DETECON Consulting

Artikel

Detecon Expert Talk zu "Security in der IoT-Welt"

Detecon Expert Talk versammelte CyberSecurity-Experten und rät Unternehmen, ihre Sicherheitsaktivitäten deutlich früher und kooperativ anzugehen

Mehr als 100 Gäste waren beim jüngsten Detecon Expert Talk am 10. Oktober in der Konzernzentrale der Deutschen Telekom gespannt, ob und wie sich "Security in der IoT-Welt" realisieren lässt. Denn Geräte – „Things“ – aus nahezu allen Geschäfts- und Lebensbereichen werden „smart“ und gehen online. Die Chancen liegen auf der Hand, aber auch die Risiken werden deutlich: Es entstehen gewaltige Angriffsflächen für neue Formen von Cyberattacken vom Datendiebstahl über die Manipulation kritischer Infrastrukturen bis hin zu Lebensgefahren.

Unter der Moderation der beiden Detecon-Berater und Sicherheitsspezialisten Michael Meißner und Mark Großer diskutierten hochkarätige Cyberexperten wie Christoph Bernius, CISO der Helaba Landesbank Hessen-Thüringen, Dr. Dmitry Nedospasov (Toothless Consulting & Chaos Computer Club), Dr. Daniela Pöhn (Leistungszentrum Sichere Vernetzte Systeme, Fraunhofer AISEC) und Thomas Tschersich (SVP Internal Security & Cyber Defense T-Systems International) die aktuellen Gefahren und Lösungswege.

Produktionsanlagen besonders bedroht

"Nur 10 Prozent der Netzwerke der industriellen Produktion sind derzeit gut geschützt,“ warnte in der Keynote des Abends Dirk Backofen, Leiter Telekom Security. Während Unternehmens-netzwerke in der Regel ausreichend geschützt seien, arbeiten Industrienetze meist mit vermeintlich isolierten Systemen, die zu einer Zeit installiert wurden, als das Risiko von Webangriffen äußerst gering war.

Auch unter dem Eindruck des WannaCry-Angriffs („In nur 7 Stunden waren 222.000 Firmen in 50 Ländern infiziert“) rief Backofen alle Beteiligten dazu auf, spätestens jetzt deutlich stärker in APT-Schutz (Advanced Persistent Threat), also Schutz gegen heute noch unbekannte Angriffsmuster zu investieren. Aus der Cloud heraus ließen sich hierzu zügig Mechanismen einführen. Die Telekom profitiert in ihrem Lösungsportfolio dabei von einem Security-Know-how, das sich unter anderem aus der Auswertung von täglich 6 Millionen Angriffe auf 1.000 Honeypot-Sensoren und der Verarbeitung einer Milliarde relevante Events aus 3.000 Datenquellen speist. Insgesamt umfasst die Malware Library der Telekom über 20 Millionen Schadcodes. „Und dieses Wissen geben wir weiter“, so Backofen. „Alle müssen zusammenarbeiten und die Kräfte bündeln, Lieferanten, Kunden und Security-Anbieter – wir bauen die Armee der Guten!“

(Im Bild: Dirk Backofen)

Von vorneherein Sicherheit einplanen

In der Diskussion kristallisierte sich schnell heraus, dass ein Großteil der Cyber-Gefahren ausgeschlossen werden könnte, wenn Sicherheitsmechanismen wie „Security by Design“ schon im Vorfeld in IoT-Produkten angelegt werden würde. „Produkte dürfen nicht als „Fire & Forget“ auf den Markt geschmissen werden, ohne weitere Verantwortung zu übernehmen, kritisierte Telekom-Sicherheitsleiter Thomas Tschersich. „Wir wollen Vertrauen für digitale Geschäftsmodelle schaffen. Dazu gehört auch, dass wir jeden Monat mit mehr als 20.000 Briefen und noch mehr e-Mails vielen Kunden mitteilen, dass ihre PCs infiziert bzw. sie Teil eines Botnetzes geworden sind. 

 „Von vorneherein Sicherheit einzuplanen, ist viel kostengünstiger, als es später noch irgendwie drüber zu stülpen“, empfahl auch Dr. Daniela Pöhn. Umgebungen, um IoT-Geräte wie intelligente Kühlschränke auszuprobieren, gäbe es etwa im Fraunhofer Forschungszentrum. „IoT-Geräte bieten nicht mehr Angriffsvektoren als andere Systeme. Aber sie sind jetzt überall da, wo früher kein Netzkontakt war.“

(Moderator Mark Großer (links), Thomas Tschersich)

