Security

Sicherheit im IoT: „Das größte Risiko ist der Mensch“

Seite: 2/2

Firmen zum Thema

Michael Schnelle von Mixed Mode: „Schon bei der Planung von Systemen sollten Sicherheitsaspekte berücksichtigt werden.“
Michael Schnelle von Mixed Mode: „Schon bei der Planung von Systemen sollten Sicherheitsaspekte berücksichtigt werden.“
(Bild: Mixed Mode)

Was ist aus Ihrer Sicht die schlimmste Bedrohung?

Peter Siwon: Wie bereits oben beschrieben ist es die Neigung des Menschen Risiken falsch zu bewerten. Hinzu kommt seine Neigung zu Bequemlichkeit (kein Passwortwechsel, ein und dasselbe Passwort für mehrere Accounts, zu simple Passworte) und seine Abneigung gegen Reglementierungen und Vorschriften.

Eine weitere Bedrohung stellt die Vermischung beruflicher und privater Kommunikation und Systemnutzung dar, etwa Smartphones, die auch privat genutzt werden, werden im Firmennetz eingesetzt. Schließlich ist es schlicht und ergreifend Unwissenheit, so etwa über Voreinstellungen der Hersteller, die geändert werden sollten, bevor ein System online geht.

Kurz: Das größte Risiko stellt der Mensch selbst dar. Ein weiteres Risiko sehe ich in der mangelnden Verfügbarkeit effektiver Prozesse und Infrastrukturen, die im Falle des Not-Falles sicherstellen, dass die Funktionen ausgefallener Systeme übernommen werden und die betroffenen Systeme schnell neu installiert werden. Die größte Bedrohung sehe ich, wenn durch diese individuellen Sicherheitslücken wichtige Infrastrukturen wie zentrale Server oder andere Anlagen über eine nicht tolerierbare Ausfallzeit oder Ausfallhäufigkeit lahmgelegt werden können.

Michael Schnelle: Die Frage nach der schlimmsten Bedrohung lässt sich nicht allgemein beantworten, da sie sehr vom Use-Case und der Einsatzumgebung eines Systems abhängt. Eine Bedrohung wird nach den Gesichtspunkten der Ausnutzbarkeit und des potentiellen Schadens betrachtet. Man spricht hier auch vom potentiellen Risiko einer Bedrohung. Wird durch das Ausnutzen einer Bedrohung ein vergleichsweise hoher Schaden verursacht, kann das Risiko trotzdem gering sein, wenn diese praktisch fast unmöglich ist auszunutzen.

Auf der anderen Seite kann das Risiko für eine Bedrohung auch hoch sein, wenn der zu erwartende Schaden niedrig ist, aber die Ausnutzbarkeit sehr einfach ist. Gegen Bedrohungen, die sehr einfach auszunutzen sind, kann man sich, in der Regel, auch einfach Schützen. Ein beliebtes Einfallstor im IoT ist – da meist unterschätzt – das Web-Interface eines Gateways, was sich meist durch wenig Konfiguration und den Einsatz geprüfter Standardsoftware absichern lässt.

Wie kann man sich erfolgreich wehren?

Peter Siwon: Das Wichtigste ist Aufklärung, und zwar nicht einmal sondern immer wieder (aus oben genannten Gründen). Es sollte wenigstens eine kompetente Person in der Firma geben, die in der Lage ist, das Risiko objektiv zu bewerten und die notwendigen und angemessenen Sicherheitsmaßnahmen laiengerecht und möglichst leicht umsetzbar vorzubereiten.

Diese Person benötigt genügend Zeit, um sich mit dem Thema kontinuierlich zu befassen, denn Sicherheit im Internet ist ein kontinuierlicher Prozess. Schließlich sollte die Einhaltung der Sicherheitsmaßnahmen regelmäßig und möglichst automatisch erfolgen. Sollte es diese Person nicht geben, ist externe Unterstützung ratsam. Das ist jetzt nichts neues, nur, dass sich der Kreis der von solchen Bedrohungen betroffenen Systeme und Personen durch IoT explosionsartig erweitert.

Michael Schnelle: Sicherheit ist ein Prozess, der idealerweise von Beginn an Bestandteil eines Projekts ist. Sehr schwierig ist es ein fertiges Produkt oder System sicher zu machen. Schon bei der Planung sollten Sicherheitsaspekte berücksichtigt werden. Idealerweise haben auch die Entwickler ein Verständnis für Sicherheit und wissen, was beachtet werden muss um sichere System zu entwickeln. Durch Bedrohungs- und Risikoanalysen kann das optimale Verhältnis zwischen benötigter Sicherheit und den aufzuwendenden Kosten ermittelt werden.

Ein System kann auch meist nicht hundertprozentig abgesichert werden, denn solange mit der Außenwelt interagiert wird, besteht ein Restrisiko. Ziel ist es, dieses Risiko, soweit möglich zu minimieren. Die dafür nötigen Kenntnisse und Mittel vermitteln wir gerne im Zuge unserer Vorträge, Workshops und Projekte.

Peter Siwon und Michael Schnelle referieren am 15. September im Rahmen des IoT-Kongresses in München über das Thema: „IoT-Security-Check: Wie Sie Bedorhungen richtig erkennen“

(ID:44188945)