Sicherheitslösungen und EU-Datenschutz strapazieren die IT-BudgetsIoT-Massenmarkt stellt IT-Sicherheit in Frage

30. November 2017

In Bezug auf die IT-Sicherheit in Unternehmen greifen derzeit skriptbasierende Angriffe auf Clients um sich, nachdem bisher vor allem Malware-infizierte E-Mails als das Einfallstor der Wahl galten. Als große Aufgabe kommt in diesem Jahr das Datenschutzthema DSGVO (Datenschutzgrundverordnung) hinzu. Wie Unternehmen damit umgehen, welche großen Probleme sich mit IoT-Geräten abzeichnen und was beim EU-Datenschutz zu beachten ist, diskutierte eine Expertenrunde aus dem Analysten-, Anwender- und Herstellerumfeld: (von links) Jörg Spilker von der Datev, Mirco Rohr von Bitdefender, Matthias Straub von NTT Security, Patrick Quellmalz vom VOICE – Bundesverband der IT-Anwender e.V. und Ekkard Schnedermann von Crisp Research.

Wirtschaftskrisen auslösen

Matthias Straub, Director Professional Services bei NTT Security, dem IT-Security Dienstleister der Dimension Data Germany; Quelle Dimension Data
Matthias Straub, Director Professional Services bei NTT Security, dem IT-Security Dienstleister der Dimension Data Germany; Quelle Dimension Data

Bisher hatten Angriffe auf das Internet of Things (IoT) eher anekdotischen Charakter: Gehackte Webcams, Viren in Android-Fernsehgeräten oder auch ein Eindringen in die Steuerelektronik eines Jeep-SUVs stellten bisher mögliche Gefahrenszenarien dar. Doch mit der rasanten Ausbreitung intelligenter Geräte in allen Industrien muss sich die Gesellschaft auch auf ganz neue Herausforderungen vorbereiten, so lautete das Fazit der Expertenrunde im Münchner Haus der bayrischen Wirtschaft. „Wenn manipulierte Mähdrescher bei Regen die Ernte einfahren, könnte das im schlimmsten Fall in einer Wirtschaftskrise münden“, warnte Mirco Rohr, Global Evangelist beim Antivirenspezialisten Bitdefender. Noch sind keine schlimmen Unfälle bekannt geworden, aber die Branche ist sensibilisiert.

Vor allem in lebenskritischen Umgebungen, wie zum Beispiel bei Kliniken gegeben ist, ergeben sich große Herausforderungen, wie Matthias Straub, Director Professional Services bei NTT Security, dem IT-Security Dienstleister der Dimension Data Germany, erläuterte. Einer seiner Kunden, ein Universitätsklinikum, betreibt heute schon 5000 IoT-Geräte im Netz, weitere 5000 sollen folgen, und es gibt bis heute keinen gemeinsamen technischen Standard. „Die Probleme für die Sicherheitsbeauftragten sind immens groß. Die Geräte werden täglich benötigt, aber in der Regel bleiben die Sicherheitsfragen ungeklärt.“ Auch die zunehmende Vernetzung von Industriesteuerungen steigert das Risiko böswilliger Manipulationen und Angriffe. Wie real hier die Bedrohung durch ungeschützte IoT-Geräte und Industriesteuerungen ist, zeigt schon eine kurze Suche bei der zum Auffinden solcher Endgeräte spezialisierten Suchmaschine Shodan oder Riskviz.

Bei der Ursachenforschung rückt vor allem das Patchmanagement ins Blickfeld, das in einem Spannungsfeld zwischen Kostendruck einerseits und regulatorischen Vorgaben andererseits steht. Produkte aus dem Massenmarkt wie die Webcam für 39 Euro werden in der Regel nur kurz mit Patches versorgt und stehen dann irgendwann angreifbar im Netz. Am oberen Ende des Marktes hingegen behindern oft regulatorische Vorgaben, wie Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev erklärt: „In der Medizin und der Chemie ziehen sich Zertifizierungsprozesse über Monate und Jahre hin. Sobald man dann per Patch nur ein Bit ändert, muss das System wieder in den Abnahmeprozess.“

Um zukünftig die Gefahren einzudämmen, forderte die Runde neue Ansätze wie eine generelle Produkthaftung. Aus Sicht der betroffenen Anwender unterstrich Patrick Quellmalz, Geschäftsführer VOICE-CIO Service GmbH, noch einmal diese Problematik: „Wenn Sie ein Auto kaufen, liegt die Verantwortung für die Bremsen beim Hersteller. Diese Form der Haftung muss auch in der IT kommen. Der Anwender kann nicht erst als Betatester eingesetzt und dann noch juristisch belangt werden.“ Er mahnte dabei auch noch eine stärkere Vernetzung der Behörden und Verbände wie BSI, BMWI und BMI an, sowie einen besseren Austausch der Anwender untereinander.

