Von unserem Gastautor Andreas Philipp, Business Development Manager bei PrimeKey

[datensicherheit.de, 29.06.2020] In einer vernetzten Produktionsumgebung sorgen vertrauenswürdige digitale Identitäten dafür, dass sich die einzelnen Komponenten und Systeme (Geräte) gegenseitig „kennen und vertrauen“. Was bedeutet es jedoch genau, „dass einer Geräteidentität vertraut werden kann“ und spielt es eine Rolle, wann und wie diese Identität für das Gerät ausgegeben wurde?

Die Antwort ist einfach: Die Identität muss natürlich in einem gesicherten Prozess und vorzugsweise während der Produktion ausgestellt werden. Während der Produktion werden mehrere Komponenten verbunden, und es entsteht ein fertiges Endprodukt, zum Beispiel ein Gerät. Zu diesem Zeitpunkt hat dieses seine endgültigen Eigenschaften. Damit kann nun auch die Produktidentität definiert werden. Eine vertrauenswürdige Identität ermöglicht eine sichere Lieferkette für das Gerät und eine gesicherte Kommunikation in verbundenen Produktionsumgebungen oder anderen IoT (Internet of Things)-Implementierungen.

Andreas Philipp, Business Development Manager, Bild: Primekey

Wie sieht dies in der Praxis aus? In einer Fabrik werden beispielsweise Steuergeräte für automatisierte Produktionsmaschinen hergestellt. Diese Steuereinheiten werden in mehreren Varianten produziert, eine mit einem zusätzlichen Erweiterungsmodul und eine ohne. Ob es sich um eine Steuerung mit oder ohne Erweiterung handelt, wird während des Produktionsprozesses festgelegt. Sowohl die Steuerung als auch die Erweiterung haben ihre eigene digitale Identität über eine Seriennummer und andere Attribute aus der Produktion dieser Komponenten. Es könnte sogar so sein, dass der Controller und die Zusatzteile mit einem TPM (Trusted Platform Module) oder Secure Element (SE) ausgestattet sind, bei denen kryptographische Schlüssel und Zertifikate, die ihre Identitäten festlegen, bereits während des Produktionsprozesses dieser Komponenten ausgegeben wurden. Auf den ersten Blick scheint dies für die Identifizierung dieses Produkts ausreichend zu sein, aber es gibt einen Haken: Diese Identitäten beschreiben nur die einzelnen Komponenten im Produkt. Es ist jedoch zwingend notwendig, eine weitere Identität pro Produkt auszustellen, die das komplette Produkt abbildet, während es an der Produktionslinie montiert wird.

Anpassung bewährter IT-Sicherheitsverfahren für verbundene Produktionsumgebungen

Die Public Key Infrastructure (PKI) wird seit Jahrzehnten als Best Practice für die Ausgabe und Verwaltung digitaler Identitäten in IT-Umgebungen eingesetzt. Sie hat sich inzwischen als die flexibelste und skalierbarste Lösung im Zusammenhang mit verbundenen Produktionsumgebungen, Industry 4.0 oder IIoT (Industrial Internet of Things), erwiesen. Eine PKI wird in der Regel als eine Hierarchie von CAs (Certificate Authorities) aufgebaut, die Zertifikate für untergeordnete CAs und für „Endverbraucher“ ausstellen, bei denen es sich um einen Nutzer, einen Server oder, wie im obigen Beispiel, um eine Steuereinheit handeln kann, die gerade produziert wird. Wenn ein Mitarbeiter eine digitale Identität in Form eines Zertifikats benötigt, um zum Beispiel über VPN auf das Unternehmensnetzwerk zugreifen zu können, fordert er das Zertifikat bei der Registration Authority (RA) an. Nachdem die Identität validiert wurde (gemäß der Firmenpolitik), wird das Zertifikat von der Zertifizierungsstelle erstellt und dem Nutzer zur Verfügung gestellt. Wenn der Nutzer versucht, auf das Firmennetzwerk zuzugreifen, wird er aufgefordert, seine Identität vorzulegen, und der Authentifizierungsprozess wird ausgeführt, einschließlich einer Validierung der Gültigkeit der Identität.

Ausstellung von Identitäten für Produkte in der Fertigung

Um mit einer Lösung für die Ausgabe digitaler Identitäten für Produkte in der Produktion erfolgreich zu sein, müssen Unternehmen in der Lage sein, den Registration Authority Prozess anzupassen und in bestehende Prozesse und Abläufe zu integrieren.

Die RA muss Teil der Produktionslinie sein, und die Identitätsüberprüfung muss implementiert werden, um die Sicherheitsrichtlinien des Unternehmens zu unterstützen. Der Prozess des Vergleichs und Abgleichs der Identitätsinformationen der Geräte, wie zum Beispiel MAC-Adressen, Motor-Identifikationsnummern oder ähnliche, muss in Fertigungsinfrastruktur-Systemen wie MES (Manufacturing Execution System), PLM (Product Lifecycle Management) oder ERP (Enterprise Resource Planning) integriert werden. Die Fertigungsumgebung stellt ebenfalls hohe betriebliche Anforderungen an Verfügbarkeit und Zuverlässigkeit. Daher muss unter anderem berücksichtigt und unterstützt werden, wie im Falle eines Ausfalls oder Fehlers reagiert werden muss, welche Protokollinformationen aufgezeichnet werden sollten und wann.

Kurz gesagt, die lokale Registration Authority muss sich an die bestehenden Produktionsprozesse, Schnittstellen und Datenstrukturen anpassen lassen, die durch die bestehende Produktionsumgebung definiert sind. Der Identity Authority Manager von PrimeKey bietet diese Flexibilität. Die IPC-basierte Appliance bietet eine RA, die verschiedene Geräteadapter und eine Prozessmodellierungsumgebung umfasst, um eine vertrauenswürdige Identitätsprüfung und -ausgabe in der Fertigung zu ermöglichen.

Adaptieren von Abläufen und Aktivieren weiterer Sicherheitsparameter

Eine softwarebasierte Lösung ermöglicht es Herstellern, die Identitätsfeststellung in den Produktionsprozess zu integrieren. Mit dieser lokalen Registration Authority kann die Produktionsorganisation ihren Herstellungsprozess adaptieren und modellieren, während gleichzeitig das Sicherheitsniveau für das Erstellen der Geräteidentität gewahrt bleibt.

Das Konzept des Local Registration Point kann auch andere Sicherheitsservices implementieren. Dazu gehören Code Signing, also das Signieren von Software und Patches, um Manipulation zu verhindern. Endgeräte mit den entsprechenden Zertifikaten und Identitäten können somit Software-Updates und Lizenzen auf ihre Integrität und Authentizität hin überprüfen. Dies verhindert Produktplagiate und ermöglicht eine sichere Rückverfolgbarkeit von Komponenten und Produkten, das heißt eine vertrauenswürdige Kommunikations- und Lieferkette.

Security-Appliance, Bild: Primekey

Eine Security-Appliance für ein Public Key Infrastructure: Hersteller können mit den Identity Authority Manager – Industrial von PrimeKey ihren Erzeugnissen im Fertigungsprozess digitale Identitäten eindeutig zuweisen

Weitere Informationen zum Thema:

PrimeKey
Unternehmenswebsite

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

Von unserem Gastautor Jörg Vollmer, General Manager Field Operations DACH bei Qualys

[datensicherheit.de, 17.02.2020] Industrie 4.0 zeichnet einen neuen Produktionstyp aus, welcher durch Digitalisierung und Vernetzung geprägt ist. Um die Zuverlässigkeit der Systeme und den Schutz sensibler Unternehmensinformationen zu gewährleisten, muss ein hohes Niveau an IT-Sicherheit vorhanden sein. Cyberangriffe können ganze Wertschöpfungsprozesse lahmlegen, welche oftmals durch steigende Vernetzung global organisiert sind. Im Jahr 2014 erlitt ein deutsches Stahlwerk schweren Schaden, initiiert durch einen Spear-Phishing-Angriff und Social Engineering, wodurch in die IT- und Produktionsnetzwerke eingedrungen wurde. Die Angreifer erlangten die Kontrolle über die Anlagenausrüstung. In der Folge kam es zu Ausfällen von Steuerungskomponenten oder ganzer Maschinen. Das führte dazu, dass ein Hochofen ungeregelt abgeschaltet werden musste und sich in einem „undefinierten Zustand“ befand, wodurch die Anlagen massiv beschädigt wurden.

