf der anderen Seite birgt es aber auch eine Vielzahl neuer Sicherheitsrisiken und Angriffsmöglichkeiten – hauptsächlich deswegen, weil die Anbindung an das Netz bei der Entwicklung vieler Geräte noch keine Rolle gespielt hatte. Entsprechende Sicherheitsvorkehrungen sind deshalb in der Regel kaum oder überhaupt nicht vorhanden.

Welche konkreten Risiken das „Internet der Dinge“ in Sachen Informationssicherheit für Unternehmen birgt und wie diese sich am Besten darauf einstellen können, präsentiert Steve Durbin, Global Vice President des Information Security Forum (ISF, www.securityforum.org), in einem kostenlosen englischsprachigen Webinar. Seine Einschätzungen und Empfehlungen basieren auf den Erfahrungen und Best Practices der weltweit mehr als 300 ISF-Mitgliedsunternehmen sowie der Forschungsarbeit des ISF.

Titel / Thema: „New technologies and the internet of things”– Wie Unternehmen sicher mit dem „Internet der Dinge“ umgehen können

Datum: Donnerstag, 13. März 2014

Uhrzeit: 15.00 – 15.45 Uhr

Sprecher: Steve Durbin, Global Vice President, ISF

Mehr zum Webinar und die Möglichkeit zur Registrierung gibt es unter www.brighttalk.com/webcast/9923/96373. Nach der Veranstaltung wird dort auch eine Aufzeichnung des Webinars zur Verfügung stehen.

[datensicherheit.de, 09.12.2013] Check Point® Software Technologies Ltd. (Nasdaq: CHKP), Anbieter im Bereich der Internetsicherheit, skizziert die 10 größten Bedrohungen und wie sich die wichtigsten Sicherheitsmaßnahmen entwickeln werden.