Cyberexperte Dr. Dmitry Nedospasov fügte hinzu: "Viele IoT-Geräte sind wegen ihrer meist, proprietären Software, fehlenden Wartungs- und Updatemöglichkeiten und mangelnder Authentifizierungsfähigkeit aktuell so vertrauenswürdig wie ein offener Computer im Internet. Bei Billiggeräten dürfen Nutzer keinen Schutz erwarten.“ Er erwarte zudem, dass die Sicherheitslücken solcher IoT-Geräte künftig noch öfter für Attacken wie seinerzeit aus dem Mirai-Botnetz heraus missbraucht werden dürften. Nedospasov sagt aber auch: „Wenn man heute auf gründliche Weise neue Netzarchitekturen für Systeme entwickelt, hat man gute Chancen, zumindest gegenüber den Angriffen, die wir heute kennen, sicher zu sein.“

Digitale Ignoranz überwinden

 Telekom-Sicherheitsleiter Thomas Tschersich sieht ein Hauptproblem nach wie vor in der digitalen Ignoranz vieler Nutzer und IT-Verantwortlicher: „Die Lösung für WannaCry war eigentlich längst vorhanden, aber viele Firmen hatten diesen Patch acht Wochen später immer noch nicht eingespielt. Und wenn Geräte nie dafür vorgesehen waren, in vernetzter Umgebung zu arbeiten und mitunter nicht einmal einfachste Sicherheitsmechanismen aufweisen, dann ist dem Missbrauch von vorneherein Tür und Tor geöffnet.“

Die Gefahren ernster zu nehmen, rieten auch die weiteren Gesprächsteilnehmer: „Es ist wichtig, die Kronjuwelen zu kennen, also die besonders geschäftskritischen Prozesse und Daten. Früherkennungssysteme und Prüfroutinen für Anomalien sowie Runbooks, also Ablaufpläne für präventive und reaktive Maßnahmen sind unerlässlich“, rät Christoph Bernius, CISO der Helaba Landesbank Hessen-Thüringen. Bernius gab aber auch zu bedenken: „Risikovermeidung ist ebenfalls eine wichtige Aufgabe der Unternehmen. Die Abwägung von Chance und Risiken muss immer im strikten Interesse unserer Kunden stattfinden und nicht an dem, was technisch möglich wäre.“

(v.l.n.r.: Christoph Bernius, Dmitry Nedospasov, Moderator Michael Meissner)

Zertifikate begrüßenswert, aber kein Allheilmittel

„Inwiefern können Standardzertifikate, wie aktuell von der EU-Kommission geplant, die Sicherheit im Internet of Things erhöhen?“, lautete eine Frage von Moderator Mark Großer.  Hier waren die Meinungen differenziert: „Grundsätzlich helfen Zertifikate nicht gegen die digitale Ignoranz! Aber je nachdem, was sie beinhalten, können sie helfen, ein Mindestmaß an IT-Sicherheit herzustellen“, meint Thomas Tschersich. „Vor 20 Jahren wurde Privacy aufgrund der Auflagen verteufelt. Heute stellen wir fest, dass es ein wertvolles Geschäftsmodell darstellt, sein Rechenzentrum unter deutschem Datenschutzrecht zu betreiben. Wir müssen das als Chance betrachten.“

 Daniela Pöhn von Fraunhofer AISEC ging noch einen Schritt weiter: „Wenn Hersteller haften müssten, würden die IoT-Geräte deutlich sicherer. Es sollte Pflicht sein, zumindest diejenigen Gefahren, die nach aktuellen Kenntnissen technologisch ausgeschlossen werden können, auch tatsächlich abzusichern.“

(Thomas Tschersich, Daniela Pöhn)

IoT-Entwicklung wird kaum gebremst

Bemerkenswert: Durchweg alle Diskussionsteilnehmer des Abends verneinten die von den Moderatoren zur Debatte gestellte These, dass durch die Flut an Cyberangriffen die Entwicklung von IoT-basierten Geschäftsmodellen und Produkten insgesamt gebremst wird: „Wenn man es frühzeitig und konsequent angeht, kann man Security Lifecycle Management auch ziemlich richtig machen“, betonte Hacker und Security-Forscher Dmitry Nedospasov. Mit Blick auf die fernere Zukunft sieht Thomas Tschersich - von Moderator Meissner nach dem „Next Big Thing“ gefragt -  neue Sicherheitsperspektiven auch durch die Blockchain-Technologie: „Der Hype ist an vielen Stellen übertrieben, aber ich sehe bspw. eine Chance darin, mittels Blockchain die Integrität von Sensorsignalen irgendwann einmal zweifelsfrei überprüfen zu können.“

Zum Abschluss riefen die Detecon-Moderatoren Michael Meissner und Mark Großer das Publikum – das übrigens per Live-Mentimeter die Cyber-Abwehrfähigkeiten innovativer IoT-Unternehmen eher schlecht als gut einschätzte – noch einmal dazu auf, sich der „Armee der Guten“, also gemeinsamen Cyber-Security-Allianzen anzuschließen und den Reifegrad eigener Security-Prozesse mit den Eindrücken des Abends noch einmal eindringlich unter die Lupe zu nehmen.  

 

Weitere Information:
Zu den generellen Angeboten der Detecon zu Risk, Security & Compliance geht es hier (DTC Deutschland) und hier (DTC Schweiz).