Die Top 5 Mythen der IoT-Sicherheit

Palo Alto Networks rät, sich in der IoT-Welt auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät

[datensicherheit.de, 26.08.2020] Konventionelle Ansätze der Cyber-Sicherheit konzentrierten sich auf ein grundlegendes Konzept: „Jedes in Sichtweite befindliche Gerät schützen, um Hacker, Angreifer und Diebe fernzuhalten.“ In einer hochgradig vernetzten Welt indes, „in der sich eine Vielzahl von Sensoren, Geräten und Systemen gegenseitig mit Daten versorgen“, sei dieses Konzept jedoch überholt, so Palo Alto Networks in einer aktuellen Stellungnahme. Das sogenannte Internet der Dinge wachse – IDC prognostiziere, dass es 41,6 Milliarden vernetzte IoT-Geräte bis 2025 geben werde. „Es gibt einfach zu viele Geräte und es gibt keine Grenzen“, warnt Jamison Utter, „Senior Business Development Manager for IoT“ bei Palo Alto Networks. Palo Alto Networks benennt die fünf „wesentlichen Mythen der vernetzten Sicherheit“ und gibt Tipps, wie Unternehmen diese überwinden könnten.

IoT unterscheidet sich sehr von regulärer IT

„Was bedeutet das für Unternehmen? Wenn sie im traditionellen Sicherheitsansatz feststecken, ist es an der Zeit, ihre Sicherheitsinitiative neu zu starten, um eine grenzenlose Computing-Umgebung widerzuspiegeln.“
Das IoT unterscheide sich sehr von der regulären IT. Es sei wichtig, sich auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät.

Mythos 1: Das IoT ist einfach die nächste Phase der IT-Sicherheit

Nichts könnte weiter von der Wahrheit entfernt sein! Vernetzte Geräte und Systeme stellten einen stärker dezentralisierten Ansatz für die Computing- und Cyber-Sicherheit dar. Für IT-Teams erfordere die Umstellung auf das IoT einen gewaltigen konzeptionellen Sprung, „da sie nicht mehr der Käufer oder Gerätebesitzer sind“.
Das Problem sei, dass die IT-Teams versuchten, dieselben Tools und Ansätze zu verwenden, „die schon bei der Gründung von Fort Knox verwendet wurden“. Sie gingen ein Geschäftsproblem als IT-Problem an. Beim IoT gehe es nicht um Laptops und Smartphones – es gehe nicht um den Schutz von Benutzernetzwerken: „Es ist eine ganz andere Welt, die sich um den Schutz von Geschäftsprozessen und Daten dreht.“
Unternehmensleiter, „die das IoT wirklich verstehen“, würden erkennen, dass sie die Cyber-Sicherheit vereinfachen könnten, wenn sie einen eher ganzheitlichen, datenzentrierten Ansatz verfolgten, anstatt alles noch komplexer zu machen.

Mythos 2: Die IT sollte die Sicherheit des IoT überwachen

„Wenn die IT-Abteilung für die Sicherheit des Internet der Dinge verantwortlich ist, greift sie in der Regel auf konventionelle Werkzeuge, Technologien und Ansätze für diese Aufgabe zurück.“ Dieser „One-size-fits-all“-Ansatz führe häufig zu enttäuschenden Ergebnissen. Das IoT gehe über die Grenzen konventioneller Computersysteme hinaus. Daten befänden sich auf verschiedenen Geräten innerhalb und außerhalb eines Unternehmens und flössen über viele weitere Berührungspunkte.
Es gebe aber noch ein anderes, manchmal größeres Problem: Da sich das IoT über Teams, Abteilungen und Unternehmen erstrecke, sei es leicht, sich mit einem isolierten Ansatz zur Cyber-Sicherheit abzufinden. In einigen Fällen könnten verschiedene Gruppen, die sich mit Sicherheitsfragen befassen, Doppelarbeit verrichten oder sogar versehentlich Methoden anwenden, die miteinander in Konflikt stünden – und letztlich ein Unternehmen ungeschützt ließen.
Die Abstimmung zwischen IT- und Cyber-Sicherheitsteams sei im Zeitalter des IoT sogar noch wichtiger. Dies erfordere eine enge Zusammenarbeit zwischen „CIOs“, „CSOs“ und „CISOs“. Man müsse wirklich eine Analyse durchführen, all seine Ressourcen identifizieren und verstehen, „wie, warum und wo Daten verwendet werden“. Nur dann könne man einen Rahmen entwerfen, „der für das IoT optimiert ist“. Dies könne die Einstellung oder Umschulung von Mitarbeitern mit den richtigen Fähigkeiten und Fachkenntnissen erfordern.

Mythos 3: Herkömmliche Sicherheitstools und -strategien werden uns schützen

Der „Burg-und-Graben“-Ansatz in der Cyber-Sicherheit könne die IoT-Sicherheit tatsächlich „untergraben“. Malware-Schutz und andere herkömmliche Tools seien zwar immer noch wertvoll, seien aber nicht für die Verwaltung von Datenströmen über Sensoren, Edge-Umgebungen und moderne Mehrzweckgeräte konzipiert worden.
„Das bedeutet nicht, dass ein Unternehmen diese Schutzmechanismen beseitigen sollte, es muss sie nur anders einsetzen und neue Funktionen hinzufügen, sobald sie verfügbar sind.“ Dies könnten zum Beispiel Datenverschlüsselung während der Übertragung oder Tools zur Netzwerküberwachung sein, „die erkennen, wann Daten besonders gefährdet sind“. Es könnte auch die Einrichtung separater Netzwerke für verschiedene Arten von Daten sein. „Selbst wenn jemand ein Gerät oder ein System hackt, kann es dann passieren, dass er nichts Wertvolles erhält.“ Palo Alto Networks meint demnach, „dass ein Unternehmen, sobald es vollständig versteht, wie Daten auf einer IoT-Plattform verwendet werden, die richtigen Schutzvorkehrungen zuweisen kann, einschließlich Governance-Modell, Praktiken, Prozessen und Tools“. Dies könne von der Endpunkt- und Netzwerküberwachung über Verschlüsselung in Bewegung bis hin zu noch fortschrittlicheren Methoden des Maschinellen Lernens und der Künstlichen Intelligenz (KI) reichen.
KI könne IoT-Geräte in einem Netzwerk finden, einschließlich zuvor verborgener Geräte, sicherstellen, „dass sie kritische Updates und Sicherheits-Patches erhalten haben, und andere potenzielle Probleme identifizieren“. Durch Maschinelles Lernen könnten IoT-Geräte auf der Grundlage von Sicherheitsrisiken in Gruppen eingeteilt werden, „ohne dass zusätzliche Sicherheitssoftware und manuelle Prozesse erforderlich sind“. Dieser Ansatz ermögliche Risikobewertungen, wann Geräte „normal“ oder „verdächtig“ funktionierten, und helfe bei der Durchsetzung von IoT-Richtlinien.