1. Angriffe durch Social Engineering
   Die Kombination von Social Media und gezielten E-Mails ergibt einen gefährlichen Cocktail, dies wird auch 2014 ein Thema sein, mit dem sich IT-Sicherheitsexperten beschäftigen müssen. Hacker nutzen Informationen aus Mitarbeiter-Profilen bei Linkedin oder Facebook, um ihren auserwählten Opfern gefälschte E-Mails zu schicken, die Links zu Malware enthalten. Beim Anklicken wird dann automatisch ein Virus oder Trojaner installiert und ausgeführt, so dass im nächsten Schritt der gezielte Angriff starten kann. Aktuell hält der Cryptolocker Ransomware-Angriff Unternehmen auf Trab, indem er Geschäftsdaten verschlüsselt, die nur nach Zahlung eines Lösegelds wieder freigegeben werden.
2. Interne Bedrohungen
   Das vielleicht wichtigste und vielzitierteste Beispiel ist die NSA-Affäre um den Whistleblower Edward Snowden. Unternehmen sollten daraus lernen und ihre sensiblen Daten klassifizieren und genau prüfen, wer Zugriff auf welche Daten haben sollte und wer nicht.
3. Gezielte Malware-Kampagnen
   Anlässlich des im letzten Jahr aufgedeckten Eurograbber-Angriffs müssen Unternehmen und Organisationen darauf gefasst sein, dass Hacker in Zukunft mit hochintelligenten Malware-Kampagnen arbeiten. Abgesehen haben sie es auf Geld und geistiges Eigentum, dass sie durch Manipulieren von Transaktionen stehlen. Hier geht es zur Eurograbber Story: https://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
4. Botnetze
   Botnetze sind oft der Anfang allen Übels und bleiben es auch, denn dafür ist das Geschäftsmodell viel zu lukrativ. Der 3D Security Report von Check Point zeigte Anfang des Jahres, dass von den annähernd 900 untersuchten Unternehmen bereits 63% mit einem Bot infiziert waren. 70 Prozent aller gefundenen Bots kommunizierten alle zwei Stunden mit dem Command & Control Server. Zum Check Point 3D Security Report geht es hier: http://www.checkpoint.com/campaigns/security-report/ 
5. Angriffe über BYOD
   Wenn Mitarbeiter ihre eigene IT mitbringen, stellt das das Unternehmen vor enorme Probleme. Einer Studie zu Mobile Security zur Folge gab es bei 79 Prozent der 800 befragten Unternehmen einen Sicherheitsvorfall oftmals in direkter Verbindung mit BYOD. Da mehr und mehr mobile Geräte Einzug in das Geschäftsleben halten, ist ein klarer Anstieg bei diesen Vorfällen zu erwarten. Zur Mobile Security Studie geht es hier: http://www.checkpoint.com/downloads/products/check-point-mobile-security-survey-report2013.pdf
6. Angriffe auf kritische Infrastrukturen
   Staatlich unterstütztes Cybersnooping und durch Spionage motivierte Angriffe werden weiter zunehmen. Besonders problematisch sind dabei nach wie vor Angriffe auf kritische Infrastrukturen wie Kraftwerke oder öffentliche Verkehrssysteme. Stuxnet, Flame, Gauss und Co. haben in den letzten Monaten gezeigt, was möglich ist.
7. DDoS-Angriffe
   Diese Art von Angriffen wird zunehmen, da sie in der Vergangenheit so gut funktioniert haben und sich nur wenige Webseiten davor schützen konnten. Besonders gefährlich sind Multivektor-Angriffe, die DDoS mit Account-Fälschung und Betrug kombinieren.
8. Datendiebstahl
   Hacker haben es vor allem auf Kundendaten abgesehen. Angriffe auf Adobe, Evernote, LivingSocial und andere Unternehmen haben dies wieder einmal bewiesen. Identität ist die neue Währung, daher werden Angriffe, die auf Datendiebstahl abzielen, eher zu- als abnehmen.
9. Diebstahl von Benutzerkonten
   Im Jahr 2013 haben wir eine ganze Reihe von kompromittierten Benutzerkonten gesehen, über die falsche Botschaften verbreitet wurden. Diese Art der Desinformation soll Verwirrung stiften und ist oftmals politisch motiviert. Durch die Zunahme der Bedeutung von Kurznachrichtendiensten wie Twitter werden auch Benutzerkonten häufiger Opfer von Angriffen.
10. Angriffe auf Smart Home-Systeme
    Immer mehr Gegenstände des Alltags werden mit dem Internet verbunden. Mit dieser Entwicklung einhergehend wird auch der Hackerangriff in den eigenen vier Wänden realistischer. Schwachstellen werden gesucht und gefunden, tägliche Lebensmuster ausgehorcht und ausgenutzt.

Nach den 10 größten Gefahrenquellen für die IT-Sicherheit in 2014,  folgt nun ein Blick auf die Weiterentwicklung der wichtigsten Sicherheitsmaßnahmen für 2014:

Einheitliche Sicherheitskonzepte, einschichtige Sicherheitsarchitekturen und Multi-Vendor-Lösungen werden nicht mehr effektiv genug sein, daher werden Hersteller mehr und mehr dazu übergehen Sicherheitslösungen aus einer Hand anzubieten.

Big Data Security
Große Datenmengen bieten ebenfalls große Möglichkeiten zur Bedrohungsanalyse, sie ermöglichen das Erkennen von Mustern von neuen aber auch älteren Bedrohungen. Sicherheitslösungen werden diese Daten verarbeiten und genau diese Analyse leisten können.

Verstärkte Zusammenarbeit bei Bedrohungsszenarien
Sicherheitsanbieter und Unternehmen werden zu der Erkenntnis gelangen, dass nur ein gemeinsames Handeln ein vollständiges Bild der Bedrohungslandschaft liefert. Daher ist es wichtig, zusammenzuarbeiten und Wissen über Bedrohungen auszutauschen, um sich optimal zu schützen. Dies wird zu Partnerschaften zwischen Sicherheitsanbietern und Kunden führen, um Lösungen aktuell zu halten und um Systeme vor den neuesten Bedrohungen zu schützen.

Cloud-Konsolidierung
Cloud Services werden in der Zukunft das Mittel der Wahl zur Übermittlung von großen Datenmengen werden. Gerade auch sensible Informationen über aktuelle Angriffe können über die Wolke mit Sicherheitsanbietern geteilt werden, um bisher nicht betroffene Unternehmen  zu informieren und zu schützen.