Sicherheit ist die Achillesferse des IoT

Experten-Gespräch mit Rüdiger Weyrauch von FireEye

Rüdiger Weyrauch
Rüdiger Weyrauch, Director System Engineering Central & Eastern Europe beim FireEye
Quelle: FireEye
Rüdiger Weyrauch ist Director System Engineering Central & Eastern Europe beim Security-Anbieter FireEye. Im Gespräch mit com! professional erklärt er die Sicherheitsherausforderungen im IoT, bedauert den Mangel an Security-Fachkräften und fordert Auflagen für Hersteller.
com! professional: Herr Weyrauch, welche Herausforderungen stellen sich für Hersteller bei der sicheren Entwicklung von IoT-Anwendungen?
Rüdiger Weyrauch: Hier muss man grundsätzlich zwischen B2B und B2C differenzieren. Im Consumer-Bereich, etwa im Smart Home, sind immer die Kosten entscheidend. Nehmen Sie das Beispiel Funksteckdosen: Im Baumarkt gibt es Produkte für 10 Euro, aber auch für 50 Euro. Die teureren Geräte integrieren bereits Sicherheitsfunktionen etwa zur Authentifizierung oder Verschlüsselung, die billigen nur selten. Hier handeln viele Hersteller nach der Devise „Market First“, bringen ihr Produkt also möglichst schnell auf den Markt. Und es steht die Usability im Blickpunkt. Das Gerät soll möglichst einfach zu bedienen sein. Im Zweifel steht Sicherheit dann hinter Kosten, Time-to-Market oder einfacher Bedienung.
com! professional: Wie bringt man diese Hersteller dazu, dass sie der Sicherheit höhere Priorität einräumen?
Weyrauch: Eine grosse Rolle spielen die Anwender. Der wirtschaftliche Schaden für die Hersteller von IoT-Produkten kann erheblich sein, wenn ihre Geräte wegen mangelnder Sicherheit in die Schlagzeilen geraten. Die Nutzer haben hier eine grosse Macht, wenn sie bei der Kaufentscheidung auf höhere Sicherheit Wert legen. Sie können so den Druck auf die Hersteller verstärken. Voraussetzung dafür ist aber eine Awareness bei den Anwendern. Sie sollten die Risiken beim Kauf eines IoT-Geräts kennen. Hier sind auch die Hersteller gefragt. Sie müssen offenlegen, welche Sicherheitsmassnahmen sie ergreifen oder was mit den Daten der Nutzer geschieht. Es geht um Transparenz.
com! professional: Was halten Sie von gesetzlichen Massnahmen?
Weyrauch: Gesetze und Regulierungen sind eine gute Möglichkeit, den Druck auf die Hersteller zu erhöhen, zum Beispiel durch eine erweiterte Produkthaftung. Allerdings müssen die Strafen abschrecken, damit mehr Geld für Sicherheit in die Entwicklungskosten einbudgetiert wird. Firmen reagieren erst, wenn die maximale Geldbusse wie bei der EU-Datenschutz-Grundverordnung bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes beträgt. Das sind andere Hausnummern.
com! professional: Wie kann so eine Regulierung aussehen?
Weyrauch: Wir benötigen auch für die IoT-Welt Mindeststandards zur Erhöhung der Sicherheit. So sollten beispielsweise starke Authentifizierung oder der verschlüsselte Versand von Daten verpflichtend werden. Durch den Regulierungsdruck dürfte die Sicherheit der IoT-Geräte weiter steigen. Vielleicht kommt es sogar soweit, dass die Behörden irgendwann ein Produkt wegen mangelnder Sicherheit aus dem Verkehr ziehen oder – wie derzeit angedacht – über das BSI Schwachstellen gemeldet werden und entsprechend
Warnungen ausgesprochen werden.
com! professional: Interessant. Apropos aus dem Verkehr ziehen mittlerweile werden auch vernetzte Autos zum Ziel von Hackern.
