So sichern Sie IoT-Umgebungen in fünf Schritten ab
Mit den richtigen Personen, Prozessen und der passenden Technologie für IoT-Cybersicherheit profitieren alle. Dadurch lässt sich etwa der Erfolg von IoT-Initiativen verbessern.
IoT (Internet of Things) stellt eine Schwachstelle in der Cybersicherheit dar. Organisationen können mit fünf Schritten präventiv dagegen vorgehen, indem sie eine IoT-spezifische Sicherheitsstrategie entwickeln.
Die Sicherheit in Unternehmen steht immer dann auf dem Spiel, wenn Gruppen außerhalb der IT mit der IoT-Breitstellung beginnen, ohne vorab die Administratoren zu informieren. Gleiches gilt, wenn ihre IoT-Initiative ein formelles Projekt zur Verfolgung von definierten Geschäftszielen ist.
Es gibt außerdem Situationen, in denen Fachleute aus anderen Bereichen womöglich noch nicht einmal erkennen, dass sie IoT-Technologie in Geräten wie intelligenten HLK-Systemen bereitstellen.
Schwachstellen sind nicht nur hypothetisch. Beispielsweise griffen Hacker 2014 ein Stahlwerk in Deutschland an und störten Steuerungssysteme so stark, dass ein Hochofen sich nicht mehr regulär herunterfahren ließ.
2012 gab das US-Heimatschutzministerium bekannt, dass Cyberkriminelle die Thermostate einer staatlichen Regierungseinrichtung und einer Produktionsstätte in New Jersey unter ihre Kontrolle gebracht hätten und in der Lage seien, Schwachstellen in industriellen Heizsystemen auszunutzen.
Der Großteil der Organisationen, die an der Studie zur Cybersicherheit von Nemertes Research teilnahmen, sagten, dass sie derzeit über einen Spezialisten für IoT-Cybersicherheit verfügen oder suchen.
Abbildung 1: Die Ergebnisse der aktuellen Nemertes-Studie. Die Mehrheit ist sich der Bedeutung eines Cybersicherheitsspezialisten bewusst.
IoT-Sicherheitsstrategien für alle operativen Bereiche
Spezialisten für IoT-Cybersicherheit sollten sich auf die folgenden fünf Schritte konzentrieren, um die IoT-Sicherheit zu gewährleisten:
Erstellen Sie einen Katalog mit den IoT-Projekten. Der Katalog muss formelle Initiativen von Geschäftseinheiten enthalten sowie intelligente Geräte, die Bestandteil des täglichen Betriebs geworden sind. Dazu gehören:
Intelligente HLK-Systeme (Heizung, Lüftung, Klimatechnik) und intelligente Baumaschinen.
Kameras
Drohnen
Mensch-Maschine-Schnittstellengeräte, zum Beispiel Alexa und Siri
Legacy-Robotik- und -Fertigungssysteme
Medizinische Geräte
Drucker
Der erste Schritt zur Lösung eines Problems besteht darin, dessen Ausmaß zu verstehen. Das ist im Fall von IoT besonders schwierig. Selbst in erfolgreichen Organisationen geben ungefähr 8 Prozent der IoT-Teams zu, nicht zu wissen, welche IoT-Initiativen es bei ihnen gibt. Keine Sorge, wenn der Katalog anfangs unvollständig ist. Wenn Sie ihn weiter aufbauen und ergänzen, wann immer IT-Fachleute IoT-Initiativen entdecken oder bereitstellen, wird dies den Prozess der IoT-Absicherung vereinfachen.
Unternehmen mit einer Strategie zur Absicherung von IoT verbessern die Cybersicherheit insgesamt und die Chancen, dass ein IoT-Projekt erfolgreich ist.
Entwickeln Sie eine IoT-spezifische Strategie, Architektur, Roadmap und Policy für Cybersicherheit. Unternehmen mit einer Strategie zur Absicherung von IoT verbessern die Cybersicherheit insgesamt und die Chancen, dass ein IoT-Projekt erfolgreich ist. Organisationen mit erfolgreichen Cybersicherheitsstrategien – wobei der Erfolg an der durchschnittlichen Gesamtzeit gemessen wird, um Vorfälle einzudämmen – besitzen mit einer 56 Protent höheren Wahrscheinlichkeit Spezialisten für IoT-Cybersicherheit. Und bei Organisationen mit erfolgreichen IoT-Initiativen – basierend auf erzieltem Umsatz, eingesparten Kosten oder verbesserten Geschäftsprozessen – besteht eine um 15 Prozent erhöhte Wahrscheinlichkeit, dass Spezialisten für IoT-Cybersicherheit vorhanden sind.
Überraschend häufig vernachlässigen IoT-Teams elementare Grundlagen der Cybersicherheit, etwa dass Geräte mindestens passwortgeschützt, Passwörter nicht fest im Gerät eingebettet und die Kommunikationsvorgänge verschlüsselt sein sollten. In vielen Fällen verkaufen Anbieter IoT-Systeme mit fest hinterlegten Passwörtern, die darüber hinaus keine Verschlüsselung unterstützen. Einfach eine Checkliste zur Verfügung zu haben, die IoT-Geräte absolvieren müssen, um im Unternehmen bereitgestellt zu werden, kann einen erheblichen Prozentsatz der Schwachstellen ausschalten.
Budget für IoT-Sicherheit. Manchmal sind die wirksamsten Maßnahmen auch die naheliegendsten. Ein Budget für IoT-Sicherheit unter Kontrolle des Teams für Cybersicherheit gewährleistet, dass der Organisation die passenden menschlichen und technischen Ressourcen zur Verfügung stehen, um das Problem zu lösen. Zudem korreliert es mit einem erhöhten allgemeinen Erfolg bei der Cybersicherheit.
Erstellen Sie einen funktionierenden Proof of Concept, und verbessern Sie ihn häufig. Organisationen sollten einen funktionierenden Proof of Concept ausarbeiten, der alle wichtigen Komponenten der Hardware, Software und Automation instanziiert und demonstriert, wie die Komponenten sich integrieren, um die nötigen Funktionen zu liefern.
Integrieren Sie die Verwaltung der IoT-Cybersicherheit in Ihr bestehendes Cybersicherheits-Dashboard. IoT-Systeme besitzen charakteristische Merkmale – etwa beschränkte Rechenleistung, geringe Bandbreite, Links mit niedriger Latenz und massive Skalierung –, die ein IoT-spezifisches Cybersicherheitsmanagement erforderlich machen könnten. IT-Experten müssen diese Merkmale in das übergeordnete Cybersicherheits-Dashboard integrieren, um dem Sicherheitsteam eine integrierte Ansicht der Schwachstellen zu liefern.
Etablierte Anbieter von Cybersicherheit wie Palo Alto, Forescout und Hewlett Packard Enterprise ermöglichen IoT-spezifische Funktionalität, die sich in ihre Produkte integrieren lässt. Neue Anbieter wie Ordr offerieren Produkte, die sich auf die Absicherung von IoT konzentrieren und sich ebenfalls in Cybersicherheits-Dashboards integrieren.
