7. Dezember 2017

IT meets Press: IT-Sicherheit in Frage gestellt

Intelligente Sicherheitslösungen und EU-Datenschutz strapazieren die IT-Budgets. Als große Aufgabe kommt in diesem Jahr auch noch das Datenschutzthema DSGVO hinzu. Vor zahlreichen IT- und Wirtschaftsjournalisten diskutierte letzte Woche beim Presse-Roundtable IT-meets-Press eine Expertenrunde aus dem Analysten-, Anwender- und Herstellerumfeld darüber, Unternehmen mit dem Thema umgehen, welche großen Probleme sich mit IoT-Geräten abzeichnen und was beim EU-Datenschutz zu beachten ist.

Mögliche Wirtschaftskrisen aufgrund von IoT-Schwachstellen

Gehackte Webcams, Viren in Android-Fernsehgeräten oder auch ein Eindringen in die Steuerelektronik eines Jeep-SUVs stellten bisher mögliche Gefahrenszenarien dar, die die jedoch eher einen anekdotischen Charakter aufwiesen. Doch nun muss sich die Gesellschaft aufgrund von rasanten Ausbreitungen intelligenter Geräte auch auf neue Herausforderungen vorbereiten.


„Wenn manipulierte Mähdrescher bei Regen die Ernte einfahren, könnte das im schlimmsten Fall in einer Wirtschaftskrise münden“, warnte Mirco Rohr, Global Evangelist beim Cybersecurity-Spezialisten Bitdefender.


 Noch sind keine schlimmen Unfälle bekannt geworden, dennoch ist die Branche bereits sensibilisiert. Vor allem lebenskritische Umgebungen wie Kliniken stehen hier vor großen Herausforderungen, denn es gibt in diesem Bereich bis heute keinen gemeinsamen technischen Standard. Auch die zunehmende Vernetzung von Industriesteuerungen steigert das Risiko böswilliger Manipulationen und Angriffe. Wie real hier die Bedrohung durch ungeschützte IoT-Geräte und Industriesteuerungen ist, zeigt schon eine kurze Suche bei der zum Auffinden solcher Endgeräte spezialisierten Suchmaschine Shodan oder Riskviz.

Massenmarktprodukte vs. Zertifizierungsprodukte

Bei der Ursachenforschung rückt vor allem das Patchmanagement ins Blickfeld, das in einem Spannungsfeld zwischen Kostendruck einerseits und regulatorischen Vorgaben andererseits steht. Produkte aus dem Massenmarkt wie die Webcam für 39 Euro werden in der Regel nur kurz mit Patches versorgt und stehen dann irgendwann angreifbar im Netz. In der Medizin und der Chemie hingegen ziehen sich Zertifizierungsprozesse über Monate und Jahre hin. Sobald man dann per Patch nur ein Bit ändert, muss das System wieder in den Abnahmeprozess. Um zukünftig die Gefahren einzudämmen, forderte die Runde neue Ansätze wie eine generelle Produkthaftung. 

In der Medizin und der Chemie ziehen sich Zertifizierungsprozesse oft über Monate und Jahre hin. (Quelle: Wavebreakmedia/iStock)

Neue Bedrohungen: Skript-basierende Hacks

Aktuell breiten sich als neue Einfallsvektoren neben der altbekannten E-Mail-basierenden Malware inzwischen Skript-basierte Hacks aus. Aus Strategiesicht bedeutet das, dass sich Unternehmen neu aufstellen müssen. Es reicht nicht mehr, Mauern mit Firewalls und Antivirus um die IT zu bauen.


„Diese Klassiker sind zwar noch wichtig als Grundschutz, aber wenn man sich gegen gezielte Angriffe schützen möchte, muss man sich proaktiv auf Incidents ausrichten.“, so Matthias Straub, Director Professional Services bei NTT
Security.


Auch der Trend zur stärkeren Vernetzung und der Vermarktung von Services fordert hier ein Umdenken.

Aktueller Digitalisierungstrend bedroht die IT-Sicherheit

Wie weit die Unternehmen auf dieses sich rasant wandelnde Umfeld vorbereitet sind, steht auf einem anderen Blatt. Eine aktuelle Studie von Ekkehart Schnedermann, Senior-Analyst bei Crisp Research, belegt, dass der aktuelle Digitalisierungstrend auf jeden Fall die IT-Sicherheit bedrohe, aber zwei Drittel der Unternehmen diesbezüglich noch eine unklare oder keine Strategie haben. Vor allem die Balance zwischen IT-Performance und Benutzerfreundlichkeit einerseits und den Anforderungen der Sicherheit andererseits stellen ein großes Problem dar. Dass der Faktor Mensch generell eine weitaus größere Rolle spielt, als gemeinhin wahrgenommen, war eine weitere Erkenntnis der Diskussionsrunde. Die Experten waren sich einig, dass leichtsinniges oder unbewusstes Fehlverhalten am Arbeitsplatz nach wie vor für einen großen Teil von Vorfällen verantwortlich ist.

Auch die Cloud kommt als wichtiger Sicherheitsfaktor ins Spiel. (Quelle: StockFinland/iStock) 

Auch die Cloud kam bei dem Event als wichtiger Sicherheitsfaktor ins Gespräch. Die Zentralisierung von Services bei professionellen Anbietern löse viele Security-Probleme. Auf der anderen Seite sei auch eine Themenverlagerung in Richtung Virtualisierung und hybrider Clouds zu beobachten. Vor allem große Unternehmen gingen verstärkt dazu über, kritische Daten in ihre Private Clouds zu verlagern. Zu den größten Herausforderungen zählten hier hybride Authentisierungslösungen und performante Sicherheitssysteme.

DSGVO – Heiße Luft oder notwendig?

Beim Thema Datenschutzgrundverordnung (DSGVO) ging es vor allem um praktische Fragen und rechtliche Risiken. Einig waren sich die Diskutanten, dass trotz des nahenden Termins im Mai 2018 noch relativ wenige Unternehmen das Thema ernst nähmen. Als die zwei wichtigsten Aspekte kristallisierten sich die Umkehrung der Beweislast sowie das Recht auf Vergessen heraus. Und auf was müssen Unternehmen hauptsächlich achten, um konform mit der DSGVO zu gehen? Wichtig ist zum einen die Feststellung, dass Unternehmen, die heute schon den Datenschutz ernst nehmen, auch mit der DSGVO-Umsetzung wenig Probleme haben werden.

Außerdem gilt der simple Grundsatz, dass man für den Datenschutz „moderne, probate Tools verwende“. Das bedeutet im Grunde Entwarnung für die Anwender, die also keine umfangreichen Investitionen tätigen müssen. Und es heißt auch, dass bis zur exakten Definition von „modernen und probaten Tools“ durch Organisationen wie TÜV oder BSI noch einige Zeit vergehen dürfte.

 

Quelle Titelbild: it-meets-press

Dieser Beitrag basiert zum Teil auf der Pressemitteilung von it-meets-press.de, November 2017.

 

Schreiben Sie einen Kommentar

Mit einem Netzwerk anmelden, oder das Formular ausfüllen. Die E-Mailadresse wird nicht veröffentlicht. Notwendige angaben sind mit * gekennzeichnet.