Bild: Qualys

Jörg Vollmer, General Manager Field Operations DACH bei Qualys

Im Jahr 2018 kam es bei 74 Prozent der OT-Organisationen zu einem Datenverlust durch eine Malware-Attacke. OT wird in kritischen Branchen wie der Energie-, Versorgungs- und Ölindustrie eingesetzt und Schwachstellen können ökologische Schäden verursachen. Nicht nur die Produktivität, sondern auch die Sicherheit von Menschen kann durch solche Attacken gefährdet werden.

Aufgrund der jüngsten Annäherung von IT und OT erkennen 97 Prozent der Unternehmen, die industrielle Steuerungssysteme einsetzen, die Herausforderungen im Bereich Cyber-Sicherheit an. Es gibt auch positive Nachrichten, denn die SANS OT/ICS-Sicherheitsumfrage 2019 zeigt auf, dass mehr OT-Unternehmen einen proaktiven und präventiven Ansatz verfolgen und Strategien für die Cyber-Sicherheit entwickeln, jedoch sind die Zahlen weiterhin gering.

Global Cyber-Security Alliance for Operational Technology – OTCSA

IT und OT wachsen mehr und mehr zu einer Einheit zusammen. Das verspricht mehr Effizienz und die Erschließung neuer Geschäftsmodelle. Als Basis hierzu dienen die digitale Massentransformation und das industrielle Internet der Dinge (IIoT). Jedoch bietet die erhöhte Konnektivität zunehmende Einfallstore für Angreifer. Die Sorge um die OT-Bedrohungen hat Unternehmen auf der ganzen Welt dazu veranlasst, die Operational Technology Cyber Security Alliance (OTCSA) zu gründen. Sicherheitsansätze, die bisher als das Maß aller Dinge angesehen wurden, müssen grundlegend überarbeitet werden. Die OTCSA soll OT-Betreibern und Lieferanten mit Ressourcen und Anleitungen versorgen, um Cyberrisiken zu mindern. Vor allem geschieht dies durch Prozessrichtlinien für OT-Betreiber und Lösungsanbieter. Diese Richtlinien decken den gesamten Lebenszyklus ab, von der Beschaffung, Entwicklung und Installation über den Betrieb bis hin zur Wartung sowie Stilllegung von Maschinen. Betroffen sind Aspekte in Bezug auf Menschen, Prozesse und Technologien.

Die fünf Säulen der OTCSA-Mission

Die OTSCA verfolgt in ihrer Mission fünf grundlegende Kernziele. Die Stärkung der cyber-physischen Risikohaltung von OT-Umgebungen und Schnittstellen für die OT/IT-Vernetzung hilft Unternehmen, die richtige Entscheidung zu treffen, wie das firmeneigene Netz physisch abgesichert werden sollte und welche Alternativen in der Betrachtung sinnvoll sind.

Desweiteren bietet die Organisation Anleitungen für OT-Betreiber zum Schutz ihrer Infrastruktur auf der Grundlage eines Risikomanagementprozesses und Referenzarchitekturen beziehungsweise Referenzdesigns an. Auch stellt die Allianz Guidelines von OT-Lieferanten zu sicheren OT-Systemarchitekturen, relevanten Schnittstellen und Sicherheitsfunktionalitäten zur Verfügung. Das soll gewährleisten, dass der gesamte Produktionsprozess, also die ganzheitliche Wertschöpfungskette des industriellen Unternehmens abgesichert wird. Durch die Zunahme an IoT-Geräten in der Industrie ist es notwendig, sämtliche Schnittstellen und Einfallstore abzusichern.

OTCSA unterstützt entsprechend auch bei Beschaffung, Entwicklung, Installation, Wartung und Implementierung einer sichereren kritischen Infrastruktur. So wird sichergestellt, dass die Sicherheitsmodule korrekt installiert, aber auch betrieben werden. Zuletzt hilft der Zusammenschluss, neue, sicherere und kritische Infrastrukturen schneller zu implementieren. Das kann einen Wettbewerbsvorteil erzeugen. Es wird demnach angestrebt, eine ganzheitliche Unterstützungs- und Beratungsleistung anzubieten, um OT-Unternehmen in ihrer Entscheidungsfindung im Cybersicherheitsbereich zu begleiten.

Fazit

Die zunehmenden Angriffe auf Unternehmen der Industrie führen zu erheblichen Schäden. Besonders der Risikoanalyse jeder einzelnen Firma sollte daher besondere Beachtung geschenkt werden. Durch die Allianz in der OTCSA können gemeinsame Erfahrungswerte berücksichtigt werden. Viele der Mitglieder der Organisation wollen zur Zukunft der Cybersicherheitsindustrie beitragen. Es ist mit Blick auf das neue Jahrzehnt notwendig, dass OT-Organisationen die Anzahl der Bedrohungen, mit welchen sie täglich konfrontiert sind, ernst nehmen. Durch den Zusammenschluss in der OTCSA können Gefahren eingeschätzt und reduziert werden. Das betrifft neben ökologischen Schäden, die Produktivitätsunterbrechungen und das Risiko von Todesfällen von Mitarbeitern. Zu den Gründungsmitgliedern der OTCSA gehören neben Qualys auch ABB, Check Point Software, BlackBerry Cylance, Forescout, Fortinet, Microsoft, Mocana, NCC Group, SCADAFence, Splunk und Wärtsilä.

Weitere Informationen zum Thema:

datensicherheit.de, 10.09.2019
Internet-Protokoll: 4 hat fertig – ohne 6 geht es nicht

datensicherheit.de, 06.09.2019
Sichere Pfade zur Industrie 4.0: Vor der Transformation analoge Welt aufräumen

datensicherheit.de, 27.08.2019
Projektmanagement 4.0: Die Symbiose aus klassisch und agil

datensicherheit.de, 20.08.2019
Industrie 4.0 mit Sicherheit: Ziele definieren und Prioritäten setzen

datensicherheit.de, 31.01.2015
Cluster Industrie 4.0: Sicherheit 4.0 zur Bewältigung der Herausforderungen und Risiken

[datensicherheit.de, 27.02.2019] In einer aktuellen Stellungnahme geht Nisarg Desai, GlobalSign, auf eine Studie des Beratungsunternehmens MarketsandMarkets ein, welches kürzlich seine Prognosen für den Markt der vernetzten Landwirtschaft unter dem Titel „Connected Agriculture Market Global Forecast to 2023“ veröffentlicht hat. Dieser Markt hat demnach in den letzten Jahren mit einem Volumen von 1,78 Milliarden US-Dollar bereits im Jahr 2018 ein gewaltiges Wachstum hingelegt. Bis zum Jahr 2023 soll er laut den MarketsandMarkets-Analysen auf insgesamt 4,31 Milliarden US-Dollar anwachsen.

Agrar-Prozesse effizienter gestalten

Desai: „Die Agrarwirtschaft hat einige besonders komplexe Probleme zu lösen, und das vor den Augen einer wachsamen Weltöffentlichkeit. Probleme, die sich nicht im Alleingang lösen lassen. Konzertierte Aktionen von Ländern, Organisationen und Gruppen sind gefragt.“
Innovative Technologien wie das Internet der Dinge (IoT) machten einen entscheidenden Unterschied. Das IoT habe die Situation der Agrarindustrie „an vielen Fronten verbessert, wenn es darum geht, Prozesse über den gesamten Lebenszyklus hinweg effizienter zu gestalten“. Vernetzte Lösungen erlaubten es, Daten von zahlreichen verschiedenen Geräten einzusammeln, zusammenzuführen und zu analysieren. „Und das so gut wie in Echtzeit“, so Desai.

