Datenschutz im Internet der Dinge

Wer nutzt die Daten von IoT-Geräten?

Künftig muss klar sein, wie man die Vertraulichkeit von Daten gewährleisten kann, die von Internet-of-Things-Geräten (IoT) erfasst werden, die wiederum regelmäßig zum Originalhersteller „nach Hause telefonieren“, fordert Markus Auer von Forescout Technologies.

Markus Auer, Forescout Technologies

Markus Auer, Regional Sales Manager DACH bei Forescout Technologies

IT-DIRECTOR: Herr Auer, worin liegen Ihrer Ansicht nach die Chancen und Risiken des Internets der Dinge (Internet of Things, IoT)?
M. Auer:
Die Geräte im IoT unterscheiden sich von herkömmlichen unternehmensverwalteten Geräten wie etwa PCs. IoT-Devices haben meist spezifische Betriebssysteme, weswegen es nur begrenzt möglich ist, Sicherheitsagenten auf ihnen zu installieren. Deshalb vergrößert die Nutzung von IoT in einer Firmenumgebung die Angriffsfläche und stellt ein großes Sicherheitsrisiko dar. Angesichts des explosiven Wachstums des Internets der Dinge werden die IoT-Endpunkte die herkömmlichen unternehmensverwalteten Geräte schon sehr bald an Zahl übertreffen. Prognosen zufolge werden bis 2020 mehr als 90 Prozent der vernetzten Geräte nicht mehr mit traditionellen agentenbasierten Methoden verwaltet werden können. Deshalb müssen die Unternehmen ihre Sicherheitsstrategie überdenken.

IT-DIRECTOR: Wie lange wird es dauern, bis sich das Internet der Dinge hierzulande flächendeckend durchgesetzt hat? Was sind die Hemmnisse und was die Treiber für diese Entwicklung?
M. Auer:
Deutschland ist in der Regel eher konservativ, wenn es um die Einführung neuer Technologien geht. Im Vergleich zu anderen Regionen lassen sich deutsche Unternehmen mehr Zeit, neue Ansätze zu prüfen und zu testen. Wenn sie diese aber erst einmal akzeptiert haben, passen sie sie häufig an und verbessern sie sogar noch.

Viele Technologieführer sind in Deutschland ansässig, und das Tempo der IoT-Integration ist je nach Branche unterschiedlich. In manchen Bereichen wie etwa dem Gesundheitswesen ist die Durchsetzung des Internets der Dinge bereits im Gang – Krankenhäuser und andere Institutionen aus dem Healthcare-Bereich nutzen zahlreiche smarte Geräte. Die Mehrzahl der Apparate ist mit Online-Ressourcen verbunden, um die Dienstleistungsqualität und die Arbeitsbedingungen in diesem Sektor zu verbessern.

Andere Bereiche, wie vernetzte Fahrzeuge und Scada/„Industrie 4.0“, werden schon seit geraumer Zeit diskutiert und nehmen jetzt Fahrt auf. Ich bin sicher, dass deutsche Unternehmen in diesen Branchen Innovationen schaffen werden, die mit dem Internet der Dinge in Zusammenhang stehen. Allgemein gesprochen, wird es nur eine Frage von Jahren sein, bis das IoT in den meisten Branchen Normalität geworden ist. Das BKA erwartet, dass bis 2020 eine Billion Geräte online sein werden. Es wird also nicht mehr lange dauern, bis das Internet der Dinge die Funktionsweise unserer Wirtschaft und Gesellschaft verändert.

IT-DIRECTOR: Inwiefern müssen sich heutige öffentliche Netze (Internet) und Unternehmensnetze verändern, um die schnelle Übertragung millionenfacher IoT-Daten zu gewährleisten?
M. Auer:
Das Internet der Dinge stellt Unternehmensnetze vor eine Reihe großer Herausforderungen. Es gilt zu verhindern, dass das IoT zu einem Einfallstor in das eigene Netzwerk für Cyber-Kriminelle wird. Eine Organisation muss in der Lage sein, jeden Endpunkt zu erkennen, zu klassifizieren und zu bewerten, sobald es sich mit dem Unternehmensnetz verbindet. Weiter sollten die gewonnenen Erkenntnisse genutzt werden, um automatisch die richtigen Aktionen durchzuführen. Beispielsweise muss eine Überwachungskamera in das dedizierte Netz gestellt werden, wo sie sich nur mit der zentralen Überwachungsanwendung verbinden kann.

Die zweite Herausforderung hängt mit der Erfassung von Daten von IoT-Geräten und der Frage zusammen, wie diese Informationen innerhalb und außerhalb des Unternehmens verwendet werden. Einige IoT-Endpunkte werden in der Produktion eingesetzt, und Daten von solchen Geräten sollten das Unternehmen überhaupt nicht verlassen. Andere Geräte, wie etwa ein Smart-TV in einem Tagungsraum, werden ständig mit dem öffentlichen Internet verbunden sein – und vom Originalhersteller regelmäßig mit Betriebssystem-Updates versorgt werden. Es ist für Firmen wichtig, proaktiv die verschiedenen Arten von IoT-Geräten zu definieren, und die nötigen Architekturentscheidungen zu treffen. Dabei müssen Policies granular für einzelne Endpunkte oder Gruppen erstellt und umgesetzt werden.

IT-DIRECTOR: Wem gehören eigentlich die Daten im Internet der Dinge – Nutzern, Geräteherstellern oder Dienste-Anbietern? Warum ist das so?
M. Auer:
Im Prinzip sollten die allgemeinen Datenschutzregeln gelten, wie sie in der kürzlich eingeführten Datenschutz-Grundverordnung der EU definiert sind. Ein interessantes Detail wird dabei sein, wie man die Vertraulichkeit von Daten gewährleisten kann, die von IoT-Geräten erfasst werden, die regelmäßig zum Originalhersteller „nach Hause telefonieren“.

IT-DIRECTOR: An welchen Stellen werden IoT-Daten gemeinhin vorgehalten? Wie lassen sie sich dabei am besten absichern?
M. Auer:
Um diese Frage beantworten zu können, muss man wissen, wie IoT-Geräte verwendet werden. Derzeit sehen wir, wie zunehmend persönliche IoT-Geräte/Wearables genutzt werden. Hier würde ich davon ausgehen, dass ähnliche Geschäftsmodelle/Lösungen angewandt werden wie bei der Nutzung von Apps auf dem Smartphone.

Es ist jedoch zu erwarten, dass künftig Unternehmen und staatliche Organisationen die wichtigsten Anwender des Internets der Dinge sein werden. In diesem Fall handelt es sich bei den erfassten Daten um sensible Informationen, die innerhalb der Organisation verbleiben müssen.

IT-DIRECTOR: Im Zuge der Verbreitung des Internets der Dinge und der damit verbundenen „totalen Vernetzung“ entstehen für Dritte (u.a. Hersteller, Dienste-Anbieter, Cyber-Kriminelle, staatliche Institutionen) unzählige Möglichkeiten, an Nutzerdaten zu gelangen. Inwiefern kann dabei der Schutz von Privatsphäre und die Einhaltung des Datenschutzes aufrechterhalten werden?
M. Auer:
IoT-Geräte können zwar gehackt werden, doch die größere Bedrohung geht unserer Ansicht nach von Hack-Through-Szenarien aus. Cyber-Kriminelle nutzen ein IoT-Device, um sich Zugang zu einem Unternehmensnetz zu verschaffen, und bewegen sich im zweiten Schritt seitwärts durchs Netzwerk, um Geräte anzugreifen, die vertrauliche Daten enthalten.

In diesem Fall gibt es eine Reihe von Punkten in der Cyber-Kill-Chain, an denen wir dem Angreifer den Zugriff beschränken und ihn stoppen können. Zum Beispiel:
•    Zunächst muss der Zugriff auf das IoT-Gerät selbst beschränkt werden. Mittels automatisierter Erkennung und Klassifizierung von Endpunkten kann man sicherstellen, dass ein Gerät nur auf die benötigten Ressourcen zugreifen kann, indem es in ein sicheres VLAN-Segment gestellt wird. Sollte ein Hacker dieses Gerät kompromittieren, kann er darüber nicht in andere Bereiche des Netzwerks gelangen.
•    Als Nächstes sollte man die Systeme auf verdächtiges Verhalten prüfen und automatisch Aktionen einleiten. Wenn sich ein Drucker plötzlich mit dem E-Mail-Server verbindet, kann man davon ausgehen, dass ein Angriff im Gang ist.
•    Von größter Bedeutung ist in diesen Fällen die Orchestrierung der Sicherheitsinformationen. Verschiedene Security-Lösungen sammeln Analysedaten, diese müssen zwischen unterschiedlichen Tools kommuniziert werden, um Prozesse zu automatisieren.
•    Wenn zum Beispiel auf einem Gerät ein hochentwickelter Angriff entdeckt wird, liegt die Vermutung nahe, dass auch andere Endpunkte im Netz infiziert oder ins Visier der Angreifer geraten sind. Es ist also nötig, die infizierten Device dann sofort in Quarantäne zu verlegen, die Probleme beheben und automatisch alle Geräte im Netzwerk auf ähnliche Bedrohungsindikatoren (IOCs) zu scannen.
•    Da es in solchen Situationen auf schnelles Handeln ankommt, müssen die Sicherheitstools unbedingt zusammenarbeiten, um automatisch Maßnahmen in die Wege leiten zu können. Besonders, da viele mobile Endgeräte nur temporär mit den Netzwerk verbunden sind.

IT-DIRECTOR: Oder andersherum gefragt: Wie können sich Nutzer im Internet der Dinge künftig vor dem Missbrauch ihrer Daten schützen und die Hoheit über ihre digitale Identität behalten?
M. Auer:
Wenn der Hersteller für das IoT-Gerät ein Passwort voreingestellt hat, sollte man dies umgehend ändern. Eindringlinge können die Standardpasswörter für medizinische Geräte, Sicherheitskameras, Heimthermostate und andere Geräte leicht ermitteln. Viele dieser IoT-Geräte verbinden sich mit Wi-Fi-Zugangspunkten. Daher sollte man in diesen Fällen starke Passwörter verwenden. Allerdings sind die Schutzmechanismen auf Endpunkte-Ebene sehr begrenzt. Absicherung sollte daher auf der Netzwerkebene erfolgen.

IT-DIRECTOR: Stichwort Unternehmenssicherheit: Inwieweit lassen sich IoT-Szenarien in vorhandene IT-Sicherheitslösungen einbinden? An welchen Stellen muss die Sicherheitslandschaft auf jeden Fall „IoT-ready“ gemacht werden?
M. Auer:
Ähnlich wie bei Bring Your Own Device (BYOD) müssen die Unternehmen eine IoT-Strategie entwickeln – solche Geräte einfach zu ignorieren oder zu verbieten wird nicht funktionieren. Das Internet der Dinge ist Realität. In den heutigen Firmennetzen gibt es bereits eine Vielzahl von IoT-Devices: Drucker, VoIP-Telefone, Überwachungskameras, Sicherheitsschlösser, Smart-TVs in Konferenzräumen, Scanner, IP-fähige Thermostate, Scada-Geräte, medizinische Geräte und mehr.

Im Rahmen ihrer IoT-Strategie müssen Organisationen definieren, wie die verschiedenen Arten von Geräten in ihrem Unternehmensnetz verwendet werden dürfen. Dann müssen sie dafür sorgen, dass sie IoT-Devices automatisch sehen und klassifizieren können, sobald sie sich mit der Unternehmensumgebung verbinden, damit die Umgebung geschützt bleibt. Viele Firmen haben IoT-Geräte in ihren Netzwerken, von denen die IT-Mitarbeiter überhaupt nichts wissen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok