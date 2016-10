In speziellen Awareness-Workshops können sich die Mitarbeiter mit den Gefahren des Internets der Dinge (Internet of Things, IoT) vertraut machen, erklärt Norman Wenk von Forcepoint Deutschland.

IT-DIRECTOR: Herr Wenk, worin liegen Ihrer Ansicht nach die Chancen und Risiken des Internets der Dinge (Internet of Things, IoT)?

N. Wenk: Neben effizienteren Produktabläufen und optimierten Geschäftsprozessen durch höhere Automatisierungsgrade gibt es je nach Einsatzgebiet unterschiedliche Vorteile für Anbieter, Betreiber und Nutzer. Durch die hohe Vernetzung und die Dynamik in der Interaktion verschiedener Identitäten und digitalisierter Systeme verstecken sich jedoch auch weitreichende Risiken. Insbesondere die Sicherheit von unternehmenskritischen Informationen und Daten steht dabei im Mittelpunkt.



IT-DIRECTOR: Wem gehören eigentlich die Daten im Internet der Dinge – Nutzern, Geräteherstellern oder Dienste-Anbietern? Warum ist das so?

N. Wenk: Daten werden immer unterschiedlich qualifiziert. Bei einer Maschine sind das beispielsweise Leistungs-, Verbrauchs- und Fehlerdaten oder Statusinformationen von vernetzten Maschinen. Da diese Daten aus diversen Quellen stammen und verschiedene Ziele anstreben, gibt es situationsspezifisch unterschiedliche Dateneigentümer. Erschwerend kommt hinzu, dass für jedes Szenario andere rechtliche Rahmenbedingungen bestehen.



IT-DIRECTOR: Im Zuge der Verbreitung des Internets der Dinge und der damit verbundenen „totalen Vernetzung“ entstehen für Dritte (u.a. Hersteller, Dienste-Anbieter, Cyber-Kriminelle, staatliche Institutionen) unzählige Möglichkeiten, an Nutzerdaten zu gelangen. Inwiefern kann dabei der Schutz von Privatsphäre und die Einhaltung des Datenschutzes aufrechterhalten werden?

N. Wenk: Oberstes Ziel für Hersteller, Produktentwickler oder Dienstleister muss eine ehrliche und transparente Vertrauensbasis sein. Dazu gehört beispielsweise die Einhaltung unternehmensinterner Compliance-Regelungen und (inter-)nationaler Datenschutzverordnungen. Ein wichtiger Bestandteil sind außerdem Sicherheitszertifizierungen und regelmäßige Sicherheitsprüfungen (u.a. ISO27001, ISO270018, ISO 20000 etc.), die sowohl den nationalen als auch internationalen Standards (z.B. IEC Standards oder OPC Unified Architecture) entsprechen.



IT-DIRECTOR: Oder andersherum gefragt: Wie können sich Nutzer im Internet der Dinge künftig vor dem Missbrauch ihrer Daten schützen und die Hoheit über ihre digitale Identität behalten?

N. Wenk: Viele Unternehmen bieten heute Awareness-Workshops an, in denen auch oft Gefahrenszenarien nachgestellt werden. Mitarbeiter lernen dabei „Hands-on“, wo die Gefahren liegen, wie sie sich davor schützen können und was sie bezüglich der Herausgabe von Daten beachten müssen. Generell hat der Nutzer jedoch wenig Einfluss auf die Datensammlung und Verarbeitung, da im IoT nur Maschinen bzw. Systeme miteinander kommunizieren.

IT-DIRECTOR: Stichwort Unternehmenssicherheit: Inwieweit lassen sich IoT-Szenarien in vorhandene IT-Sicherheitslösungen einbinden? An welchen Stellen muss die Sicherheitslandschaft auf jeden Fall „IoT-ready“ gemacht werden?

N. Wenk: Für den präventiven Schutz von Unternehmensdaten ist entscheidend, dass die Sicherheitsstrukturen sämtliche virtuelle und physische Elemente abdecken – von der Authentifizierung auf Geräteebene bis hin zu Datenschutz und Anwendungssicherheit. Besondere Angreiferszenarien für IoT im Unternehmen sind passive Angreifer, die sogenannten Insider Threats. Sie nutzen Sicherheitslücken in IoT-Geräten aus, um vertrauliche Unternehmensdaten zu stehlen oder zu kompromittieren. Unternehmen können sich dahingehend „IoT-ready“ machen, dass sie Entity Behavior Analytics durchführen. Diese erkennen in Echtzeit, wenn ein Mitarbeiter durch bewusste oder unbewusste Aktionen vom Normalverhalten abweicht.