Digitale Transformation ersetzt traditionelle Methoden und Prozesse

Die Lösungen böten etliche Vorteile und hätten den Bedarf steigen lassen. Das spiegele sich auch in den Ergebnissen des „Connected Agriculture Market Forecast“. Die Digitale Transformation habe traditionelle Methoden und Prozesse durch moderne Technologien ersetzt.
Den größten Anteil in diesem Wachstumsmarkt teilten sich die Produktionsplanung und das Management (42 %), der Bereich der Geräteverwaltung (ebenfalls 42 %) sowie der Bereich Integration und Implementierung mit 35 %. „Es nimmt also nicht Wunder, dass sich einige der weltgrößten Anbieter von Informationstechnologien in diesem Segment tummeln und ihn ihrerseits anheizen“, sagt Desai.
Die Agrarindustrie verfüge tatsächlich schon sehr lange über halbautomatisierte landwirtschaftliche Prozesse, und Autonome Fahrzeuge hätten auf den Feldern lange vor dem „heutigen pseudo-selbstfahrenden Auto“ existiert. Es gebe verschiedene „vernetzte“ Initiativen, „die heute schon im Einsatz sind – von der Bodenüberwachung bis hin zu Bewässerungssensoren“.

IoT-Einsatz am Beispiel Viehzucht

Beispielsweise lasse sich so der Gesundheitszustand von Rindern überwachen. „Mit Tracking-Halsbändern kann man den Standort der Tiere in Echtzeit ausfindig machen“, erläutert Desai. Dann könne ein Speichersystem die Daten in einer Datenbank aufzeichnen, um letztendlich ein Basismodell ihrer Bewegungen innerhalb eines gegebenen Zeitraums zu bilden.
„Wenn man intelligente Algorithmen auf diese Muster anwendet, helfen sie zu erkennen, ob die Bewegungen des Viehs unregelmäßig sind, oder ob ein oder mehrere Tiere von der Herde separiert sind. Das passiert normalerweise, wenn sie krank oder verletzt sind. So eine Lösung kann problemlos mit kleinen IoT-Trackern realisiert werden, die über ein IoT-Netzwerk wie Wi-SUN oder andere WANs kommunizieren.“ Diese Daten würden dem Landwirt oder Viehzüchter über ein Webportal oder eine Smartphone-App zugänglich gemacht. Das erleichtere es ihm, die Informationen zu verarbeiten.

Feld- sowie Bodenüberwachung und Steuerung der Bewässerung

Ein weiterer Einsatzbereich für das IoT in der Landwirtschaft sein Drohnen zur Verbesserung der Pflanzengesundheit. Desai: „Die Drohnen-Gruppen sind in einer Basisstation untergebracht, von der aus sie automatisierte, periodische Patrouillen durchführen, um Bilddaten über die Pflanzen zu erfassen. Mit Computer-Vision/Bilderkennungsalgorithmen kann man feststellen, welche Flächen auf einem Betrieb beeinträchtigt sind. Markierte Bilder werden mit dem Drohnen-GPS korreliert und liefern genau lokalisierte Informationen. Sie werden auf der Basis verschiedener Drohnen-Aufnahmen verarbeitet, analysiert und dem Landwirt gemeldet, der dann Maßnahmen ergreifen kann, um Abhilfe zu schaffen.“
Das sogenannte „Precision Farming“ (Präzisionsackerbau) sei ein weiterer Bereich, in dem der Einsatz von verbundenen Sensoren steil nach oben gehe. Die Geräte würden sich sogar allmählich beim Endverbraucher durchsetzen. Batteriebetriebene Fern-Bodensensoren sammelten Daten über den Stickstoffgehalt und meldeten diese Werte periodisch.
Desai benennt ein weiteres Beispiel: „Bewässerungssensoren messen den Wasserstand und informieren automatisch das Bewässerungs- und Berieselungssystem. Flutsensoren überwachen und steuern automatisch den Wasserstand. Gleichzeitig senden sie eine Benachrichtigungs-E-Mail an eine vorgegebene Adresse. Und schließlich erfasst ein Frostsensor, wenn Wetterbedingungen zu Frost führen, der empfindlichen Pflanzen möglicherweise schädigt…“

„Schöne neue IoT-Welt“: Sicherheit als Designprinzip!

„Schon die wenigen hier skizzierten Anwendungsfälle illustrieren, wie sehr die Agrarindustrie von den neuen vernetzten Technologien profitiert. ,Smart Agriculture‘ automatisiert manuelle Prozesse und setzt die nötigen Praktiken mit nur minimalen Eingriffen eines Benutzers um. Genau das macht die Anwendungen aber zu einer leichten Beute für jeden Angreifer“, warnt Desai. Diese Systeme würden häufig in nicht überwachten Netzwerken betrieben: „Versuchte oder sogar erfolgreiche Sicherheitsverletzungen werden also nicht gemeldet.“
Die Landwirtschaft sei zudem ein Sektor, „der traditionell nicht unbedingt als erstes an Cyber-Sicherheit denkt“. Wenn neue Anforderungen entstehen und entsprechende Lösungen entwickelt werden, fehlen laut Desai meistens die Sicherheitskonzepte. „Man kann sich vorstellen, dass Hacker sich leicht Zugang zu Bewässerungssteuerungssystemen einer Anlage verschaffen, diese böswillig manipulieren oder Lösegeld fordern, um die Steuerung wieder freizugeben. Die Verabreichung von Pestiziden, die sorgfältig kontrolliert werden, kann manipuliert werden, ohne dass der Landwirt davon weiß.“ Schlussendlich ließen sich die mit dem Internet verbundenen Systeme dazu verwenden, Zugang zu anderen vernetzten Systemen von Drittanbietern zu erlangen und letztendlich Teil eines Bot-Netzes zu werden. Die Wege und Motive für einen Angriff seien vielfältig.
Die Verantwortung für die Selbstregulierung und das Einhalten von „Best Practices“ beim Thema Sicherheit, wenn nicht sogar von Sicherheitsstandards, liege bei den Herstellern der sogenannten smarten Geräte. „Dazu muss man das Rad nicht neu erfinden. Man sollte Sicherheitsmethoden nutzen, die sich bewährt haben, sich mit Sicherheitsexperten dazu austauschen und Sicherheit als Designprinzip zur grundlegenden Komponente einer Lösung machen.“ Eine Public-Key-Infrastructure funktioniere „wie ein Schweizer Taschenmesser“ – sie helfe, Geräte zu identifizieren, mache die Kommunikation abhörsicher und schütze vertrauliche Daten und Informationen. Verschlüsselung und sicheres Schlüsselmanagement schafften zusätzlich eine „solide Sicherheitsgrundlage, die auf starker Identität, Authentifizierung und Vertrauen basiert“.

Sicherheit und Schutz sensibler Daten in jedem Stadium gefordert

„Die Ausstattung landwirtschaftlicher Geräte und deren Implementierung werden für ein riesiges IoT-Ökosystem sorgen.“ Man brauche nicht viel Phantasie um zu prognostizieren, „dass die Ära der vernetzten Landwirtschaft von Cyber-Angriffen begleitet sein wird“.
Die Grundlage vieler Staatshaushalte sei nicht zuletzt die landwirtschaftliche Produktion. Für alle Beteiligten sollten Sicherheit und der Schutz sensibler Daten in jedem einzelnen Stadium des Lebenszyklus der Geräte und der gesamten Produktions- und Lieferkette an oberster Stelle der Prioritätenliste stehen, so Desais Fazit.

Weitere Informationen zum Thema:

MARKETS AND MARKETS
Connected Agriculture Market … – Global Forecast to 2023

datensicherheit.de, 03.08.2018
Internet der Dinge: Aufbau sicherer Systeme

[datensicherheit.de, 20.11.2018] Im kommenden Jahr werden sich Bedrohungsakteure im APT-Bereich (Advanced Persistent Threat oder fortgeschrittene, andauernde Bedrohung) in zwei Gruppen aufteilen: Neben den herkömmlichen, gut ausgerüsteten und sehr erfahrenen Angreifern werden tatkräftige, noch unerfahrene Einsteiger das APT-Spielfeld betreten. Laut der Prognose von Kaspersky Lab über die Bedrohung zielgerichteter Attacken für das Jahr 2019 [1] wird jedoch die erstgenannte Gruppe die größere Herausforderung für Unternehmen sein. Der Grund: noch raffiniertere Techniken, die immer schwerer erkenn- und attribuierbar sein werden.

Die Kaspersky-Mitarbeiter ziehen für ihre jährliche Cybersicherheitsvorhersage die im Laufe des Jahres gewonnenen Erfahrungen und Ergebnisse sowie die Vorhersagen des Global Research and Analysis Teams (GReAT) bezüglich zielgerichteter Angriffe heran. Zusammen mit einer Reihe weiterer Prognosen zur Bedrohungslandschaft für Industrie und Technologie können sich Unternehmen und Organisationen aus digitalisierten Branchen damit gegen die sicherheitstechnischen Herausforderungen der nächsten zwölf Monate wappnen.

Kaspersky-Prognose: Keine weiteren großen APT

Nachdem die Cybersicherheitsindustrie in den vergangenen Jahren einige komplexe, staatlich unterstütze Operationen aufdecken konnte, gehen die Experten von Kaspersky Lab davon aus, dass sich die Bedrohungsakteure tendenziell in den Untergrund zurückziehen werden; so bleiben sie unter dem öffentlichen Radar und minimieren das Risiko, entdeckt zu werden. Ausgestattet mit genügend Ressourcen dürften die Akteure in der Lage sein, ihre Toolkits und Praktiken weiter zu verfeinern, was die Erkennung und Attribuierung extrem erschwert.

„Im Jahr 2018 haben Bedrohungsakteure einen Paradigmenwechsel ausgelöst“, erklärt Vicente Diaz, Sicherheitsforscher bei Kaspersky Lab. „Die öffentliche Wahrnehmung ist gewachsen und Untersuchungen durch Experten haben umfassende Cyberoperationen ans Licht der Öffentlichkeit gebracht. Das wird zu einem Wandel der Cyberlandschaft führen: Erfahrene Bedrohungsakteure scheuen die Aufmerksamkeit und werden den Untergrund aufsuchen, was ihre Erfolgswahrscheinlichkeit erhöht. Damit wird aber auch die Aufdeckung neuer, groß angelegter und raffinierter Operationen sehr unwahrscheinlich und die Kunst der Erkennung und Attribuierung muss definitiv ein neues Niveau erreichen.“

Dieser neue Ansatz umfasst höchstwahrscheinlich auch die Entwicklung von Tools, die sich gegen Netzwerk-Hardware richten. Opfer werden so über eine Kernkomponente der Vernetzung angegriffen und Bedrohungsakteure können ihre Aktivitäten neu fokussieren: auf Angriffe über verborgene Botnetze oder andere hinterhältige Attacken gegen ausgewählte Ziele.

Weitere Vorhersagen für zielgerichtete Angriffe im Jahr 2019:

• Attacken auf Zulieferketten bleiben bestehen: Sie gehören zu den gefürchtetsten und erfolgreichsten Angriffsvektoren der vergangenen zwei Jahren. Auch im Jahr 2019 werden Zulieferer ein effektiver Angriffsvektor bleiben.
• Mobile Malware ist weiterhin ein Thema: Bei vielen Bedrohungsakteuren ist mobile Malware ein Teil der Angriffskampagne, um möglichst viele potenzielle Opfer zu erreichen. Auch wenn hier keine großen Ausbrüche zu erwarten sind, werden erfahrene Angreifer nach neuen Wegen zum Zugriff auf die Geräte ihrer Opfer suchen.
• IoT-Botnetze werden unaufhaltsam weiterwachsen: Diese Warnung wird Jahr für Jahr wiederholt, sollte aber keinesfalls unterschätzt werden. Denn je mächtiger IoT-Botnetze werden, desto verheerender kann ihre Wirkung sein, sofern sie in falsche Hände geraten.
• Spear-Phishing wird an Bedeutung gewinnen: Verschiedene Angriffe auf Soziale Netzwerke wie Facebook, Instagram, aber auch LinkedIn und Twitter haben einen Marktplatz für gestohlene Daten eröffnet. Die jüngsten, großen Datenlecks bei etlichen Sozialen Medien können Angreifern helfen, Spear-Phishing-Attacken noch für Angreifer erfolgversprechender zu gestalten.
• Neue APT-Akteure betreten die Bühne: Während die bereits längere Zeit aktiven APT-Akteure eher abtauchen dürften, werden neue Spieler das Feld betreten, denn die Hürden dafür waren noch nie so niedrig. Denn der Markt mit hunderten effektiver Tools, re-engineerten, geleakten Exploits und allen Arten von Frameworks ist reich bestückt und steht jedem offen. Neue Akteure sind vornehmlich in Südostasien und im Nahen Osten zu erwarten.
• Öffentliche Gegenreaktionen: Die Erkenntnisse über denkwürdige Angriffe in letzter Zeit, etwa auf Sony Entertainment Network oder die Demokratische Partei in den USA, haben die Frage nach Gerechtigkeit und Bloßstellung der Bedrohungsakteure stärker in das Zentrum öffentlicher Auseinandersetzung gerückt. Die Empörung könnte weltweit den Ruf nach mehr und ernsthafteren diplomatischen Konsequenzen laut werden lassen.

Die Vorhersagen von Kaspersky Lab sind nach eigenen Angaben nur durch die weltweiten Kaspersky Lab Threat Intelligence Services möglich.

Weitere Informationen zum Thema:

[1] https://securelist.com/kaspersky-security-bulletin-threat-predictions-for-2019/88878/

[2] https://reprints.forrester.com/#/assets/2/1490/RES143275/reports

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

[datensicherheit.de, 09.10.2018] Die digitale Vernetzung macht Wirtschaft, Staat und Gesellschaft angreifbar – wie der jüngste Hack von 50 Millionen Facebook-Konten wieder einmal belegte. Über Strategien und neue technische Lösungen zum Schutz vor Cyberkriminalität informieren vom 9. bis 11. Oktober 696 Aussteller* (2017: 630) aus 27 Ländern (24) auf der Fachmesse it-sa 2018. Die weltweit ausstellerstärkste Messe zum Thema IT-Security findet dieses Jahr zum zehnten Mal im Messezentrum Nürnberg statt. Israel, die Niederlande und die Tschechische Republik demonstrieren die Kompetenz der jeweiligen IT-Sicherheitsindustrie mit eigenen Gemeinschaftsständen.

Foto: Carsten J. Pinnow

v.l.n.r.: Thomas Philipp Haas, Frank Venjakob, Andreas Könen, Arne Schönbohm, Susanne Dehmel

In fünf offenen Foren informieren rund 350 Vorträge und Diskussionsrunden Entscheider und Experten über organisatorische und rechtliche Aspekte, technische Fragen und Produkte. Neu ist das internationale Forum mit englischsprachigen Vorträgen. Seit 2012 findet parallel zur Messe Congress@it-sa statt. Das Kongressprogramm informiert zu aktuellen Entwicklungen und setzt dieses Jahr mit 20 teils mehrtägigen Vortragsreihen ebenfalls neue Bestmarken. Zu den Höhepunkten zählt die Verleihung des Deutschen IT-Sicherheitspreises und das neue Start-up-Format UP18@it-sa, das bereits gestern stattfand.

„Die neue Bestmarke von 696 Ausstellern, zweistellige Zuwachsrate auch in der Ausstellungsfläche und ein noch umfangreicheres Rahmenprogramm machen die it-sa 2018 größer und internationaler denn je – und zur führenden Plattform für den intensiven Dialog zum Thema Cybersicherheit“, so Frank Venjakob, Executive Director it-sa, NürnbergMesse. „Die konstante Entwicklung der it-sa seit ihrer Premiere 2009 spiegelt die Dynamik der IT-Sicherheitsbranche wider. So beteiligen sich heute in den Hallen 9, 10.0 und 10.1 doppelt so viele Aussteller wie noch vor fünf Jahren in der Halle 12.“

Weitere Informationen zum Thema:

datensicherheit.de, 08.10.2018
it-sa 2018: Zunehmende Bedeutung des Rahmenprogramms

datensicherheit.de, 05.10.2018
it-sa 2018: 10. Expertentreffen der IT-Sicherheitsbranche in Nürnberg

datensicherheit.de, 04.10.2018
Trendbarometer: IT-Sicherheitsbranche erwartet weiterhin Wachstum

datensicherheit.de, 10.09.2018
Gemeinschaftsstände auf der it-sa 2018: Israel, Niederlande und Tschechien

datensicherheit.de, 02.08.2018
it-sa 2018: Paula Januszkiewicz hält Special Keynote am 11. Oktober / International bekannte IT-Sicherheitsexpertin gibt Tipps zur besseren Absicherung von IT-Systemen

datensicherheit.de, 02.08.2018
NürnbergMesse: Rund 700 internationale Aussteller zur it-sa 2018 erwartet / Mit fünf offenen Foren und rund 350 Beiträgen soll auch das Vortragsprogramm neue Maßstäbe setzen

datensicherheit.de, 28.06.2018
UP18@it-sa: Neues Veranstaltungsformat am Vortag der it-sa 2018 / Der erste Wettbewerb ausschließlich für IT-Security-Start-ups

Von unserem Gastautor John Grimm, Senior Director of IoT Security bei Thales eSecurity

[datensicherheit.de, 24.08.2018] Ein Patient wird in den Warteraum gerollt. Eine Routine-OP steht an. Eine Pflegerin nimmt die Vitalparameter auf und überprüft ob wirklich alles in Ordnung ist. Plötzlich scheint etwas nicht zu stimmen. Aufgeregt rennt das Personal hin und her, Aufnahmepläne werden gecheckt und medizinische Geräte neu eingestellt. Ganz offensichtlich ist ein Medikament in der falschen Dosierung verabreicht worden.

Szenen wie in einem Science Fiction Film

Das mag wie eine Szene aus einem Science Fiction Film anmuten. Inzwischen aber wissen wir zur Genüge, dass Schwachstellen in medizinischen IoT-Geräten nur allzu real sind. Es ist kein großes Geheimnis, dass ein vernetztes Gesundheitswesen den Weg frei macht für eine bessere Versorgung, zufriedenere Patienten und es nicht zuletzt Kostensenkungen im gebeutelten Gesundheitswesen erlaubt. In den Technologien für ein vernetztes Gesundheitswesen liegt ganz sicher die Zukunft der Branche. Der Wunsch, diese Entwicklung möglichst rasch voranzutreiben und die damit verbundenen Vorteile zu nutzen ist also nur zu verständlich. Allerdings gilt es, dieses Bedürfnis mit einem pragmatischen Blick auf die potenziellen Risiken zu verbinden. Und damit gleichzeitig für die Sicherheit der Patienten ebenso zu sorgen wie für die Sicherheit ihrer persönlichen Informationen. Ob man an Elektronische Patientenakten (EHR) denkt, an die Möglichkeit Ferndiagnosen zu stellen bis hin zum kompletten Lifestyle-Management und zu Monitoring-Anwendungen: Das Internet der Dinge (IoT) hat die Medizin in die Zukunft katapultiert und die Situation für Krankenhäuser, Mediziner und die Hersteller von medizintechnischen Geräten gleichermaßen verändert.

Anbieter der entsprechenden Geräte bemühen sich die operationale Effizienz solcher Anwendungen zu verbessern und wenn man so will ein „persönlicheres“, stärker individualisiertes Gesundheitswesen zu ermöglichen. Das hat sich sehr schnell im Markt für Connected Health niedergeschlagen. Schätzungen gehen davon aus, dass dieser Markt schon im Jahr 2024 ein Volumen von rund 612 Milliarden US-Dollar erreicht. Damit das neue, weitgehend technologiegetriebene Gesundheitswesen funktioniert, braucht man interoperable Systeme mit denen man in der Lage ist ein umfassendes digitales Ökosystem aufzubauen. Die größte Herausforderung liegt darin Geräte und Systeme unterschiedlicher Anbieter miteinander zu verbinden. Geräte und Systeme, die vorher kaum oder gar nicht vernetzt waren. Hier liegt die Gefahr unerwarteter oder schwer vorherzusehender blinder Flecke. Es geht primär darum Informationen schneller auszutauschen, bessere Analysen und Ergebnisse zu erzielen. Das kann zu unbeabsichtigten Risiken für den Datenschutz oder die Sicherheit der Patienten selbst führen.

Elektronische Patientenakten: Der virtuelle Plan im Gesundheitswesen

Wir haben uns inzwischen schon an Datenschutzverletzungen im Einzelhandel gewöhnt. Cyberattacken, die sich gegen Systeme und Unternehmen im Gesundheitswesen richten, sind demgegenüber ein vergleichsweise neues allerdings stark wachsendes Phänomen. Kliniken und Einrichtungen im Gesundheitswesen sind gesetzlich verpflichtet die sogenannten PII-Daten (Personally Identifiable Information) besonders zu schützen. Mit dem Internet verbundene Geräte finden rasch Eingang in Netzwerke und Systeme. Damit geht die Gefahr einher diesen Schutz persönlicher Daten auszuhebeln.

Schwachstellen als Einfallstor für Hacker

Eine Schwachstelle in einem so kleinen Gerät wie beispielsweise einem Thermometer öffnet Hackern quasi ein Fenster direkt in kritische Systeme. Ein Fakt, der nicht selten komplett übersehen wird. Eine Studie hat herausgefunden, dass allein im letzten Jahr zwei von fünf Krankenhäusern (39 %) Opfer einer Datenschutzverletzung geworden sind. Das mögen vielleicht nicht so erschreckende Zahlen sein wie wir sie bereits von Datenschutzverletzungen aus dem Einzelhandel kennen. Man sollte aber bei der Bewertung nicht außer Acht lassen, welche Art von sensiblen Informationen in einer elektronischen Patientenakte gespeichert sind. Sie ist der digitale Fußabdruck der kompletten Krankengeschichte eines Patienten. Und sie enthält alles von aktuellen Verschreibungen bis zur Sozialversicherungsnummer. Für einen Hacker eine wahre Schatztruhe. Eine einzige Tastenkombination ermöglicht dem Angreifer auf eine Vielzahl persönlicher Daten zuzugreifen. Daten, die er sonst aus verschiedenen Quellen zusammen tragen müsste. Und anders als es bei Kreditkartennummern der Fall ist, lassen sich persönliche Daten nicht einfach zurückrufen. Wenn persönliche Daten dieser Art und in diesem Umfang in die falschen Hände geraten, verursacht das den Betroffenen Monate wenn nicht Jahre Kopfzerbrechen.

Risikofaktor implantierte Geräte

Es ist zweifelsohne eine traumatische und in höchstem Maße irritierende Erfahrung, wenn man Opfer eines Identitätsdiebstahls geworden ist. Sind aber bestimmte medizintechnische Produkte betroffen, besteht buchstäblich Gefahr für Leib und Leben eines Patienten. Ein Beispiel, das im letzten Jahr Schlagzeilen gemacht hat: Die FDA (Food and Drug Administration) hat einen freiwilligen Rückruf von 465.000 Herzschrittmachern initiiert, die über eine Sicherheitsschwachstelle potenziell angreifbar waren. Immer mehr Produkte, darunter Herzschrittmacher, werden einem Patienten direkt eingepflanzt. Damit ist es zwingend notwendig geworden Sicherheit zu einem zentralen Entwicklungsbaustein bei Geräten zu machen, die direkt auf die Gesundheit eines Patienten einwirken. Diese Sicherheitsanforderungen gelten aber nicht nur für die Entwicklung der Geräte, sondern über den gesamten prognostizierten Lebenszyklus eines solchen Produktes hinweg. Neuartige vernetzte Geräte zu implementieren und damit eine mögliche Angriffsfläche für das gesamte Netzwerk zu schaffen ist das eine. Die Geräte müssen aber auch vorschriftsmäßig arbeiten und die nötigen Prozesse entsprechend aufgesetzt werden. Beispielsweise muss gewährleistet sein, dass die richtigen Daten vom richtigen behandelnden Arzt an das richtige Gerät übermittelt werden. Und dort den gewünschten Vorgang und die korrekte Medikamentendosierung auslösen. Beim richtigen Patienten. Die Integrität der Daten und Geräte muss zu jedem Zeitpunkt garantiert sein, ebenso wie die Identität der betreffenden Geräte und Patienten. Beide, Ärzte und Patienten, sind darauf angewiesen vernetzten Systemen dahingehend zu vertrauen, dass sie das tun, was sie tun sollen.

Updates, digitale Zertifikate und Schlüssel

Patienten und Behandelnde vertrauen gleichermaßen darauf, dass medizintechnische Geräte auf eine vertrauenswürdige Art und Weise implementiert wurden, und dass sämtliche Daten, die übermittelt und weiterverarbeitet werden, vor Missbrauch geschützt sind. Trotz neuer Sicherheitsvorschriften, gesetzlicher Vorgaben und strengeren Überprüfungen, sollten die Verantwortlichen im Gesundheitswesen einen Schritt weiter gehen. Und es gibt Methoden, die branchenübergreifend geeignet sind, vernetzte Geräte abzusichern.

Digitale Zertifikate (also ein digitaler Echtheitsnachweis, der für jedes Gerät eine einzigartige Identität gewährleistet) und die damit verbundenen privaten Schlüssel dienen seitens des Geräteherstellers dazu einen Vertrauensanker zu etablieren. Darüber lässt sich jedes Gerät identifizieren und authentifizieren, sobald es in Betrieb genommen wird. Zusätzlich sorgen digitale Zertifikate für die Integrität und Authentizität von Softwareaktualisierungen und Patches über den gesamten Lebenszyklus eines Gerätes hinweg. Verschlüsselung ist grundlegend um die Vertraulichkeit von Daten zu gewährleisten, die von medizinischen Geräten gespeichert, geteilt und weiterverarbeitet werden. Das Verschlüsseln medizinscher Daten, gepaart mit einer vernünftig aufgesetzten Schlüsselverwaltung, sorgt dafür, dass selbst dann, wenn Daten gestohlen werden, sie für einen Hacker ziemlich wertlos sind.

Das Schlüsselmanagement ist leider in vielen Fällen die Achillesferse von Verschlüsselungslösungen. Nur die dazu autorisierten Benutzer und Prozesse dürfen auf die Schlüssel zugreifen, so dass sie vor jedem unautorisierten Zugriff geschützt sind. Das betrifft alle Stadien innerhalb des Lebenszyklus, vom Generieren eines Zertifikats bis zu seinem Rückruf und dazwischen. Empfohlene Maßnahmen sind beispielsweise eine dynamische Schlüsselzuweisung und das ordnungsgemäße Vernichten der Schlüssel. Beides sorgt dafür, dass Daten in der Phase der Übermittlung genauso geschützt sind wie an ihrem Speicherort.

Chancen und Risiken

Patienten und Akteure im Gesundheitswesen profitieren von Verbesserungen, die neuartige Technologien bieten. Man kann Kosten senken und effizienter arbeiten, die Zahl potenzieller Fehler senken und Patienten bei einem gesünderen Lebenswandel direkt unterstützen. Nichtsdestotrotz steigt damit die Zahl der Möglichkeiten für Cyberkriminelle, gepaart mit dem Risiko schwerwiegender Datenschutzverletzungen. Gesetzliche Vorschriften und Richtlinien sind die Grundlage für mehr Sicherheit im Gesundheitswesen. Sie allein können die Risiken aber nicht senken. Medizintechnische Geräte haben das Potenzial das Leben von Patienten genauso in Gefahr zu bringen wie ihren Geldbeutel oder ihre Identität. Deshalb sind die Gerätehersteller ganz besonders gefordert, jeden möglichen Schritt zu unternehmen, Risiken zu verstehen und zu senken. Dazu gehört „Security by Design“ genauso selbstverständlich wie die Möglichkeit Schwachstellen zu beseitigen und entsprechende Patches einzuspielen.

Weitere Informationen zum Thema:

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 05.06.2018] Mittlerweile kommt es vor, dass bereits die Steuerung von Licht und Heizung über „Amazon Echo“ erfolgt, die Leistung eines PKW aus der Ferne („remote“) analysiert wird, um potenzielle Fehler zu diagnostizieren, und manche Anwender verlassen sich auf die automatisierte Verwaltung von Systemen in betrieblichen Umgebungen. Das Internet der Dinge (engl. „Internet of Things“ – IoT) bestimmt also bereits viele Aspekte unseres alltäglichen Arbeitens und Lebens. John Grimm, „Senior Director of IoT Security Strategy“ bei Thales eSecurity: „Ein Ende des Booms ist nicht abzusehen. In immer neuen Studien gehen die prognostizierten Zahlen weiter nach oben.“ Inzwischen gingen Schätzungen davon aus, dass die Zahl der vernetzten Geräte innerhalb der nächsten drei Jahre auf 30 Milliarden anwachsen werde – „bereits im Jahr 2025 soll sie sogar bei 80 Milliarden Dingen liegen“, so Grimm. Diese enorme Anzahl vernetzter Dinge und damit verbundener Prozesse bringe naturgemäß mehr Schwachstellen mit sich. „Schon jetzt zeichnet sich ab, dass wir in Zukunft nicht nur mehr Angriffe zu erwarten haben, sondern auch eine größere Bandbreite an Attacken“, warnt Grimm. Bei einer derart riesigen Angriffsfläche seien die potenziellen Schäden kaum absehbar.

Gefahr ist real

„Dass die Gefahr inzwischen real ist, haben wir in der jüngeren Vergangenheit schon mehrfach beobachten dürfen. So konnte etwa eine Schwachstelle in dem Netzwerk-Controller identifiziert werden, den die meisten aktuellen Fahrzeugtypen verwenden. Über diese Schwachstelle haben Angreifer beispielsweise die Möglichkeit, die Sicherheitsfunktionen des betreffenden PKW auszuhebeln wie etwa das ABS-Bremssystem, die Servolenkung oder die Air Bags“, berichtet Grimm.
Bekannt sei auch der in den USA aufgetretene Fall, als die Food and Drug Administration (FDA) 465.000 Patienten, Träger eines bestimmten Typs vernetzter Herzschrittmacher, aufgefordert habe, ihren Arzt aufzusuchen um ein Update der Firmware einzuspielen. Der Grund für diese aufsehenerregende Aktion seien Schwachstellen gewesen, über die ein Hacker die Geräte übernehmen und die Patienten einem gesundheitlichen Risiko hätte aussetzen können.
„Das ist nur die Spitze des Eisbergs. Etliche solcher Schwachstellen existieren vermutlich seit Jahren im Verborgenen. Bisher hat sie nur noch niemand gefunden. Mit der Zahl der für unterschiedliche Bereiche eingesetzten Geräte, werden die Ziele für Hacker zunehmend interessanter. Ein Trend, der uns sicherlich noch eine Weile begleiten wird“, vermutet Grimm.

Betriebssicherheit und IT-Sicherheit als Einheit betrachten!

Erfolgreiche IoT-Anwendungen beschränkten sich längst nicht auf Geräte für Endverbraucher. Mit der starken Automatisierung in der produzierenden Industrie und im Maschinenbau habe das sogenannte Industrielle Internet der Dinge (Industrial Internet of Things – IIoT) Einzug gehalten. Grimm: „Ein Paradigmenwechsel. Denn hier bringt die Technologie zwei bisher mehr oder weniger getrennt voneinander existierende Ebenen näher zusammen – die der betrieblichen Prozesse, die Operational Technology (OT), und die IT.“
Sicherheitsüberlegungen in der produzierenden Industrie beschränkten sich traditionell auf die physische Sicherheit und die Sicherheit der Mitarbeitenden. Allerdings seien Fabrikhallen heute zunehmend vernetzt. Ganze Produktionsanlagen und Fertigungsstraßen könnten aus vernetzten Geräten bestehen. Das bringe traditionelle Sicherheitskonzepte mit solchen für die IT-Sicherheit näher zusammen, stelle aber auch hohe Anforderungen an die Cyber-Sicherheit. Denn es gelte sowohl Fabrikationsgebäude als auch Produktionsanlagen vor Bedrohungen von Außen zu schützen, ebenso die Mitarbeitenden.

Sicherheit wird zum Qualitätsmerkmal für Kaufentscheidungen

Mit der steigenden Zahl von Angriffen und Datenschutzverletzungen, die es mittlerweile routinemäßig in die Nachrichtensendungen und Schlagzeilen schafften, seien die Konsumenten in Sachen Sicherheit deutlich aufmerksamer geworden, wohl auch misstrauischer.
Grimm: „Wir sind derzeit noch nicht an einem Punkt, an dem Datenschutzverletzungen und potenziell auszunutzende Schwachstellen die Kaufentscheidungen der Verbraucher signifikant beeinflussen. Aber das Blatt beginnt sich zu wenden.“
Um sich das Vertrauen der zunehmend sicherheitsaffineren Konsumenten zu erhalten, müssten die Hersteller selbst die Initiative ergreifen. Es gelte existierende Schwachstellen aufzudecken und zu adressieren. Wenn Anbieter es nicht schafften potenzielle Datenlecks effizient und sicher zu beseitigen, werde das dem Absatz der Produkte definitiv schaden. Die Folgen eines Vertrauensverlustes seien noch weitreichender: „Sie betreffen nicht nur die Zahl der verkauften Produkte, meistens nimmt die gesamte Marke Schaden“, unterstreicht Grimm. Und dieser Vertrauensverlust betreffe mittelbar sämtliche IoT-Anwendungen.

