Kontrolle gefragt: Das IoT und die Schatten-IT

Die Schatten-IT stellte in der Vergangenheit für die meisten Unternehmen einen Albtraum dar – sie stand außerhalb der Kontrolle der IT und brachte eine Vielzahl von Sicherheitsproblemen mit sich. Schatten-IT bedeutet grundsätzlich, dass Fachabteilungen Anwendungen und Systeme ohne Wissen der IT-Abteilung betreiben. Diese Systeme sind weder technisch noch strategisch in das IT-Service-Management des Unternehmens integriert.

Für diese Anwendungen gelten keine Service Level Agreements (SLA), die IT-Abteilung leistet keinen Support, Helpdesk oder Daten-Backup, da sie ja nichts davon weiß. Lückenhafte Datensicherheit, unzureichende Dokumentationen und fehlende Tests vergrößern die Risiken. Insellösungen und IT-Wildwuchs unterlaufen auch die IT-Governance, sprich die zentrale und effektive Steuerung der IT im Unternehmen etwa über einheitliche Richtlinien und Standards.

Doch mit dem zunehmenden Einsatz von Mobiltelefonen im Unternehmen hat sich die Haltung zur Schatten-IT etwas verändert. Jetzt wird die Schatten-IT eher als Indikator dafür gesehen, wie sie die Produktivität im Unternehmen unterstützt; oder mit anderen Worten: es geht um das sichere Erschließen von Innovationen.

Viele Firmen greifen immer noch gerne auf das traditionelle IT-Drehbuch zurück, fürchten sich vor neuen Technologien und Sagen einfach „Nein“. Das war beispielsweise in den späten 1990er-Jahren so mit WLAN und am Anfang auch mit dem iPhone. Neue IoT-Geräte (Internet of Things) könnten jedoch echten geschäftlichen Mehrwert liefern. Vernetzte Kühlschränke scheinen solange dumm zu sein, bis sie in einem Markt wie der Pharmaindustrie potenziell sowohl den Umsatz als auch die Produktivität steigern. IP-Kameras können in Notfällen die Verantwortlichen bei der Koordination der Ersthelfer unterstützen, indem sie Echtzeit-Videos zur Verfügung stellen, die Informationen zur Situation vor Ort geben. Und im Einzelhandel zeigen digitale Bildschirme den Kunden in jedem Geschäft weltweit relevante Inhalte an. Dies sind nur einige Beispiele aus der Praxis, in denen das IoT bereits heute Realität ist.

In einem kürzlich veröffentlichter Bericht von IDC heißt es: „Unsere IoT-Welt wächst in einem atemberaubenden Tempo, von zwei Milliarden Objekten im Jahr 2006 auf 200 Milliarden bis 2020 – das sind rund 26 intelligente Objekte für jeden Menschen auf der Erde“. Diese schiere Menge allein kann die IT-Abteilung durchaus überfordern mit der Folge, dass sie das IoT nicht komplett kontrollieren kann und sich eine Schatten-IT entwickelt.

Die Antwort: Wir müssen Bausteine entwickeln, mit denen die IT „Ja“ zum Internet der schattigen Dinge sagt.

Hier fünf Tipps für den Umgang mit dem Internet der schattigen Dinge:

Netzwerk segmentieren: Benutzer bringen neue Geräte in das Netzwerk ein, die Firmen wahrscheinlich nicht mit der kritischen Infrastruktur verbinden wollen. Es ist daher an der Zeit, ein paar neue SSIDs (Service Set Identifier) und VLANs (Virtual Local Area Network) zum Netzwerk hinzuzufügen. Einige Firmen verfügen möglicherweise bereits über ein Gastnetzwerk, das den Zugriff auf ihre Ressourcen blockiert. Das ist ein guter Anfang. Allerdings kann es sein, dass IoT-Geräte im Unterschied zu den Gastgeräten auf einige Daten des Unternehmens zugreifen müssen. Die IT-Abteilung sollte im Laufe der Zeit entscheiden, welche Ressourcen im IoT-Netzwerk verfügbar sind. Letztendlich steht ein IoT-Netzwerk irgendwo zwischen dem absolut vertrauenswürdigen Unternehmensnetzwerk und dem Netzwerk für Gäste.

PKI und NAC einsetzen: Firmen wollen nicht, dass Benutzer ihre Zugangsdaten in den besagten vernetzten Kühlschrank legen, um sie online zu stellen, da der Kühlschrank im Netzwerk als Mitarbeiter agiert, wenn er geknackt wurde. Die Public-Key-Infrastruktur (PKI) kann dabei helfen. Sie stellt sicher, dass ausschließlich autorisierte Endgeräte eine Verbindung herstellen können, die vom Benutzer angemeldet und von der IT-Abteilung als vertrauenswürdig eingestuft wurden. Ein Schichtenmodell in der Network Access Control (NAC) sorgt dafür, dass die Geräte tatsächlich vertrauenswürdig sind und minimale Sicherheitskriterien erfüllen. Weniger vertrauenswürdige IoT-Geräte werden im richtigen Netzwerk segmentiert.

Telnet blockieren: Wenn es möglich ist, sollten die Firmen Telnet-Verbindungen zu ihrem Netzwerk komplett blockieren, mindestens aber die Verbindungen über Telnet, die von außen kommen. Ungesicherte Verbindungen wie Telnet ermöglichen in Kombination mit über Standard-Passwörter gesicherten Geräten die Verbreitung von Würmern.

Traffic Shaping: Beim Traffic Shaping werden Datenpakete nach bestimmten Kriterien verzögert oder blockiert. Damit können Firmen die Auswirkungen von Angriffen aus dem Netzwerk durch das Filtern von verdächtigen Verkehrsströmen mindern und die Konnektivität für unternehmenskritische Services verbessern.

Möglichst viel Verwaltung und Kontrolle: Mitarbeiter können einige vernetzte Geräte in das Enterprise Mobility Management (EMM) und andere Sicherheits-Frameworks einbinden. Wenn ein Unternehmen Prototypen seiner eigenen IoT-Geräte entwickelt, sollte es auf Plattformen wie Windows 10 und Android zurückgreifen, da deren Sicherheitswerkzeuge ausgereifter sind als die der Entwicklungs-Plattformen für Consumer. Ist es nicht möglich, die Geräte über eine zentrale Plattform zu konfigurieren, sollte die IT-Abteilung die Mitarbeiter veranlassen, diejenigen Standard-Konfigurationen zu deaktivieren, die zu Exploits geführt haben.

Diese Security Best Practices bilden das Fundament von IoT-Szenarien in Unternehmen. Firmen schaffen damit nicht nur die Voraussetzungen für die Sicherheit zukünftiger vernetzter Geräte, sondern erhöhen damit bereits heute ihre Sicherheit.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!