Angriffsvektoren

Ekkehart Schnedermann, Senior-Analyst bei Crisp Research; Quelle: CRISP Research

Neben IoT halten die Unternehmen aber auch noch andere IT-Sicherheitsthemen auf Trab. So breiten sich als neue Einfallsvektoren neben der altbekannten E-Mail-basierenden Malware inzwischen skriptbasierende Hacks aus, so Rohr. „Wenn Skriptumgebungen wie die Windows Powershell nicht von einer Anti-Malware-Lösung überwacht werden, können darüber inzwischen komplette Systeme kompromittiert werden.“ Aus Strategiesicht bedeutet das, dass sich Unternehmen neu aufstellen müssen.

Es reiche nicht mehr, Mauern um die IT zu bauen mit Firewalls und Antivirus, betont Straub: „Diese Klassiker sind zwar noch wichtig als Grundschutz, aber wenn man sich gegen gezielte Angriffe schützen möchte, muss man sich proaktiv auf Incidents ausrichten.“ Auch der Trend zur stärkeren Vernetzung und der Vermarktung von Services fordert hier das Umdenken, wie Spilker betonte: „Wir schaffen ein digitales Ökosystem, öffnen uns und bieten verstärkt Schnittstellen zu unseren Produkten an. Aus Anwendersicht bringt das Flexibilität und viele Freiheiten mit sich, für Datensicherheit, Zugriffs- und Datenschutz bedeutet es neue Herausforderungen. Man kann sich das vorstellen wie einen Bunker, in den man jeder Etage 20 Fenster einbaut, wobei das Sicherheitsniveau gleichbleiben muss.“

Wie weit die Unternehmen auf dieses rasant wandelnde Umfeld vorbereitet sind, steht auf einem anderen Blatt. Mit diesen Aspekten hat sich Ekkehart Schnedermann, Senior-Analyst bei Crisp Research, in einer aktuellen Studie eingehend befasst. Seine zentrale Erkenntnis war, dass der aktuelle Digitalisierungstrend auf jeden Fall die IT-Sicherheit bedrohe, aber zwei Drittel der Unternehmen diesbezüglich noch eine unklare oder keine Strategie haben. Vor allem die Balance zwischen IT-Performance und Benutzerfreundlichkeit einerseits und den Anforderungen der Sicherheit andererseits stellen ein großes Problem dar, so Schnedermann: „Über zwei Drittel der Unternehmen ordnen die IT-Sicherheit den Anforderungen an Produkt-Performance und Usability unter.“
Dass der Faktor Mensch generell eine weitaus größere Rolle spielt, als gemeinhin wahrgenommen, war eine weitere Erkenntnis der Diskussionsrunde. Die Experten waren sich einig, dass leichtsinniges oder unbewusstes Fehlverhalten am Arbeitsplatz nach wie vor für einen großen Teil von Vorfällen verantwortlich ist.

Auch die Cloud kam als wichtiger Sicherheitsfaktor ins Spiel. Der Tenor war, dass sich durch die Zentralisierung von Services bei professionellen Anbietern auch viele Security-Probleme lösen lassen. Auf der anderen Seite sei auch eine Themenverlagerung in Richtung Virtualisierung und hybrider Clouds zu beobachten. Vor allem große Unternehmen gingen verstärkt dazu über, kritische Daten in ihre private Clouds zu verlagern. Zu den größten Herausforderungen zählten hier hybride Authentisierungslösungen und performante Sicherheitssysteme.

DSGVO: zu hoch gehandelt?

Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev; Quelle: Datev
Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev; Quelle: Datev

Beim zweiten Themenblock des Abends, der Umsetzung der EU-Datenschutzgrundverordnung (EU-DSGVO), ging es vor allem um praktische Fragen und rechtliche Risiken. Einig waren sich die Diskutanten, dass trotz des nahenden Termins im Mai 2018 noch relativ wenige Unternehmen das Thema ernst nähmen, wie auch einer der Teilnehmer anschaulich schilderte: „Ich fragte den CISO eines Dax-Konzerns nach dem Stand der DSGVO-Vorbereitungen und bekam zur Antwort: Unser Datenschutzbeauftragter hat sich noch nicht bei mir gemeldet.“

Als die zwei wichtigsten Aspekte kristallisierten sich heraus die Umkehrung der Beweislast sowie das Recht auf Vergessen. Und auf was müssen Unternehmen hautsächlich achten, um konform mit der DSGVO zu gehen? Wichtig ist zum einen die Feststellung, dass Unternehmen, die heute schon den Datenschutz ernst nehmen, auch mit der DSGVO-Umsetzung wenig Probleme haben werden.

Außerdem gilt der simple Grundsatz, dass man für den Datenschutz „moderne, probate Tools verwende“. Das bedeutet im Grunde Entwarnung für die Anwender, die also keine umfangreichen Investitionen tätigen müssen. Und es heißt auch, dass bis zur exakten Definition von „modernen und probaten Tools“ durch Organisationen wie TÜV oder BSI noch einige Zeit vergehen dürfte.

Christoph Witte und Wolfgang Miedl

Lesen Sie auch