Über unsMediaKontaktImpressum
[Sponsored Post] 29. November 2016

Internet of Things (IoT) und Security: Durch die Digitalisierung nimmt die potentielle Angriffsfläche zu!

Twitter, Github, Airbnb und die New York Times waren im Oktober 2016 von einer immensen DDoS-Attacke (Distributed Denial of Service) betroffen. Der Angriff ging von Toastern und anderen IoT-Geräten aus. Die Steuerungsrechner der Heizungen von Wohnblocks im finnischen Lappeenranta wurden über eine DDos-Attacke im November 2016 lahmgelegt. Prüfern der Stiftung Warentest gelang es, mit geringem tech­nischem Aufwand das Video­signal von zwei Babycams im Heimnetz­werk abzugreifen. Wie wir uns vor den Gefahren schützen können? – Interview mit dem Sicherheitsexperten Robert Wortmann.

Informatik Aktuell: Es gibt immer mehr Geräte wie Thermostate, Kameras für die Eingangstüre und sogar Kaffeemaschinen, die über das Internet ansprechbar sind. Ist das eigentlich noch sinnvoll?

Robert Wortmann: Die Sinnhaftigkeit liegt natürlich immer im Auge des Betrachters. Ich persönlich muss meine Kaffeemaschine sicherlich nicht per App steuern, wie ich mir selbst an einem ganz einfachen Beispiel klargemacht habe: liege ich auf dem Sofa und möchte einen frischen Kaffee haben, ist es sicherlich entspannt, diesen einfach via App zu "bestellen". Allerdings muss dann immer noch jemand eine Tasse unterstellen, Wasser auffüllen und mir den Kaffee bringen. Aber sicherlich gibt es neben technischer Verliebtheit auch sehr sinnvolle Dinge. Durch intelligente Heimautomatisierung zum Beispiel die Heizung zu regeln kann durchaus Ressourcen und damit Kosten sparen.

Informatik Aktuell: Viele Geräte sind schlecht abgesichert. Zum einen können Sie missbraucht werden, indem einem einfach die Heizung ausgedreht oder die Kaffeemaschine außer Betrieb gesetzt wird. Es gibt Berichte von Baby-Cams, aus denen Stimmen kamen. Umgekehrt werden nun Geräte auch genutzt, um DDOS-Attacken gegen Unternehmensstrukturen auszuführen. Twitter, Github, Airbnb und die New York Times waren im Oktober 2016 von einer immensen DDoS-Attacke betroffen. Der Angriff ging von Toastern und anderen IoT-Geräten aus. Über eine Distributed Denial of Service Attacke wurden im November 2016 in mindestens zwei Wohnblocks der finnischen Stadt Lappeenranta die Steurungsrechner der Heizungen lahmgelegt. Welche Gefahren gibt es noch?

Robert Wortmann: Es sind häufig die offensichtlichsten Dinge, die nicht beachtet werden. So stieß ich während meiner Recherchen beispielsweise auf einen Bluetooth-Wasserkocher aus China, der via App an- und ausgemacht werden kann. Zum Verbindungsaufbau ist kein technisches Know-how oder gar PIN/Passwort notwendig – die App verbindet sich einfach zum Gerät in der Nähe. Das haarsträubende hier: der Wasserkocher ließ sich auch ohne Inhalt anschalten und brannte kurze Zeit später lichterloh. Sicherlich ist dies ein extremes Beispiel und dieses Gerät auf dem deutschen Verkaufsmarkt nicht zugelassen, allerdings beschreibt es das grundsätzliche Problem ganz gut: Es gibt viele Geräte, die nicht aufwendig gehackt werden müssen, sondern vielmehr durch logisches Denken ausgetrickst werden können.

Informatik Aktuell: Wie kann man dem am besten begegnen?

