IoT-Sicherheit: Privilegierter Zugriff als Einfallstor

Sowohl im Wohnzimmer als auch im industriellen Sektor fasst das Internet der Dinge (IoT) mehr und mehr Fuß: Smart-TVs und Wearables gehören für viele Deutsche längst zum Alltag.

In Fabriken kommunizieren mittlerweile Geräte miteinander, um selbstständig für Produktionsnachschub zu sorgen. Doch bei der Umsetzung von IoT-Projekten sehen sich deutsche Unternehmen mit komplexen Herausforderungen konfrontiert. Eines der größten Hemmnisse sind laut einer IDC-Studie Bedenken hinsichtlich der IT-Sicherheit; so haben fast 31 Prozent der befragten Unternehmensvertreter ernsthafte Vorbehalte gegenüber IoT-Integrationen.

Dr. Hubert Jäger, IT-Securty-Experte und CTO der Münchner TÜV SÜD-Tochter uniscon, kann die Sorgen der Anwender gut nachvollziehen. Was die IoT-Sicherheit angeht, sieht er derzeit vor allem drei große Baustellen: „Unsichere Geräte, fehlende Transparenz und den privilegierten Zugriff.“

Das Internet der unsicheren Geräte?

Das Internet der Dinge sei in seinem derzeitigen Zustand geradezu eine Einladung zu Sicherheitsverletzungen, so Jäger. Jedes Gerät, das die Anwender ins Netzwerk bringen, könnte ein potenzieller Einstiegspunkt für Cyberkriminelle sein. Schon der Smart-TV kann zum Problem werden, wenn sich etwa Hacker über im Gerät hinterlegte Daten Zugang zum heimischen Netzwerk verschaffen. In der Industrie, wo meist eine sehr große Zahl von IoT-Geräten miteinander verbunden ist, multipliziert sich dieses Risiko dementsprechend.

Datenflüsse kontrollieren

Für die Verunsicherung der Anwender macht Jäger hauptsächlich fehlende Transparenz verantwortlich: „Es muss klar ersichtlich sein, welche Daten ein Gerät erhebt und speichert und was mit diesen Daten geschieht.“ Wenn also der Smart TV ein Nutzerprofil erstellt und auswertet, muss der Nutzer das erfahren und gegebenenfalls widersprechen können.

Analog dazu müssen Industrieunternehmen die Möglichkeit haben, die Datenflüsse von IoT-Geräten zu kontrollieren. Nur so lässt sich zuverlässig verhindern, dass sensible oder wertvolle Daten in die falschen Hände geraten. „Unternehmen setzen bei der Übertragung und Verarbeitung von Daten aus IoT-Anwendungen häufig auf eigene Rechenzentren, seltener auf Cloud-Angebote aus dem Netz“, sagt Jäger. Dabei verzichten die Unternehmen bewusst auf die Geschäftsvorteile der Cloud.

Einfallstor privilegierter Zugriff

Der Gedanke dahinter sei, dass Unternehmen die Daten im eigenen Rechenzentrum besser im Griff behalten und die Datensicherheit eher gewährleisten könnten. „Das stimmt allerdings nur bedingt“, sagt Jäger. Denn genau wie in der Cloud würden Daten im eigenen Rechenzentrum zwar verschlüsselt gespeichert und übertragen, lägen aber zur Verarbeitung unverschlüsselt auf den Servern vor.

Cyberkriminelle könnten sich Zugang zu diesen Daten verschaffen, indem sie privilegierte Nutzerkonten – zum Beispiel Admin-Konen – ausnutzen. Darüber hinaus herrscht bei vielen Unternehmen Unklarheit darüber, welche privilegierten Benutzerkonten es überhaupt gibt und wo sich diese befinden.

IT-Sicherheit: Risikofaktor Mensch

„Der Mensch ist nach wie vor einer der größten Risikofaktoren in der IT-Sicherheit“, sagt Jäger. Doch inzwischen gibt es IT-Infrastrukturen, die Verarbeitungsserver mit rein technischen Maßnahmen schützen. Privilegierte Zugänge für Administratoren oder Mitarbeiter gibt es nicht. Diese Technologie – Jäger spricht von „technischer Versiegelung“ – ist skalierbar und lässt sich auch auf ganze Rechenzentren ausweiten. So lassen sich auch Cloud-Angebote realisieren, mit denen nicht nur IoT-Anwendungen rechtskonform umsetzbar sind, sondern auch andere sicherheitskritische Applikationen, etwa aus den Bereichen RegTech und eHealth.

Eine versiegelte Cloud-Infrastruktur, die bereits jetzt produktiv nutzbar ist, ist die sealed platform von uniscon. Die hochsichere Cloud-Plattform für Unternehmen wurde Anfang des Jahres mit dem Deutschen Rechenzentrumspreis in der Kategorie „Innovationen im Whitespace“ ausgezeichnet. „Mit der sealed platform als Basis für ihre IoT-Plattformen haben Industrieunternehmen sensible Daten jederzeit im Griff – egal, ob diese in der Cloud oder im eigenen Rechenzentrum liegen“, sagt Jäger. Und seien die Sicherheitsbedenken erst einmal aus der Welt geschafft, könnten sich die Unternehmen auf ihre Kernkompetenzen konzentrieren – und auf die Entwicklung neuer IoT-Angebote.