Article

Internet der Dinge

Mehr Daten, mehr Wert, mehr Sicherheit

Bis 2020 werden rund 25 Milliarden Geräte wie Sensoren, Maschinen und Fahrzeuge miteinander kommunizieren. Intelligente, vernetzte Objekte sind das Herzstück des Internets der Dinge. Ihr wertvoller Rohstoff sind Daten. In der digitalen Zukunft werden täglich Informationen im Wert von vielen Milliarden Euro verarbeitet. Doch je enger verwoben die Netze sind, desto größer ist die Gefahr aus dem Cyberspace.

Im Internet der Dinge tauschen Geräte in Echtzeit Informationen aus. Die Daten, die sie über Sensoren und Mikroprozessoren erfassen und analysieren, bestimmen die Art und Weise, wie Maschinen handeln. So entstehen zum Beispiel individualisierte Produkte und Services, Fehler in der Produktion werden behoben, noch bevor die Waren die Kunden erreichen. Doch es gibt auch Schattenseiten: Mit den enormen Datenströmen, die auf den digitalen Straßen fließen, steigen auch die Cyber-Risiken. Immer mehr sensible Informationen werden in einem Netzwerk mit zahlreichen Schnittstellen zur Außenwelt sichtbar und sind damit grundsätzlich gefährdet.

Secure – Vorbereitet sein

Durch das Internet der Dinge entstehen neue virtuelle Ökosysteme aus verschiedenen Organisationen und Stakeholdern. Daten werden entlang der gesamten Wertschöpfungskette generiert, verarbeitet und übertragen. Verschiedene Datenformate und Kommunikationsprotokolle kommen dabei zum Einsatz. Diese Heterogenität erhöht die Komplexität und das Cyber-Risiko. Ein gemeinsamer technologischer Standard für ganze Wertschöpfungsketten ist vonnöten. Bislang fehlt es an einer Universalsprache, in der Maschinen und Geräte kommunizieren werden. Insbesondere müssen sich die einzelnen technischen Komponenten auch untereinander „kennen und vertrauen“. Für menschliche Nutzer werden in komplexen IT-Infrastrukturen bereits erfolgreich Konzepte zum Identitäts- und Zugriffsrechtemanagement umgesetzt, um Bedrohungen durch unautorisierte Zugriffe abzuwehren. Für die Machine2Machine-Kommunikation sollten vergleichbare Modelle entwickelt und ausgerollt werden.

Unternehmen, die beispielsweise komplexe Produktionssteuerungssysteme (engl. Industrial Control Systems) einsetzen, versuchen häufig, bereits installierte Sensoren an die Technologie des Internet der Dinge zu adaptieren. Spezifische Technologien werden nicht entwickelt und bestehende, aber nicht mehr zeitgemäße Komponenten nicht ersetzt – auf Kosten der Sicherheit. Denn viele der implementierten Systeme benutzen Sensoren mit minimalen Security-Protokollen. Der Grund: Sie sind nicht dazu entwickelt worden, Teil eines intensiv vernetzten und vielfach auch von außen zugänglichen Gesamtsystems zu sein. Mit dem Internet der Dinge fließen Informationen in alle Richtungen, das Backend-System sammelt und analysiert die Daten. Angesichts der diversen Kommunikationsschnittstellen gewährleisten die vorhandenen Shared Systems Accounts und Passwörter keinen adäquaten Schutz mehr. Gelingt es den Cyber-Tätern auf einen System Account zuzugreifen, haben sie oft freien Zugang zu sensiblen Informationen aus dem Gesamtsystem und können die Verfügbarkeit der Daten, die in der Regel in Echtzeit benötigt werden, massiv beeinflussen. Wenn Maschinen nicht in den definierten Parametern funktionieren, kann auch die Arbeitssicherheit von Mitarbeitenden gefährdet sein.