Robert Wortmann: Man könnte es sich einfach machen und sagen, dass man diese Geräte einfach nicht kaufen soll. Das ist allerdings sinnlos und nicht zielführend. Viele dieser Geräte bieten uns tatsächliche Vorteile im täglichen Leben. Am besten begegnet man dieser Sache, indem man Geräte dieser Art zuerst objektiv und nicht rein emotional betrachtet. Es schadet nicht, sich vor dem Kauf über diese Geräte zu informieren und sich nach dem Kauf Gedanken bei ihrer Einrichtung zu machen.

Informatik Aktuell: Verwenden Sie selbst Smart Home-Geräte?

Robert Wortmann: Ich selbst verwende derzeit keine Smart Home-Geräte. Dies hat allerdings nicht die hier aufgeführten Sicherheitsbedenken als Grund, sondern vielmehr meine fehlende Verliebtheit technischer Spielereien nach Feierabend. Auf längere Sicht werde allerdings auch ich kaum mehr um Smart Home-Geräte herumkommen, ob ich die Funktionen am Ende nutze oder nicht.

Informatik Aktuell: Was empfehlen Sie privaten Anwendern?

Robert Wortmann: Private Anwender sollten sich zumindest bewusst sein, was die verwendeten Geräte theoretisch leisten können. So kommt es immer häufiger vor, dass Privatanwender sich Geräte mit Smart Home-Funktionalitäten zulegen, diese allerdings herkömmlich benutzen. Privatleute, die sich beispielsweise mit dem Thema Heimautomatisierung befassen, sollten sich vor Anschaffung über mögliche Risiken informieren und sich bei nicht ausreichendem Wissen einen erfahrenen Partner zur Seite nehmen. Unsere Erfahrung zeigt, dass leider nicht jeder professionelle Installateur in diesen Technologien ausreichend geschult ist und die Qualitätsunterschiede hier sehr groß sind.

Informatik Aktuell: Und was müssen Unternehmen tun, um sich abzusichern?

Robert Wortmann: Der wichtigste Grundstein für eine Absicherung ist das Bewusstsein über die Gefahrenlage. Den Einsatz von IoT-Geräten innerhalb eines Unternehmens auf lange Sicht komplett zu verbieten ist gleichermaßen unmöglich wie sinnlos. Sind wir uns über potentielle Gefahren bewusst, sehen allerdings gleichzeitig die Vorteile der Lösungen, kann mit Sicherheitskonzepten wie Sicherheitslösungen reagiert werden. In dieser Diskussion ist besonders die Konversation mit den eigentlichen Benutzern dieser Systeme wichtig. Deren Sorgen und Wünsche müssen gehört werden, nur so entsteht eine umfassende Security Awareness.

Besonders bei Diskussionen über IT-Sicherheitsbudgets sehen wir extreme Unterschiede.

Informatik Aktuell: Gibt es in Unternehmen eigentlich ein Bewusstsein für die Gefahrenlage? Oder wird das im Tagesgeschäft eher ausgeblendet?

Robert Wortmann: Das Bewusstsein vor diesen Gefahren variiert doch sehr stark. Von Unternehmen, die bis heute nicht an die "Horrorstories" der Presse glauben, bis hin zu Unternehmen mit offener Diskussionskultur über mögliche Sicherheitsrisiken ist alles anzutreffen. Besonders bei Diskussionen über IT-Sicherheitsbudgets im Mittelstand sehen wir derzeit extreme Unterschiede.

Informatik Aktuell: Haben Unternehmen Ihrer Erfahrung nach eigentlich ausreichend Security-Know-how im Hause, um passende Maßnahmen zu identifizieren und umzusetzen?

