Da die weltweite Akzeptanz von IoT-Technologien zunimmt, rücken auch die damit verbundenen Risiken und Schwachstellen stärker in den öffentlichen Fokus.
Klassische IT-Vorfälle und IoT-Vorfälle unterscheiden sich jedoch nicht nur in den Prozessen, die sie beeinträchtigen, sondern auch bezüglich der Kosten, denn IoT-Vorfälle verursachen häufig übersehene Beeinträchtigungen des Geschäftsbetriebes. Je nach Sektor können sie zahlreiche versteckte finanzielle Auswirkungen mit sich bringen. Das Problem hier: Im Gegensatz zu herkömmlichen IT-Systemen, bei deren Entwicklung ein besonderer Schwerpunkt auf Sicherheit und Ausfallsicherheit gelegt wird, steht bei vielen IoT-Geräten die Funktionalität im Vordergrund, während die Sicherheit ab Werk meist vernachlässigt wird.
IoT-Gefahren
IBM schätzt, dass die durchschnittlichen Kosten einer Datensicherheitsverletzung bei etwa 4,88 Millionen US-Dollar (4,62 Millionen Euro) liegen, wobei die primären Kostenfaktoren berücksichtigt werden. Die herkömmliche IT-Infrastruktur ist jedoch in der Regel einfacher zu sichern, da Standard-Sicherheitslösungen und etablierte Compliance-Frameworks vorhanden sind. In Deutschland liegen die durchschnittlichen Kosten pro Datenpanne bei etwa 3,7 Millionen US-Dollar (3,51 Millionen Euro).
Die finanziellen Auswirkungen nur einer IoT-Attacke werden auf 195 428 US-Dollar (185 000 Euro) geschätzt. Die größten Kostenverursacher sind die Komplexität des Sicherheitssystems, der Mangel an Sicherheitsfähigkeiten und die Vernachlässigung von Vorschriften. Besonders betroffen ist der Gesundheitssektor, der mit durchschnittlichen Kosten von 10,1 Millionen US-Dollar pro Datenpanne die höchsten Verluste verzeichnet.
Daher ergibt sich folgender Lagebericht: Die Kosten herkömmlicher IT-Vorfälle wie Datenschutzverletzungen, Denial-of-Service-Angriffe und Ransomware, sind gut dokumentiert:
- Direkte finanzielle Verluste: Unmittelbare finanzielle Auswirkungen, wie Lösegeldzahlungen oder Umsatzverluste durch Ausfallzeiten oder Unterbrechungen von Diensten.
- Bußgelder und Anwaltskosten: Aufsichtsbehörden verhängen Bußgelder und häufig fallen Anwaltskosten an, wenn es um IT-Attacken geht.
- Betriebsunterbrechungen: Unternehmen sehen sich mit Unterbrechungen der Arbeitsabläufe, sinkender Produktivität und Auswirkungen auf die Rentabilität konfrontiert.
- Kosten für die Reaktion auf Vorfälle und die Wiederherstellung: Die Kosten für die technische Wiederherstellung, die Behebung, Überstunden der Mitarbeiter und forensische Analysen summieren sich.
Kostentreiber bei IoT-Vorfällen
IoT-Vorfälle bringen dagegen zusätzliche Kosten mit sich, auf die Unternehmen oft nicht vorbereitet sind:
Breite Angriffsfläche:
Die verteilte und vernetzte Natur von IoT-Geräten erhöht die Angriffsfläche und die Anzahl potenzieller Zugangspunkte für Angreifer, was zu großflächigeren Vorfällen führt, die das gesamte IoT- und IT-Ökosystem beeinträchtigen können.
Begrenzte Kontrolle und veraltete IoT-Geräte:
Viele Unternehmen setzen veraltete IoT-Geräte ein, die keine robusten Sicherheitsfunktionen aufweisen. Diese Geräte arbeiten oft mit veralteter Software, die bekannte Schwachstellen aufweist, wodurch sie leicht ausgenutzt werden können. Die eingeschränkte Kontrolle über diese Geräte erschwert die Sicherheitsbemühungen und erfordert erhebliche Ressourcen für Upgrades oder Neuanschaffungen.
Physische Auswirkungen und Sicherheitsrisiken:
IoT-Vorfälle können konkrete physische Auswirkungen haben, insbesondere in kritischen Sektoren, wie dem Gesundheitswesen, dem industriellen IoT und der vernetzten Fahrzeuge (Internet of Vehicles, IoV). Eine Sicherheitsverletzung könnte die Funktionalität lebensrettender medizinischer Geräte oder autonomer Fahrzeuge beeinträchtigen und damit Leben gefährden. Solche Vorfälle können zu kostspieligen Rückrufaktionen, rechtlichen Verpflichtungen und Rufschädigung führen.
Komplexe Reaktion auf Vorfälle und Forensik:
Die Reaktion auf IoT-Vorfälle erfordert spezielle Kenntnisse und Tools, da herkömmliche Frameworks für die Reaktion auf Vorfälle möglicherweise nicht ausreichend auf die speziellen Herausforderungen von IoT-Ökosystemen ausgerichtet sind. Diese Komplexität kann zu längeren Ausfallzeiten, höheren Kosten für das Schwachstellen-Management und Schwierigkeiten bei forensischen Untersuchungen führen.
Lieferketten- und Betriebskosten:
IoT-Geräte sind oft in komplexe Lieferketten und kritische Infrastruktursysteme (KRITIS) eingebettet. Ein Sicherheitsverstoß in diesen Umgebungen kann kostspielige Störungen verursachen, die nicht nur das betroffene Unternehmen, sondern auch seine Partner und Kunden betreffen. Der Domino-Effekt solcher Vorfälle kann zu erheblichen finanziellen Verlusten und betrieblicher Ineffizienz führen.
Einhaltung von Vorschriften und Haftungsrisiken:
Regulatorische Rahmenbedingungen – wie der Cyber Resilience Act (CRA) der EU zur Stärkung der Widerstandsfähigkeit gegen Cyber-Angriffe – schreiben strenge Compliance-Anforderungen für die IoT-Sicherheit vor. Organisationen, die diese Vorschriften nicht einhalten, müssen mit erheblichen Bußgeldern und rechtlichen Sanktionen rechnen. Die Kosten für die Einhaltung der Vorschriften können erheblich sein, insbesondere für Organisationen mit umfangreichen IoT-Implementierungen. In Anhang I (und in den mit Artikel 10 und 11 festgelegten Verpflichtungen) werden Verwaltungsstrafen bis zu 15 Millionen Euro oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes verhängt
Datenschutzrisiken:
Da IoT-Geräte häufig mit personenbezogenen oder sensiblen Daten umgehen, verursacht jede Attacke hohe Kosten in Zusammenhang mit dem Datenschutz, die durch Gesetze wie die DSGVO noch verstärkt werden. Der Rufschaden durch einen Datenschutzvorfall kann auch das Vertrauen und die Loyalität der Kunden schmälern.
Niedrige Erkennungsraten und Sensibilität:
Viele Organisationen haben mit niedrigen Erkennungsraten von IoT-Bedrohungen zu kämpfen, was häufig auf eine unzureichende Überwachung und Sichtbarkeit der IoT-Umgebungen zurückzuführen ist.
Komplexe Lieferketten und unbekannte Firmware-Risiken:
Die Komplexität der IoT-Lieferketten bringt unbekannte Risiken in Zusammenhang mit Firmware-Schwachstellen mit sich. Unternehmen haben möglicherweise keinen Einblick in die Sicherheit von Komponenten ihrer Zulieferer und sind daher anfällig für Angriffe, die diese Schwachstellen ausnutzen.
Jeder dieser Faktoren führt zu einer Reihe von Kosten, die bei klassischen IT-Vorfällen nicht zwingend anfallen müssen. Sie sind somit für viele Unternehmer noch Neuland.
Kostendifferenz von IoT- und IT-Vorfällen
Um die Kostendifferenz zwischen IoT- und IT-Vorfällen zu bewerten, müssen Vorfälle in Branchen untersucht werden, in denen beide Arten von Vorfällen häufig auftreten. Beispielsweise das Gesundheitswesen und die Fertigungsindustrie, die beide stark auf IoT- und IT-Infrastrukturen angewiesen sind.
- Gesundheitswesen: Ein Ransomware-Angriff auf ein IT-System kann Patientendaten gefährden und zu Verzögerungen führen. Wenn jedoch eine auf dem IoT basierende Infusionspumpe oder ein MRT-Gerät kompromittiert wird, entstehen Kosten durch Betriebsunterbrechungen, Sachschäden an Geräten und potenziell auch Gesundheitsschäden der Patienten. Die American Hospital Association (AHA) schätzt, dass IoT-Vorfälle im Gesundheitswesen aufgrund ihrer direkten Auswirkungen auf die Patientensicherheit 25 bis 50 Prozent mehr kosten können als ähnliche IT-Vorfälle.
- Fertigungsindustrie: IT-Vorfälle in der Fertigungsindustrie führen in der Regel zu Netzwerkstörungen oder zum Diebstahl von geistigem Eigentum. IoT-Vorfälle können Produktionslinien zum Stillstand bringen und Produktivitätsverluste in Millionenhöhe verursachen. Laut einer Studie von orangematter belaufen sich die durchschnittlichen Kosten für Ausfallzeiten pro Minute bei kleinen Unternehmen auf 427 US-Dollar (405 Euro) und bei größeren Unternehmen auf 9 000 US-Dollar (8504 Euro). In Stunden umgerechnet, kostet eine einzige Stunde Ausfallzeit kleine Unternehmen etwa 25 620 US-Dollar (24 208 Euro) und Industrieunternehmen mehr als eine halbe Million, nämlich 540 000 US-Dollar (510 246 Euro).
IoT-Cyber-Sicherheitsvorfälle | IT-Cyber-Sicherheitsvorfälle |
Betreffen verbundene Geräte im Echtzeitbetrieb. | Betreffen typischerweise traditionelle Endpunkte (Server, Computer, Netzwerke). |
Höheres Risiko aufgrund physischer Auswirkungen. | Hauptsächlich auf Datenlecks, Informationsverlust und Dienstunterbrechungen fokussiert. |
Schwerer zu erkennen, zu beheben oder wiederherzustellen. Oft kombiniert mit mehreren Angriffen. | Bestandteil von Disaster Recovery Plänen (DRP) und Business Continuity Plänen (BCP). |
Tabelle 1: Überblick über IoT-Vorfälle im Vergleich zu IT-Vorfällen
Die Daten deuten durchweg darauf hin, dass IoT-Vorfälle etwa 30 bis 50 Prozent höhere Kosten verursachen als herkömmliche IT-Vorfälle, was hauptsächlich auf die sich verstärkenden physischen und betrieblichen Faktoren zurückzuführen ist.
Unterschiedliche Sicherheits-Maßnahmen
Im Gegensatz zu IT-Vorfällen erfordern IoT-Vorfälle spezifische Strategien zur Risiko-Abschwächung:
- Verbesserte Überwachung und Bedrohungserkennung: Durch den Einsatz von KI-gestützten Überwachungstools können ungewöhnliche Verhaltensmuster in IoT-Netzwerken identifiziert und die Reaktionszeiten bei Vorfällen minimiert werden.
- Regelmäßige Patches und Firmware-Updates: Aufgrund der begrenzten Sicherheitsmaßnahmen von IoT-Geräten werden durch regelmäßige Patches die Schwachstellen reduziert.
- Implementierung eines strengen Sicherheitsmodells: Ein Zero-Tolerance-Ansatz beschränkt den Netzwerkzugriff von IoT-Geräten und verhindert die Ausbreitung, wenn ein Gerät infiltriert wird.
- Zero-Day-Gerätesicherheit: Sicherung aller Geräte vor und während der gesamten Nutzungsdauer.
Jede Strategie zur Abwehr von Gefahren kann Kosten verursachen, gleichzeitig aber auch die finanziellen Auswirkungen eines IoT-Vorfalls deutlich reduzieren. Dennoch stehen 97 Prozent der Unternehmen vor Herausforderungen bei der Sicherung ihrer IoT-Geräte und ihrer vernetzten Produkte, und 89 Prozent geben an, dass ihre IoT-Produkte in den letzten zwölf Monaten Cyber-Angriffen ausgesetzt waren.
Fazit: wachsende Bedeutung der IoT-Sicherheit
IoT-Vorfälle werden oft unterschätzt, können jedoch deutlich höhere Kosten verursachen als klassische IT-Verstöße. Wegen der betrieblichen und physischen Gefahren, die von ihnen ausgehen, der Vernetzung von kritischen Sektoren und des Risikos behördlicher Sanktionen sowie langfristiger Reputationsschäden wiegen IoT-Vorfälle schwerer. Da die Verbreitung der IoT-Geräte aber zunimmt, müssen Unternehmen ihre Ausgaben für Cyber-Sicherheit und ihr Risiko-Management neu ausrichten. Investitionen in IoT-spezifische Sicherheitsmaßnahmen, wie spezialisierte Bedrohungserkennung, Patching und eine Zero-Trust-Architektur, können helfen, diese Kosten zu mindern. Das Verständnis und die Bewältigung des gesamten Umfangs der IoT-bezogenen Risiken ist somit eine finanzielle Notwendigkeit.
Tom Ernst, Security Engineer (Check Point Evangelist, Office of the CTO) bei Check Point Software Technologies, Ltd.