IoT-Sicherheit

Den Kinderschuhen entwachsen

14. November 2019, 15:14 Uhr | Autor: Roman Brunner / Redaktion: Diana Künstler

Das Internet der Dinge (IoT) befindet sich in der Anfangsphase und auch die entsprechenden Sicherheitsmaßnahmen sind noch nicht ausgereift. Wie genau sich das IoT entwickeln und welche Anforderungen die Implementierung und Verwaltung an Sicherheitsexperten weltweit stellen werden, ist noch unklar.

Die aktuelle DigiCert-Umfrage zur Sicherheit im Internet der Dinge hat ergeben, dass die Wahrscheinlichkeit von Problemen beim Rekrutieren von qualifizierten Fachkräften für den Schutz von IoT-Umgebungen um 38 Prozent höher liegt, wenn ein Unternehmen ohnehin schon Schwierigkeiten im Bereich IoT-Sicherheit hat. Diesen Unternehmen bereitet auch die fehlende Standardisierung in der IoT-Sicherheit mit um 17 Prozent höherer Wahrscheinlichkeit Probleme. Das IoT gilt als spannende neue Entwicklung im digitalen Zeitalter, was besonders diese Unternehmen dazu verlockt, sich ohne Sicherheitsnetz oder sorgfältige Vorbereitung ins Abenteuer zu stürzen. Ihre Entscheidungsträger wissen einfach noch zu wenig über das Internet der Dinge und die erforderlichen Sicherheitsvorkehrungen.

Fehlende Fachkenntnisse sind jedoch nur ein Teil des Problems. Hinzu kommt, dass weder Hersteller noch Anbieter hinreichende Sicherheitsmaßnahmen in ihre IoT-Geräte einbauen, bevor sie sie an den Kunden bringen. Staatliche Behörden hinken bei der Einführung konkreter Sicherheitsrichtlinien für Hersteller, Anbieter und Nutzer hinterher. Dasselbe gilt für Normungsorganisationen.

Im Sog der Standardflut
Die Krux liegt dabei nicht einmal darin, dass es keine IoT-Standards gibt. Ganz im Gegenteil: Wir ertrinken förmlich in einer Flut aus Standards, da verschiedene Normungsorganisationen jeweils mindestens einen eigenen herausgegeben
haben. Das liegt mitunter daran, dass verschiedene Standards auf die spezifischen Sicherheitsanforderungen unterschiedlicher Branchen oder Produkte abgestimmt sind.

In der Folge herrscht so viel Unklarheit, dass sich viele Unternehmen an bereits bewährten Standards für Information Technology (IT) und Operational Technology (OT) orientieren. Dieser Ansatz ist jedoch nur eine temporäre Lösung, denn zwischen den Sicherheitsstandards in IT und OT bestehen erhebliche Unterschiede. IT-Sicherheit ist auf den Datenschutz und die Abwehr von Angriffen über das Internet ausgerichtet, die OT-Sicherheit jedoch auf die Verhinderung von Systemausfällen und unzulässigem Zugriff. Für IoT-Umgebungen werden Standards benötigt, die beide Bereiche umfassen.

Werden die Standards von nur einem dieser Bereiche angewandt, entstehen Sicherheitslücken – und beide zusammen überlappen einander unnötig. Keine dieser Optionen bietet ein hinreichendes Maß an Sicherheit oder Transparenz für Unternehmen, die versuchen, ihre IoT-Ressourcen und -geräte zu schützen. Zudem existieren nur wenige von Staaten oder anderen offiziellen Stellen festgelegte Standards, wie der von der britischen Regierung eingeführte Minimum Cyber Security Standard, die als Wegweiser für die IoT-Sicherheit agieren könnten. Die Zeit ist also reif, Standards zu konsolidieren und Unternehmen mit klaren Richtlinien zu unterstützen. Denn ein Überfluss an Standards führt zu mehr Komplexität und beeinträchtigt eben die Interoperabilität, die bei IoT-Geräten so wichtig ist und die diese Standards gewährleisten sollen. Internet-of-Things-Umgebungen hingegen bestehen meist aus vielen verschiedenen Geräten und bringen das Unternehmen nur dann voran, wenn diese Geräte sicher miteinander verbunden werden und zusammenarbeiten können.

Ein holistischer Ansatz muss her Am besten ist es daher, IoT-Standards für das gesamte IoT-Ökosystem – anstatt nur für einzelne Geräte oder Services – zu konzipieren. Den Standards sollte ein holistischer Ansatz zugrunde liegen und sie müssen flexibel genug sein, um die Vielfalt einer IoT-Architektur zu unterstützen und die nötige Skalierbarkeit zu gewährleisten.

Das Positive ist, dass sich allmählich auch etwas auf diesem Sektor tut: Die branchenübergreifende FIDO-Allianz hat kürzlich bekanntgegeben, dass sie an der Verfassung eines Standards für die sichere Konfiguration und Anbindung von IoT-Geräten arbeitet. Die Mitglieder der Allianz sind überzeugt, dass sie somit die Implementierung von IoT-Umgebungen in Unternehmen beschleunigen können.

Auch bei den Fachkenntnissen um IoT und IoT-Sicherheit herrscht ein akuter Mangel. Zwar gibt es jede Menge Experten in den bereits etablierten IT- und OT-Bereichen. Doch diese müssten sich zusätzliche Kenntnisse aneignen, um die besonderen Anforderungen des IoT auch in Zukunft erfüllen und IoT-Umgebungen hinreichend schützen zu können.