Weyrauch: Einfache Hacker wie organisierte Profis suchen alle Geräte nach Schwachstellen ab, die mit dem Internet vernetzt sind. Dazu gehören neben Geräten aus dem Smart Home auch Connected Cars und IoT-Anwendungen in der Industrie. Autos und Industrieanlagen sind meist proprietär und wurden ursprünglich nicht für die Verbindung nach aussen gebaut. Durch den Zugang zum IPNetzwerk steigen die Gefahren. Hacker suchen sich die schwächste Stelle, um in das System einzubrechen.
com! professional: Wie können sich Unternehmen und Hersteller gegen diese Gefahren wappnen?
Weyrauch: Sie müssen auf allen Ebenen Sicherheit einbauen, sprich im Endgerät, in der Service-Plattform oder App für die Steuerung sowie im Backend. Es bringt nicht viel, wenn das IoTGerät oder das Auto selbst sicher sind, der Hacker aber beim Service-Portal Log-in-Daten klauen und die Identität der Nutzer
übernehmen kann.
Grundsätzlich gelten hier auch die allgemeinen Prinzipien der sicheren Software-Entwicklung. Ich denke hier etwa an Hardening,also die Freigabe nur derjenigen Funktionen, die für den Betrieb absolut erforderlich sind, Netzwerksegmentierung, regelmässige Updates und Patch-Management.
Eine Studie von FireEye ergab, dass 30 Prozent der in Industriekontrollsystemen entdeckten Schwachstellen zum Zeitpunkt der Veröffentlichung ungepatcht waren und längere Zeit blieben. Das
darf nicht sein.
Sehr wichtig: Die Hersteller sollten während der Entwicklung nicht nur funktionale Tests, sondern auch sicherheitsspezifische Tests durchführen, eventuell auch mit externer Hilfe. Das kostet zwar Zeit und Geld, kann jedoch ein wichtiges Verkaufsargument bilden.
com! professional: Dafür braucht man jedoch auch das passende Personal…
Weyrauch: Ja, da sprechen Sie ein kritisches Thema an. Wir sehen grundsätzlich einen Fachkräftemangel im Bereich IT-Sicherheit. Das gilt natürlich auch für IoT-Security. Die Firmen verfügen meist nicht über eine genügende Anzahl qualifizierter Security-Spezialisten. Und der Markt ist ständig in Bewegung.
Nehmen Sie das Beispiel Connected Cars. Hier entsteht das neue Marktsegment Automotive Security mit einem grossen Bedarf an Fachkräften. Allein eine Stichprobe bei LinkedIn ergab kürzlich 300 offene Stellen in diesem Bereich. Wenn wir Deutschland als Vorbild für IT-Sicherheit entwickeln wollen, sollten wir ähnlich wie Grossbritannien in weiterführenden Schulen und Universitäten „Cybersecurity Guidelines“ in die Lehrpläne aufnehmen. Denn IT-Sicherheit wird auch in Zukunft” extrem wichtig bleiben.
Seite 4/4
Auf einer Seite lesen
  1. Sicherheit ist die Achillesferse des IoT
  2. Wenig Erfahrung mit IT-Sicherheit
  3. Spezialfall Industrie 4.0
  4. Experten-Gespräch mit Rüdiger Weyrauch von FireEye
Artikel drucken
Das könnte Sie auch interessieren
WebGPU vor 5 Tagen
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
vor 5 Tagen
Betrugsversuch vor 5 Tagen
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
vor 5 Tagen
World Cybercrime Index 11.04.2024
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend.
 
11.04.2024
BFU 09.04.2024
Tour de Suisse Rad AG ruft diverse Velos und E-Bikes wegen Unfallgefahr zurück
In Zusammenarbeit mit der BFU, Beratungsstelle für Unfallverhütung, ruft die Tour de Suisse Rad AG diverse Velos und E-Bikes zurück. Es besteht eine Unfallgefahr.
 
09.04.2024