Softwaresicherheit als Dreh- und Angelpunkt

„Die Hersteller sind gefragt, auch im eigenen Interesse. Anbieter und Hersteller vernetzungsfähiger Geräte müssen stärker als bisher bewährten Empfehlungen folgen und das Sicherheitsdesign ihrer Produkte von Anfang an strenger beachten. Geräte für Endverbraucher zeichnen sich leider nach wie vor eher durch angesagte Features und einen erschwinglichen Preis aus. Bei diesen Geräten sind die Standardsicherheitsmaßnahmen keinesfalls ausreichend. Ein Beispiel dafür sind fest programmierte Passwörter, die der Benutzer nicht selbst verändern kann. Das öffnet einem unerwünschten administrativen Login eines remote agierenden Hackers Tür und Tor.“
Um das zu verhindern, würden Hersteller nicht umhin kommen, der Softwaresicherheit mehr Aufmerksamkeit zu widmen. Das fange schon bei der Entwicklung an – diese folge bisher nur selten den „Best Practices“ der IT-Sicherheit. Die Software sollte, wie sonst auch, Schwachstellentests unterzogen werden, und vor allem sollte es Mechanismen geben, die über den gesamten Lebenszyklus hinweg Authentizität und Integrität absichern. Nur dann sei gewährleistet, dass sich Patches und Updates zukünftig einspielen lassen.

Sicherheit als Eckpfeiler für geschäftsunterstützende Prozesse

IoT-Sicherheit sei für existierende und zukünftige Anwendungen unumgänglich. Die Anbieter hätten es in der Hand, die Voraussetzungen dafür zu schaffen.
„An dieser Stelle sollten sich alle Beteiligten endlich davon verabschieden, Sicherheit als Hürde zu betrachten statt als Eckpfeiler für geschäftsunterstützende Prozesse. Die Unternehmen, die Sicherheit richtig verstehen, verfügen über einen immensen Wettbewerbsvorteil gegenüber denen, die sich an dieser Stelle schwer tun. Und das nicht zuletzt aus kommerziellen Überlegungen heraus“, betont Grimm.
Verbraucher würden sich bei ihren Kaufentscheidungen zunehmend von Aspekten wie Betriebs- und IT-Sicherheit bei vernetzten Geräten leiten lassen. Das werde langfristig allen Anwendungen und Nutzern im IoT gut tun und die Entwicklung befördern.

Weitere Informationen zum Thema:

datensicherheit.de, 09.05.2018
Cybersecurity Trends 2018: TÜV Rheinland veröffentlicht neues Whitepaper

datensicherheit.de, 13.01.2017
Netzwerksicherheit im Zeitalter von Internet of Things und Industrie 4.0

datensicherheit.de, 06.04.2016
eco Report: Internet of Things starker Treiber für die IT-Sicherheit

datensicherheit.de, 13.11.2014
Internet of Things: Security & Safety by Design erfolgsentscheidend

[datensicherheit.de, 01.09.2017] Auf der „it-sa 2017“ spricht Daniel Domscheit-Berg über die Bedeutung von IT-Sicherheit in einer Gesellschaft, die zunehmend durch die Digitale Vernetzung geprägt wird und beleuchtet technische, datenschutzrechtliche und soziale Fragestellungen, die sich dabei ergeben. Der Titel seines Vortrags am dritten Messetag lautet: „Hinterm Tellerrand geht’s weiter: Sind wir gewappnet, wenn die digitale Revolution richtig Fahrt aufnimmt?“

Gesellschaftlichen Wandel im Zuge der Digitalisierung erfolgreich bewältigen

Domscheit-Berg baute von 2007 bis 2010 WikiLeaks mit auf und trat als Sprecher der Plattform auf. Heute arbeitet er an Projekten rund um Privatsphäre, IT-Sicherheit und „Open Access“.
Im Mittelpunkt seiner „Special Keynote“ soll die Frage stehen, wie IT-Sicherheit dazu beitragen kann, den gesellschaftlichen Wandel im Zuge der Digitalisierung erfolgreich zu bewältigen.

„Sind wir gewappnet, wenn die digitale Revolution richtig Fahrt aufnimmt?“

Special Keynote von Daniel Domscheit-Berg
12. Oktober 2017 um 12.15 Uhr
„it-sa 2017“ im „Forum M10“ in Halle 10

Für Messebesucher und Aussteller frei zugänglich

Das „Forum M10“ ist eine von vier Bühnen mit insgesamt rund 320 Vorträgen zu Trends und Lösungen in der IT-Sicherheit. Domscheit-Berg beantwortet nach seinem Vortrag Fragen aus dem Publikum. Wie alle Forenvorträge ist diese „Special Keynote“ für Messebesucher und Aussteller frei zugänglich.

it-sa 2017“ stark nachgefragt

Als Europas größte IT-Sicherheitsfachmesse wird die „it-sa 2012“ vom 10. bis 12. Oktober u.a. Bühne für über 580 ausstellende Unternehmen und Organisationen sein. Nach Angabend er Veranstalter setzt die „europaweit größte Leistungsschau für IT-Sicherheitsprodukte und –dienstleistungen“ somit ihren Wachstumskurs fort.
Ab dem 9. Oktober 2017 findet das begleitende Kongressprogramm „Congress@it-sa“ mit zahlreichen Fachveranstaltungen statt.

Weitere Informationen zum Thema:

datensicherheit.de, 21.10.2016
Umfrage auf der it-sa 2016: IT-Sicherheitsexperten nutzen vernetzte Geräte trotz Sicherheitsbedenken

[datensicherheit.de, 21.10.2016] Ping Identity und Peak Solutions haben auf der „it-sa 2016“ zu diversen Sicherheitsthemen 510 IT-Spezialisten befragt – Risiken und Trends in der IT Sicherheit werden in dieser Umfrage deutlich. Zum einen zeichnet sich demnach ein leichter Anstieg bei der Verwendung der SSO-Technologien (Single Sign-on) ab. Laut der Umfrage nutzten bereits 60 Prozent der deutschen Unternehmen diese Lösung. Zum anderen gebe es eine Zuwendung zu alternativen Authentifizierungsmöglichkeiten wie biometrische Verfahren, in denen viele Befragte die Zukunft vermuten.

Unzureichende Absicherung vernetzter Geräte

Die unzureichende Absicherung vernetzter Geräte wird weiterhin als ein großer Risikofaktor identifiziert. 90 Prozent der Befragten sähen bei diesem Thema noch Nachholbedarf. Trotz der erheblichen Bedenken nutzten einige Experten diese Geräte aus Gründen des Komforts.
Circa 60 Prozent der deutschen Unternehmen nutzen laut der Umfrage „Single Sign-On“-Lösungen. Für die Umfrage von Ping Identity und Peak Solution wurden nach eigenen Angaben 510 IT- Spezialisten zu Sicherheitsfragen auf der „it-sa 2016“ befragt.
2015 hätten nur 56 Prozent diese Technologie genutzt, so dass ein leichter Anstieg von vier Prozent zur letztjährigen Befragung deutlich werde. Weiterhin zeige diese Umfrage, dass alternative Authentifizierungsmöglichkeiten und der Zugriff auf Unternehmensressourcen von extern zunähmen. Vernetzte Geräte nutze bereits ein Großteil der befragten IT-Sicherheitsverantwortlichen schon heute, halte sie dennoch aber nicht für ausreichend abgesichert.

Multi-Faktor-Authentifizierung unumgänglich

Laut der Befragung erwarteten lediglich sieben Prozent der IT-Sicherheitsspezialisten von ihrem Service-Provider eine SSO-Lösung. SSO ermögliche die einmalige Anmeldung am Computer zu Arbeitsbeginn. So erhalte der Nutzer mit einer Anmeldung Zugang zu allen notwendigen Anwendungen und müsse sich damit nur ein einziges Passwort merken, um Zugriff zu Services oder Programmen im Netzwerk und in der Cloud zu erhalten, erläutert Jason Goode, „Regional Director EMEA“ bei Ping Identity.
Dagegen unumgänglich sei die Multi-Faktor-Authentifizierung. Dafür benötige man zwei oder mehrere unabhängige Berechtigungsnachweise um Zugriff auf Unternehmensressourcen zu erhalten. Über 70 Prozent der Befragten erwarteten diese Lösung von ihrem Anbieter.

Zunehmend alternative Wege der Identifikation in Betrieben

Der Umfrage zufolge planten 64 Prozent der Unternehmen weiterhin auf die altbewährte Kombination aus Passwort und Benutzernamen zu setzen. 32 Prozent wollten in Zukunft ein Identifikationsmedium (Token, Chipkarte, Smartphone etc.) ohne PIN und 57 Prozent ebendieses mit PIN einsetzen, was einen starken Anstieg zur aktuellen Realität in Unternehmen bedeuten würde.
23 Prozent der Unternehmen formulierten sogar das Ziel, in drei bis fünf Jahren auch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung zu verwenden. Alternative Authentifizierungsmöglichkeiten zeichneten sich daher als klarer Trend gegenüber Passwörtern ab.

Herausforderung externer Zugriff

Eine besondere Herausforderung hätten die IT-Verantwortlichen auf der „it-sa 2016“ in dem Zugriff durch Partner und Kunden auf Systeme von außerhalb der Firma gesehen. 52 Prozent der deutschen Unternehmen ermöglichten diesen entsprechende Zugangsrechte. Die Unternehmen erteilten sogar mehr externe Zugriffsrechte im Gegensatz zum letzten Jahr, als noch 52 Prozent der Firmen den Zugriff von außerhalb verweigert hätten.
Eine Lösung dafür seien „Federated Identity Management“-Systeme, die externen Partnern oder Kunden einen sicheren Zugang ermöglichten. Ein weiterer Vorteil: Sollen die Zugriffsrechte geändert werden, könne dies mit einer solchen Lösung leicht geschehen, etwa wenn eine Zusammenarbeit mit einem Partner nur zeitweilig stattfindet.

„Internet of Things“: Sicherheit noch unzureichend!

Der Großteil, fast 90 Prozent, der IT-Spezialisten stufe die Sicherheit vernetzter Geräte als unzulänglich ein. Hierbei bestehe laut der Befragten noch einiges an Nachholbedarf bei den Authentifizierungslösungen, den Sicherheitsupdates, der Aufklärung der Nutzer über die Risiken und der Sicherheit der Schnittstellen. Besonders interessant sei, dass 64 Prozent der befragten IT-Sicherheitsverantwortlichen dennoch vernetzte Technologien nutzten – 49 Prozent vernetze Entertainment-Technologien, 24 Prozent „Smart Home“-Technologien und 23 Prozent Fitnesstracker oder andere vernetzte Geräte. Hierbei überzeuge wohl die hohe Funktionalität und der Komfort etwaige Sicherheitsbedenken.

Abbildung: Ping Identity

Ergebnis der Umfrage auf der „it-sa 2016“

[datensicherheit.de, 25.08.2016] Die „IFA“ in Berlin, vom 2. bis 7. September 2016, steht kurz bevor – auch dieses Jahr drehen sich viele Neuerungen rund um das große Schlagwort „Vernetzung“. Zwei große Trends der diesjährigen Messe, nämlich sogenannte Wearable-Technologies und „Smart Homes“, sollen Verbrauchern den Alltag erleichtern – könnten aber durch unzureichende Sicherheitsvorkehrungen schnell zum Einfallstor für Schadsoftware werden, warnt Intel Security.

Dauerthema „Ransomware“

Ransomware sei seit Jahren ein Dauerthema. Im zweiten Quartal 2016 sei die Anzahl der Ransomware-Angriffe, der sogenannten Erpressungstrojaner, erneut stark angestiegen. Auch als Reaktion darauf hätten die niederländische Polizei, Europol sowie Intel Security und KASPERKSY das „No More Ransom“-Projekt gegründet. Diese Initiative möchte Konsumenten darüber aufklären, wo Sicherheitsrisiken liegen und welche Gegenmaßnahmen es gibt. Daher sollten sich Verbraucher damit beschäftigen, wie diesen Risiken auch im Angesicht neuer Technologien zu begegnen ist, damit sich die Technik nicht gegen sie wendet.

Gadget als Gateway für Hacker

Wearables wie „Smartwatches“ oder Fitnessarmbänder erfreuten sich in diesem Jahr immer größerer Beliebtheit. Verbunden mit Laptop oder Smartphone würden die Geräte auf vielfältige Art und Weise zum Musikhören, Nachrichtenlesen oder als Gesundheits-Gadget zum Anzeigen der täglich zurückgelegten Strecke sowie verbrannter Kalorien genutzt.
So beliebt und nützlich diese tragbaren Helferlein im Alltag auch sein mögen, so groß sei auch die für Endverbraucher entstehende Gefahr. Als sogenannte „Gateway“-Geräte könnten ihre Verbindungsoptionen missbraucht werden, um Zugriff auf die Informationen der Nutzer zu erhalten. Damit seien sie selbst selten Ziel der Hacker, könnten aber Angriffe erleichtern oder Daten ungewollt preisgeben. Da sie sich durch Bluetooth- oder WLAN mit dem Laptop oder dem Smartphone verbinden, stellten sie schon ein potenzielles Einfallstor für Schadsoftware dar, das von Hackern missbraucht werden könne, um an Nutzerdaten zu gelangen. Gleiches gelte für die internetfähige Kamera mancher Geräte, wenn diese mit dem Netz oder anderen Geräten interagiert.

Endverbraucher können viele Sicherheitslücken mit wenigen Handgriffen beseitigen

Obwohl die Security-Branche daran arbeitet, Schnittstellen besser abzusichern und spezielle Zugangskontrollen zu entwickeln, könnten Endverbraucher selbst viele Sicherheitslücken schon mit wenigen Handgriffen beseitigen. Allein mit individuellen Passwörtern und aktuellsten Software-Versionen, lasse sich ein Großteil möglicher Einfallstore von Malware im Vorfeld schließen. Dazu sollten Nutzer immer die Sicherheitseinstellungen und Zugriffsrechte im Auge behalten und auch mobile Geräte durch zusätzliche Software absichern.

Sicherheitsrisiko „Smart Home“

Ähnlich wie bei den Wearables verhalte es sich im Bereich der „Smart Homes“, wie ein aktueller Report zum Thema zeige. Was heutzutage die Smartphones seien, werde bereits 2025 das intelligente Eigenheim sein.
Eine jüngst durchgeführte Studie habe in diesem Zusammenhang ergeben, dass 84 Prozent der Befragten künftig ein intelligentes und vielseitig vernetztes Haus planten. Die Vorteile lägen auf der Hand: Intelligente Küchengeräte wie Waschmaschine und Kühlschrank versprächen niedrigere Rechnungen und größeren Komfort.
Mit dem erhöhten Grad an Vernetzung steige allerdings auch das Sicherheitsrisiko. Bereits heute seien Endgeräte in zunehmendem Maße Angriffen von Erpresser-Software ausgesetzt und durch den ebenso wachsenden Fachkräftemangel im Bereich Cyber-Security dürfte sich diese Situation weiter verschärfen.
Mit allerlei vernetzten häuslichen Gegenständen, die beispielsweise per Handy steuerbar sind, eröffneten sich auch hierbei jede Menge Schnittstellen für Hacker. Ein Szenario, in dem Hausbewohner ihr Zuhause nicht betreten könnten, weil sie durch Erpresser-Software zum Bezahlen eines Lösegelds aufgefordert würden, scheine also nicht mehr allzu weit hergeholt.
Da treffe es sich gut, dass sich auch die Möglichkeiten der Absicherung weiterentwickelten. Mehr als zwei Drittel der Befragten hätten in der Studie angegeben, Passwörter in einem „Smart Home“ als störend zu empfinden und setzten lieber auf biometrische Authentifizierungsmaßnahmen wie den Fingerabdruck, Stimmerkennung und Augen-Scans.

Weitere Informationen zum Thema:

Atlantic Council, 30.03.2016
Smart Homes and the Internet of Things