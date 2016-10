IT-DIRECTOR: Herr Suhl, worin liegen Ihrer Ansicht nach die Chancen und Risiken des Internets der Dinge (Internet of Things, IoT)?

H. Suhl: Die Chancen sind zugleich die Schwachpunkte des Internets der Dinge. Die Digitalisierung von Wirtschaft, Staat und Gesellschaft eröffnet neue Wege, vergrößert jedoch auch die Angriffsfläche für Cyber-Kriminelle. Denn alles wird vernetzt, smart und somit angreifbar – egal ob es sich um den Smart-TV, intelligente Stromzähler, autonom fahrende Autos oder kritische Infrastruktursysteme wie Produktionsanlagen oder Smart Cities handelt. IT-Sicherheit sowie eine Sensibilisierung der Anwender muss somit bei der Entwicklung und beim Einsatz smarter Geräte und Prozesse das Fundament bilden, um von den Chancen profitieren zu können.

IT-DIRECTOR: Im Zuge der Verbreitung des Internets der Dinge und der damit verbundenen „totalen Vernetzung“ entstehen für Dritte (u.a. Hersteller, Dienste-Anbieter, Cyber-Kriminelle, staatliche Institutionen) unzählige Möglichkeiten, an Nutzerdaten zu gelangen. Inwiefern kann dabei der Schutz von Privatsphäre und die Einhaltung des Datenschutzes aufrechterhalten werden? Oder andersherum gefragt: Wie können sich Nutzer im Internet der Dinge künftig vor dem Missbrauch ihrer Daten schützen und die Hoheit über ihre digitale Identität behalten?

H. Suhl: Die Anwender haben die Möglichkeit, darauf zu achten, ob bei Anbietern auf Datenschutz und Privatsphäre geachtet wird. Für Hersteller und Service Provider ist es essentiell, dass bei IoT-Anwendungen und deren Entwicklung IT-Sicherheitsaspekte von Beginn an berücksichtigt werden (Security by Design). So werden spätere (Daten-)Schwachstellen vermieden. Zudem müssen Organisationen, die Systeme innerhalb des Internets der Dinge unterhalten, auch IoT-Sicherheitsrichtlinien, die im Rahmen einer Sicherheitsstrategie entwickelt werden sollten, umsetzen.



Zur Vermeidung von Datenpannen oder des Verlusts seiner digitalen Identität hilft ein bewusstes Verhalten im Internet. Das heißt, bei sicherheitskritischen Aktivitäten und Prozessen sollte neben technologischem Schutz auch immer der gesunde Menschenverstand eingeschaltet sein – und diesen kann man schulen. Für Mitarbeiter im Unternehmen sollten Sicherheitsschulungen regelmäßig stattfinden.



IT-DIRECTOR: Stichwort Unternehmenssicherheit: Inwieweit lassen sich IoT-Szenarien in vorhandene IT-Sicherheitslösungen einbinden?

H. Suhl: Der Schutz von IoT-Geräten und -Anwendungen vor bekannten Szenarien wie Malware-Attacken, unautorisierten Zugang, Datendiebstahl oder DDoS-Angriffen lässt sich auf technischer Ebene verhindern. Die besondere Herausforderung besteht im Schutz vor hochentwickelten Angriffen wie Advanced Persistent Threats (APT), Cyber-Spionage oder -Sabotage, die physische Konsequenzen zur Folge haben können. Hier gibt es Lösungen, die fortschrittliche Technologie und Services kombinieren.



Ein Beispiel: Auf technologischer Ebene liefern Lösungen wie unsere Anti-Targeted-Attack-Platform-Funktionen wie Sandboxing, in der Cloud automatisierte und verhaltensbasierte Analysen oder spezielle Sensortechnik zur Feststellung von Anomalien im gesamten Netzwerk. Auf Service-Ebene kommen dann Audits hinzu, die helfen bestimmte Auffälligkeiten im Netzwerk zu analysieren und interpretieren.



IT-DIRECTOR: An welchen Stellen müssen vorhandene Sicherheitslandschaften auf jeden Fall erst noch „IoT-ready“ gemacht werden?

H. Suhl: Im Internet der Dinge bedarf es sicherlich noch einer gewissen Standardisierung durch die Industrie. Daneben ergeben sich durch die Vernetzung neue Herausforderungen – auch hinsichtlich Cyber-Gefahren. Entsprechend ist hier auch die Regulierung aktiv geworden und gestaltet über Initiativen wie das IT-Sicherheitsgesetz und die NIS Directive der EU diesen Rahmen aus. Aufgrund heterogener Umgebungen innerhalb des Internets der Dinge müssen IoT-Sicherheitsrichtlinien so anpassungsfähig wie möglich sein, damit sie effektiv durchgesetzt werden können. Aus technologischer Sicht sind derzeit Verfahren wie Whitelisting, Air Gap sowie eine Überwachung des Datenverkehrs adäquate Mechanismen. Für zukünftige Ausstattung empfiehlt sich die Integration eines sicheren Betriebssystems.