Nachjustieren ist also keine dauerhafte Lösung. Angesichts der rasanten Geschwindigkeit von Innovationen werden Systeme und Komponenten in immer kürzeren Zyklen weiterentwickelt und Gesamtsysteme unter Sicherheitsgesichtspunkten nicht mehr upgradefähig sein – ein wirksamer Schutz bliebe damit aus. Unternehmen sind gut beraten, regelmäßige Assessments durchzuführen und eine Strategie sowie einen Maßnahmenplan zu entwickeln, der die heutigen Sicherheitsanforderungen von Anfang an mit berücksichtigt. Dauerhaft wird es voraussichtlich wirtschaftlicher sein, veraltete Hardware und Software zu ersetzen.

Einheitliche Standards für M2M-Kommunikation

Cyber-Bedrohungen im Internet der Dinge

Vigilant – Wachsam bleiben

Die rasante technologische Entwicklung erhöht die Verwundbarkeit der Unternehmen. Eine Security-Strategie für den Schutz des Internet of Things (IoT)-Ökosystems zu entwickeln, reicht nicht aus. Zugleich sollten Unternehmen Ausschau nach neuen Cyber-Bedrohungen halten und Abwehrmaßnahmen implementieren. Zwei IoT-Aspekte spielen eine zentrale Rolle: Datensicherheit und die Gestaltung des Ökosystems.

Datensicherheit – Werte schaffen, Werte schützen

Mit den IoT-Technologien werden immer mehr Daten in einer höheren Frequenz erfasst und übermittelt. Dank kleinerer, günstigerer, intelligenterer Sensoren und flächendeckender Breitband-Netzwerke wächst die Quantität und Qualität der verfügbaren Informationen, über die wir ganz neue Auswertungsmöglichkeiten erhalten. Die wachsende Datenmenge eröffnet neue Chancen, Werte zu schaffen, erfordert allerdings höhere Datensicherheit. Für Unternehmen wird die Kontrolle über eingetretene Sicherheitsvorfälle durch die Quantität und Vielfalt der Daten erschwert. Im Internet der Dinge haben die Unternehmen vielfach nicht alleine die Hoheit über ihre Daten – auch Geschäftspartner können Informationen erzeugen oder auf Informationen zugreifen und so zur maßgeblichen Gefahrenquelle werden. Datenmanipulation oder Datendiebstähle im kleineren Ausmaß bleiben unentdeckt und gefährden das gesamte Ökosystem. Unternehmen können dieses Risiko adressieren, indem sie mittels Data Analytics Standards definieren und Datenmissbrauch frühzeitig erkennen.

Ökosystem – die Kette ist so stark wie ihr schwächstes Glied

Das enorme Volumen und die Komplexität der Daten und Datenstrukturen im Internet der Dinge sind oft Konsequenz aus der Vielfalt der Stakeholder und ihrer komplexen Organisation innerhalb eines Ökosystems. IoT-Applikationen ermöglichen das noch stärker verzahnte und besser koordinierte Handeln zahlreicher Akteure entlang der gesamten Wertschöpfungskette. Mit jedem neuen Gerät und dessen Kommunikationsmöglichkeiten im System vergrößert sich die Angriffsfläche für eine Cyber-Attacke. Die Tore zum gesamten Ökosystem öffnen sich und machen dieses angreifbar. In einem unternehmensübergreifenden Ökosystem ist die Verantwortung für das Monitoring der Datenflüsse oft nicht klar geregelt. Zudem wachsen oder ändern sich Ökosysteme im Laufe der Zeit. In der Vergangenheit festgelegte Verantwortlichkeiten verlieren damit ihre Gültigkeit. 

Industrieunternehmen erweitern zum Beispiel ihre IoT-basierte Prozesse und Systeme über die eigene Organisation hinaus. Entsprechend fließen Informationen zwischen diversen Geräten und Datenbanken, die von den Partnern des Ökosystems kontrolliert werden. Diese sogenannten Third Parties müssen erkennen, dass ihr Cyber Security Management Implikationen für das gesamte Ökosystem hat. Die Kette ist so stark wie ihr schwächstes Glied.