Robert Wortmann: Ähnlich wie bei der Diskussion über das Bewusstsein gibt es hier – meistens abhängig von der Mannstärke des IT Teams – extreme Unterschiede. Ein IT-Sicherheitsbeauftragter ist zwar in den meisten Unternehmen vorhanden, allerdings sind diese in einigen Fällen weder geschult noch sicherheitsaffin. Unsere Empfehlung ist eine Mischung aus internen und externen Wissensträgern im Bereich der IT-Security. Die externe und somit objektive Sicht ist durchaus wichtig, da hier besonders Erfahrungen aus anderen Kundensituationen helfen. Allerdings wird ein externer Dienstleister niemals alle unternehmensspezifischen Prozesse und Eigenheiten wie ein langjähriger Mitarbeiter kennen. Deswegen ist meiner Meinung nach ein kompetenter IT-Sicherheitsbeauftragter von Nöten. Dieser sollte allerdings im Normalfall nicht durch einen Administrator dargestellt werden, da hier oftmals Interessenskonflikte eine zu große Rolle spielen können.

Informatik Aktuell: Im Hinblick auf die globale Vernetzung und die Trends zu Cloud-Computing, IoT und Industrie 4.0: Welche Entwicklung erwarten Sie für die Zukunft? Gerade im Hinblick auf Sicherheit?

Robert Wortmann: Sicher ist derzeit natürlich nur, dass die Digitalisierung weiter und in großen Schritten fortschreiten wird. Dass damit auch die potentielle Angriffsfläche zunimmt, sollte man auch als gegeben hinnehmen. Wie sich die Wahrnehmung der einzelnen Unternehmen und Endanwender entwickeln wird, ist meiner Meinung nach auch stark davon abhängig, welche Angriffsszenarien am Ende wirklich eintreten und welchen Schaden diese anrichten. Leider beobachten wir derzeit zu oft, dass erst reagiert wird, wenn etwas passiert ist.

Informatik Aktuell: Welche Maßnahmen sollten IT-Leiter heute ergreifen?

Robert Wortmann: Hier lässt sich ganz gut an meine letzte Antwort anknüpfen. Unternehmen müssen weniger reaktiv und mehr proaktiv hinsichtlich Sicherheitsbedrohungen reagieren. Des Weiteren wird es immer wichtiger, mit den Endbenutzern zu kommunizieren. Es ist nicht zielführend, die User als nicht mündig zu bezeichnen und z. B. beim Öffnen von Ransomware in Phishing Mails zu verdammen. Nicht jeder Benutzer ist IT-affin. Wichtig ist es, diesen Benutzern die auftretenden Gefahren darzustellen. Dies kann beispielsweise durch einen kurzen Vortrag über einfachste Hackingmethoden geschehen. Neben der Awareness der Mitarbeiter muss zusätzlich natürlich auf technischer Seite die notwendige Grundlage zur IT-Sicherheit geschaffen werden. So darf es nicht mehr passieren, dass vereinzelte Unternehmen mehr Budget für Kaffeemaschinen als für IT-Security haben. Denn am Ende des Tages ist der gute Kaffee nichts wert, wenn ein Unternehmen von Diebstahl geistigen Eigentums betroffen ist und dadurch ins Wanken gerät. IT-Sicherheit ist Aufgabe von uns allen und nur gemeinsam kann ein valider Schutz gelingen.

Informatik Aktuell: Herr Wortmann, vielen Dank für das Gespräch!

Robert Wortmann: Vielen Dank. 

Wer mehr erfahren möchte, kann die Session Security im IoT mit dem IOT-Security-Experten Robert Wortmann im Rahmen der IT-Tage in Frankfurt am 15.12.2016 besuchen.

Robert Wortmann auf den IT-Tagen 2016

Robert Wortmann hat am 15.12.2016 zum Thema "Security im IoT – Logisches Denken statt Hacking" eine Session auf unserer Jahreskonferenz, den IT-Tagen 2016 gehalten.

Im Interview

Robert Wortmann

Robert Wortmann ist seit 2014 als Business Development Manager beim Nürnberger IT-Systemhaus teamix beschäftigt, wo er sich zunächst als technischer Ansprechpartner und Senior Consultant um Kundenlösungen im Bereich Security…
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben