Die Hälfte (51 Prozent) der in einer aktuellen Kaspersky-Studie [1] befragten Unternehmen in Europa nutzt IoT-Lösungen, allerdings schützen 48 Prozent diese nicht vollständig.
Für 49 Prozent hingegen besteht das Haupthindernis für die Umsetzung von IoT-Projekten im Risiko von Cybersicherheitsverletzungen und Datenkompromittierungen.
Dass der Schutz dieser Geräte allerdings von entscheidender Bedeutung ist, zeigt eine Analyse von Gartner [2]: Demnach kam es in den vergangenen drei Jahren bei jedem fünften Unternehmen zu Cyberattacken auf IoT-Geräte im Unternehmensnetzwerk. Dies liegt unter anderem daran, dass der IoT-Markt mit vielen konkurrierenden Geräten und Systemen relativ unübersichtlich ist und von den bisher eingesetzten Sicherheitslösungen nicht immer abgedeckt werden kann.
Neben fehlender Schutzlösungen mangelt es zudem unternehmensintern an Wissen, wie man mit IoT-Sicherheit umgehen soll: Laut aktueller Kaspersky-Umfrage fühlt sich mehr als jedes dritte (39 Prozent) Unternehmen in Europa bei der Auswahl geeigneter Lösungen überfordert, 40 Prozent befürchten zudem Performance-Nachteile beim Einsatz von Sicherheitslösungen. Des Weiteren scheuen 37 Prozent hohe Kosten und 32 Prozent glauben, solche Investitionen gegenüber der Unternehmensleitung nicht rechtfertigen zu können. Jedes dritte Unternehmen (31 Prozent) klagt zudem über fehlende hauseigene IoT-Sicherheitsexperten.
IoT-Sicherheit muss von Beginn an bedacht werden – von allen Beteiligten
Zu den genannten Problemen kommt es vor allem dann, wenn die IoT-Sicherheit nicht von Anfang an im Fokus steht – und zwar bei allen Beteiligten – von den Geräteherstellern bis zu den Unternehmen, die IoT-Lösungen einsetzen.
„Cybersicherheit ist für IoT von zentraler Bedeutung“, erläutert Stephen Mellor, Chief Technology Officer beim Industry IoT Consortium. „Risikomanagement ist ein wichtiges Anliegen, da Leib, Leben und Umwelt auf dem Spiel stehen. IT-Fehler sind möglicherweise unangenehm und teuer, doch IoT-Fehler können fatale Folgen haben. Dabei ist Cybersicherheit nur eine Etappe auf dem Weg zum verlässlichen System. Auch physikalische Sicherheit, Datenschutz, Resilienz, Zuverlässigkeit und Betriebssicherheit müssen berücksichtigt werden. Hinzu kommt, dass all das aufeinander abgestimmt werden muss. So sorgen zwar elektronische Schlösser für mehr Gebäudesicherheit, doch können verschlossene Türen auch zur Falle werden, wenn es etwa darum geht, ein Gebäude schnell zu räumen.“
Eric-Kao, Director WISE-Edge+ bei Advantech, einem globalen Anbieter industrieller IoT-Sicherheitslösungen, ergänzt: „IoT-Projekte sind von Natur aus stark fragmentiert, lose gekoppelt, domainspezifisch und ihre Integration gestaltet sich schwierig. Im Vergleich dazu haben IT-Projekte – etwa im Bereich Messaging/Kommunikation, Analytics oder CRM – zu rund 80 Prozent gemeinsame Anforderungen. Bei der Implementierung von IoT haben wir es dagegen mit allen Arten von Altsystemen, physikalischen Restriktionen, Domain-Protokollen oder Lösungen unterschiedlicher Hersteller zu tun. Zudem müssen Verfügbarkeit, Skalierbarkeit und Sicherheit im Gleichgewicht sein. Für ein Plus an Verfügbarkeit und Skalierbarkeit ist eine bestimmte Cloud-Infrastruktur erforderlich, und damit eine Öffnung des Systems, was wiederum eine enorme Herausforderung für dessen Sicherheit darstellt.“
„Trotz all dieser Herausforderungen bietet das Internet of Things fantastische Möglichkeiten; nicht nur für Unternehmen, sondern für uns alle. Denken wir nur an Wohnkomfort, Verkehr, oder eine schnelle Zustellung und Kommunikation“, so Andrey Suvorov, CEO bei Adaptive Production Technology (Aprotech, einer Kaspersky-Tochter für IIoT-Lösungen). „IoT ist weltweit bereits stark in Smart Cities (62 Prozent), Einzelhandel (62 Prozent) und der Industrie (60 Prozent) verankert. Dazu zählen Projekte der Energie- und Wasserversorgung, intelligente Beleuchtung, Alarmanlagen oder Videoüberwachung. Experten in aller Welt arbeiten an deren effektivem Schutz. Doch sind derlei Anstrengungen auf allen Ebenen nötig – das reicht von den Anlagenherstellern und Software-Entwicklern bis hin zu den Dienstleistern und Unternehmen, die solche Lösungen einsetzen und nutzen.“
Empfehlungen für mehr IoT-Sicherheit
- Bei der Auswahl der IoT-Geräte auf deren Sicherheitseigenschaften achten. Sie sollten über Cybersicherheitszertifikate verfügen und von Herstellern stammen, die besonderen Wert auf Informationssicherheit legen.
- Strikte Zugriffsregeln, Netzwerk-Segmentierung und Zero-Trust-Modelle nutzen. So wird bei Angriffen die Schadensausbreitung minimiert, und die empfindlichsten Teile der Infrastruktur bleiben geschützt.
- Über ein Vulnerability Management werden die wichtigsten Daten zu Schwachstellen in PLCs, Betriebsmitteln und Firmware regelmäßig erfasst und können mittels entsprechender Schutzmaßnahmen umgangen werden.
- Das „IoT Security Maturity Model“ [3] ist eine Methode, die Unternehmen durch alle Schritte und Ebenen leitet, die für eine hinreichende IoT-Sicherheit benötigt werden.
[1] https://www.kaspersky.com/blog/iot-report-2022/
[2] https://www.gartner.com/imagesrv/books/iot/iotEbook_digital.pdf
[3] https://www.iiconsortium.org/smm.htm
www.kaspersky.de