Angesichts der Komplexität von IoT-Ökosystemen dürfen Unternehmen nicht dem Irrglauben verfallen, die beteiligten Akteure würden die Verantwortung für Cyber Security teilen. Stattdessen sollten sie sich so verhalten, als ob die Verantwortung ausschließlich bei ihnen liege.

Ein wirksamer Schutz gegen Cyber-Risiken beginnt mit klaren Richtlinien innerhalb des Ökosystems: Auch wenn jeder Akteur wissen sollte, wo seine Verantwortung beginnt und endet, muss es in der Kette auch einen Hauptverantwortlichen geben. Hinzu kommt ein regelmäßiges Review der Zuständigkeiten aller Stakeholder, die Informationen aus dem Ökosystem nutzen, wie auch der Maßnahmen, die sie in die Lage versetzen, der Verantwortung gerecht zu werden. Und zu guter Letzt gilt es auch, potenzielle Gefahren im Rahmen von regelmäßigen Risk Assessments zu erkennen und abzuwehren.

Ausschau nach Cyber-Bedrohungen halten und Abwehr-maßnahmen implementieren

Resilient - Widerstandsfähig sein

So hoch die Schutzmauern auch sind – eine 100-prozentige Sicherheit gibt es nicht. Im Fall einer Cyber-Attacke kommt es darauf an, schnell und koordiniert zu reagieren, um zügig die Funktionsfähigkeit des Unternehmens wiederherzustellen. Zwei Aspekte stehen dabei im Fokus: Data Management und technische Ressourcen.

Eine Vielzahl an Unternehmen sammelt vielfältige Daten von zahlreichen Quellen. Die Entwicklung der IoT-Technologie unterstützt diesen „Collect it if you can“-Ansatz. Sinkende Kosten für Sensoren und zunehmende Flexibilität führen dazu, dass Unternehmen mehr Daten erfassen als sie tatsächlich brauchen. Gleichzeitig kann in der Vielzahl der Daten der Blick für die Kronjuwelen – also die Daten mit hohem Wert für das Unternehmen – verloren gehen.

Eine stringente Data Governance hilft, Risiken zu minimieren und die wachsenden Datenmengen sicher zu managen. Klare Vorgaben sorgen dafür, dass ausschließlich Daten generiert werden, deren Wert das Risiko rechtfertigt. Zugleich steigt die Datenqualität. Richtlinien, die die Berechtigungen (Welcher Stakeholder innerhalb des Ökosystems verfügt über die Daten?) und die Dauer des Data Life Cycle regeln, stellen sicher, dass Daten vorübergehend gespeichert und für vereinbarte Ziele verarbeitet werden.

Ein effektiver Schutz steht und fällt mit den vorhandenen technischen Ressourcen und regelmäßigen Kontrollen der Standhaftigkeit der Sicherheitstechnologien. Ersatzkapazitäten für mögliche Systemausfälle verhindern beispielsweise im Krisenfall eine Kettenreaktion, die das gesamte Unternehmen lahmlegt.

Schnell und koordiniert reagieren

Der Deloitte-Ansatz

Für einen wirksamen Schutz gilt die Faustregel: Das Cyber Risk Management sollte umfassend sein und den gesamten Cyber Life Cycle aus Secure, Vigiliant und Resilient abdecken – sicher, umsichtig und widerstandsfähig.

  • Cyber Risk Management and Compliance
  • Cyber Training, Education and Awareness
  • Cyber Strategy, Transformation and Assessments

Cyber Strategy and Governance

  • Infrastructure Protection
  • Vulnerability Management Services
  • Application Protection
  • Identity and Access Management
  • Information Privacy and Protection

 

Secure – Protect

  • Advanced Threat Readiness and Preparation
  • Cyber Risk Analytics

Vigilant – Predict

  • Security Operations Center
  • Threat Intelligence and Analysis
     

Vigilant – Detect

  • Cyber Incident Response
  • Cyber Wargaming
     

Resilient – Respond

Fanden Sie diese Information hilfreich?