Sicherheitsrisiko IoT und IIoT

Angesichts neuer Technologien und immer raffinierterer Angriffe sehen sich die IT-Abteilungen in Unternehmen stetig größer werdenden He­rausforderungen in Sachen Cybersicherheit gegenüber. Umfangreich vernetzte Industrieanlagen eröffnen den Kriminellen ganz neue Möglichkeiten. Und eine Attacke auf die Produktionsanlagen und deren tagelanger Stillstand kann ein Unternehmen schnell aus der Bahn werfen.

Kurzum: Das Internet of Things beziehungsweise das Industrial Internet of Things bieten ungeahnten Angriffsflächen. „Daher“, so Josef Meier, Director Sales Engineering Germany beim IT-Sicherheitsspezialisten Fortinet, „werden wir einige große Aktionen mit DDoS-Attacken oder Erpressungsversuchen in diesem Umfeld sehen.“

Auch Peter Meivers von Baramundi unterstreicht: „Mit der zunehmenden Vernetzung - sowohl durch die schnell wachsende Zahl an mobilen Endgeräten in der klassichen IT als auch von IIoT-Endpoints in der Produktion - sind Transparenz im Netzwerk und Schwachstellen-Management von entscheidender Bedeutung, um das Risiko erfolgreicher Cyber­angriffe einzudämmen.“

Schwachstellen entstehen nach Erfahrung von Peter Neumeier, Head of Channel Germany bei Kaspersky, bereits bei der Produktentwicklung. Aufseiten der Entwickler und Anbieter sei es wichtig, von Beginn an IT-Sicherheits- und Datenschutzaspekte in ihre Produkte zu integrieren - „das Stichwort lautet hier ,Security by Design‘“.

Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure, ergänzt: „Die meisten IoT-Geräte werden von Unternehmen hergestellt, die mit Sicherheit nichts am Hut haben beziehungsweise die Produkte mit minimalen Anforderungen auf den Markt bringen, um das Produkt dann ,am Kunden‘ weiterzuentwickeln.“ Hinzu komme, dass einige Unternehmen bereits nach kurzer Zeit ihre Updates für ihre IoT-Geräte einstellten. Die Folge seien schwerwiegende Sicherheitslücken.

Trotz neuer Gefahren durch das IoT und das IIoT - eigentlich stehen die Sicherheitsverantwortlichen vor denselben Problemen wie die klassische IT vor 20 Jahren: Eine geforderte permanente Erreichbarkeit über das Netzwerk sowie häufig unübersicht­liche Hard- und Software-Landschaften machen es schwer, das System zuverlässig abzusichern.

Grundsätzlich gilt: „IoT-Geräte, die mit dem Internet verbunden sind, können wie jedes andere internetfähige Gerät gehackt werden“, warnt Luis Corrons, Security Evangelist beim Antiviren-Spezialisten Avast. Um das Netzwerk ausreichend zu schützen, ist es laut Corrons daher wichtig, die Sicherheitsschwachstellen von IoT-Geräten zu verstehen.

So sind zum Beispiel Trojaner-Angriffe auch bei Industrieanlagen ein Problem. Wenngleich industrielle Netze oftmals für abgeschottet gehalten werden, sind solche Angriffe von innen heraus möglich. Das ist etwa über neu in das Netzwerk eingebundene, infizierte Industrierechner der Fall, die über ein veraltetes Betriebssystem verfügen: „Industrieunternehmen sind gefährdet, da die von ihnen genutzten Produktions- und Steuerungsnetzwerke meist älteren Datums sind“, erklärt Christian Stüble von Rohde & Schwarz Cybersecurity. Im Zuge der Digitalisierung böten sie zunehmend Schlupflöcher für Hacker. Seiner Ansicht nach ist die deutsche Industrie mit ihren vielen kleinen und mittleren Zulieferern Angriffen besonders ausgesetzt: „Obwohl der Sicherheitsstandard der großen Unternehmen schon weit fortgeschritten ist, erfolgen konkrete Angriffe häufig über die verbundenen Unternehmen, die sich ein professionelles IT-Sicherheitskonzept oft nicht leisten können.“