Mythos 4: Es dreht sich alles um den Schutz des Gerätes

Die Anwendung des konventionellen IT-Sicherheitsdenkens auf das IoT öffne eine weitere Falle – IoT-Sicherheit erfordere einen breiteren Ansatz, welcher Netzwerkauthentifizierung, Konnektivität, Clouds und mehr umfasse. „Es ist an der Zeit, nicht mehr an IoT-Geräte als kleine PCs zu denken. Die meisten dieser Geräte sind einfach und dumm“, erklärt Utter.
Tausende oder Zehntausende von IoT-Sensoren und -Geräten machten es unmöglich, jedes einzelne in einem intelligenten Unternehmen, einer Lieferkette oder einer Stadt zu schützen. Es sei zwar wichtig, ein medizinisches Gerät oder ein Auto vor Hacker-Angriffen zu schützen, aber viele angeschlossene Sensoren und Geräte hätten schreibgeschützte Komponenten, die nicht kompromittiert werden könnten. Folglich müssten sich die IoT-Schutzmaßnahmen in Unternehmen um komplexere Beziehungen zwischen Systemen und Daten drehen. „Man muss wirklich mit den Grundlagen beginnen“, unterstreicht Utter: „Das bedeutet, dass man ein ,Zero-Trust‘-Framework schaffen muss.“ In dieser neuen Ordnung des IoT sei das Netzwerk das „Ding“ – und alle Sensoren, Geräte, Systeme und Daten müssten ganzheitlich betrachtet werden. „Durch die Klassifizierung von Daten, die Einrichtung von Zonen und die Erstellung von Whitelist-Anwendungen und -Prozessen ist es möglich, die richtigen Schutzvorrichtungen und Werkzeuge für die richtige Aufgabe zu identifizieren.“
Dies bedeute zum Beispiel, dass man sich von einem traditionellen Modell, „bei dem alle Sensoren und Geräte in dasselbe Netzwerk eingebunden werden“, entfernen müsse. Stattdessen könne ein Unternehmen davon profitieren, wenn es seine Anlagen nach Geschäftsaufgaben, Datensicherheits- und Vertrauensebene organisiere. Daraufhin gelte es Netzwerkknoten, -abteilungen oder -zonen zu schaffen sowie Tools und Schutzvorrichtungen zu implementieren, welche „den Sicherheitsanforderungen entsprechen“.

Mythos 5: Die Sicherheitsvorkehrungen der Hersteller sind entscheidend

Die vorherrschende Mentalität sei, dass Anbieter starke Schutzvorrichtungen in ihre Produkte einbauen müssten. „Und wenn es einen Patch gibt, muss der Benutzer ihn nach der Installation in aller Eile installieren.“ Leider sei dies „ein fehlerhaftes Konzept im Zeitalter der vernetzten Geräte“. Das solle nicht heißen, dass Sicherheit nicht in die Produkte eingebaut werden sollte.
„Es soll nur nicht heißen, dass ein Unternehmen die Sicherheit der Anbieter von IoT-Geräten nicht als primäre Form des Schutzes betrachten sollte.“
Viele Sensoren seien lediglich „dumme Endpunkte“, die ersetzt und nicht gepatcht würden. Selbst wenn es sich um komplexere Geräte handele, „setzen die meisten Unternehmen IoT-Komponenten ein und aktualisieren oder patchen diese nie“. Teil des Problems sei, dass Firmware-Patches und -Upgrades bei Tausenden von vernetzten Geräten zu einem Albtraum würden.

IoT erfordert umfassendere, übergreifende Strategie für Cyber-Sicherheit

Das Fazit: „Die Sicherheit auf dem Gerät wird sehr viel weniger wichtig, wenn Daten- und Netzwerkkontrollen eingerichtet sind.“ Das IoT erfordere eine umfassendere, übergreifende Strategie, welche sich über alle Gerätehersteller erstrecke.
Letztendlich müsse sich der Schutz des IoT nicht als mühsam erweisen. Er erfordere jedoch das richtige Fachwissen – „und ein Verständnis dafür, dass der konventionelle Ansatz zur Cyber-Sicherheit angepasst werden muss“. Wenn Führungskräfte diese Realität verstehen, so Palo Alto Networks, könnten sie Entscheidungen und Budgets entsprechend anpassen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.08.2020
IoT-Sicherheit: 7 zentrale Erkenntnisse / Palo Alto Networks betont Bedeutung Maschinellen Lernens für verbesserte IoT-Sicherheit

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

datensicherheit.de, 28.07.2020
IoT-Sicherheit für alle Unternehmen existenziell / Palo Alto Networks sieht Potenzial in lernenden Systemen

datensicherheit.de, 16.07.2020
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie / Wie sich Maschinen, Geräte und Komponenten anmelden und sicher miteinander kommunizieren können

datensicherheit.de, 01.07.2020
The IoT is broken – gebrechlich aber heilbar / Neuer TÜV SÜD-Podcast „Safety First“ mit Mirko Ross