English

IIoT-Rechtsvorschriften kommen — aber reichen diese auch aus?

pexels-photo-208703

von VPNHaus | 22.11.2017 | Cybersecurity Strategy, Internet of Things, Privacy, Smart Buildings, VPN

Zwei der größten Technologietrends heutzutage – das IoT (Internet der Dinge) und die M2M-Kommunikation (Machine-to-Machine) – verändern die Geschäftswelt total.

Unternehmen jeder Größenordnung, von großen Herstellern bis zu kleinen und mittelständischen Dienstleistungsunternehmen in sämtlichen Branchen, haben nun eine hervorragende Gelegenheit zur Generierung neuer Umsatzströme aus der Verwaltung und Betreuung von Kundengeräten per Fernzugriff.

Das IoT-Marktvolumen beläuft sich im Jahr 2017 laut führenden Branchenanalysten bereits auf Hunderte Milliarden Dollar – ein Betrag, der bis 2021 in die Billionen gehen dürfte. Neue Forschungen offenbaren allerdings auch, dass IoT den Unternehmen überall aufgrund begrenzter Informationen und unzureichender Sicherheitsvorkehrungen große Probleme bereitet. Die Gesetzgeber in Europa und den USA arbeiten gerade an Standards, die Entwickler dazu zwingen, mehr für die Sicherheit ihrer Geräte zu tun. Jedoch gibt es Anzeichen dafür, dass selbst diese Standards nur begrenzt wirksam sein könnten. Die gute Nachricht ist: Zumindest Remote Access-Verbindungen können zuverlässig abgesichert werden, sodass die M2M-Kommunikation mithilfe von Virtual Private Networks (VPNs) geheim und vertraulich bleibt.

Sagenhaftes Wachstum bei M2M

Branchenanalysten vom Marktforschungsinstitut IDC prognostizieren, dass die Ausgaben für M2M-Kommunikation bis 2021 auf 1,4 Billionen US-Dollar anwachsen werden. Einer der größten Märkte ist die US-Regierung. Zwischen 2011 und 2015 stiegen die Staatsausgaben für Sensoren nahezu um das Dreifache.

Berechnungen zufolge werden die amerikanischen Behörden und ihre Lieferanten Ende 2017 IoT-Geräte und Anwendungen im Wert von über 800 Milliarden Dollar benutzen.

Für EU-Gesetzgeber ist das beschleunigte IoT-Wachstum ebenfalls ein Grund zur Besorgnis. In der EU rechnet man damit, dass die Anzahl der vernetzten Geräte von 1,8 Milliarden im Jahr 2013 auf rund sechs Milliarden bis zum Jahr 2020 zunimmt.

Im Jahr 2017 stehen Anwendungen im Zusammenhang mit dem Produktionsbetrieb, der Frachtüberwachung und der Produktionsanlagenverwaltung an oberster Stelle der industriellen IoT-Applikationen. Weitere große Investitionen im Zusammenhang mit M2M werden in den Bereichen Strom-, Gas- und Wasserversorgung sowie Smart Building-Technologien getätigt. Neue und dennoch schnell wachsende Bereiche der IIoT-Entwicklung sind unter anderem die Automatisierung von Flughafenanlagen, die Aufladung von Elektrofahrzeugen und das kontextbezogene Marketing im Geschäft.

Risiken für Unternehmen

Die Innovation und Akzeptanz von IIoT-Geräten verlief bisher so schnell, dass die Entwicklung von Regulierungsstandards nicht Schritt halten konnte.

Unternehmen hegen zunehmend Bedenken, der Mangel an Sicherheitsvorschriften für IIoT-Geräte könnte den Weg  für zahllose Hackerangriffe, Sicherheitsverstöße und Exploits ebnen, die in die Privatsphäre eindringen, wie dies im Falle des Mirai-Botnetzes im Jahr 2016 geschah.

Laut einer vom Sicherheitsanbieter ForeScout Technologies durchgeführten Befragung von über 600 IT-Fachkräften haben eine große Mehrheit (82 Prozent) der Unternehmen Bedenken hinsichtlich der Durchführung von Sicherheitsaudits, da sie nicht alle IoT- und Operational Technology (OT)-Geräte in ihren Netzwerken identifizieren können.

Solange dieser Mangel an Information sowie Sicherheitsinkonsistenzen weiter bestehen, wird der Regulierungsbedarf immer dringender.

EU unternimmt erste Schritte

Die zunehmende Abhängigkeit von einer neuen Generation IP-vernetzter Anlagen hat bei vielen Unternehmen Ängste geschürt, ihre vom Internet abhängigen Produkte und Industriewerkzeuge könnten im Zuge von Hackerattacken leicht angreifbar sein.

Im Jahr 2016 gab die Europäische Kommission Vorschläge für eine neue Gesetzgebung bekannt, um der Gefahr von Cyberangriffen auf IP-vernetzte Geräte zu begegnen.

Der Plan sieht vor, IIoT-Gerätehersteller zur Einhaltung von strengen Sicherheitsstandards zu zwingen. Dazu gehört auch, Geräte diversen Zertifizierungsverfahren zu unterziehen, sodass vollständiger Datenschutz gewährleistet werden kann.

Die Kommission hat ein zentrales IoT-Problem erkannt. Laut Behördenvertretern ist es wichtig, dass Gerätehersteller sich nicht ausschließlich auf eine Komponente konzentrieren. Sie müssen ebenso das Netzwerk und die Cloud berücksichtigen. Hersteller sollen zur Erarbeitung eines Gütesiegels für internetfähige Geräte animiert werden, mit dem nachgewiesen werden kann, dass die Geräte zertifiziert wurden und sie entsprechende Sicherheitskriterien erfüllen.

USA legt Fokus auf die Regierung

Zwölf Monate später beteiligen sich die USA mit der Veröffentlichung des Internet of Things Cybersecurity Improvement Act von 2017 ebenfalls an der Suche nach Sicherheitsstandards.

Während er die enormen Vorteile der IoT für die amerikanische Wirtschaft anerkennt, ist der Gesetzesentwurf um die Schließung von Sicherheitsschwachstellen bemüht, die Smart Devices anfällig für Angriffe von außen machen.

Anders als sein allumfassendes europäisches Pendant beschränkt sich der US-Gesetzesentwurf auf die Empfehlung von Standards für die an die amerikanische Zentralregierung und die US-Bundesbehörden verkaufte IoT-Ausstattung.

Der Gesetzesentwurf sieht vor, dass Anbieter von IP-vernetzten Geräten für die US-Regierung die Konformität ihrer Produkte mit den industriellen Sicherheitsstandards gewährleisten müssen. Außerdem haben sie sicherzustellen, dass ihre Produkte gepatcht werden können, damit sie gegen neu aufkommende Bedrohungen geschützt sind.

Gleichzeitig wird die Regierung zur Führung eines zentralen Inventars sämtlicher IoT-Geräte aufgefordert, die bei Bundesbehörden in Gebrauch sind, wobei Geräte mit hardkodierten Passwörtern oder anderen bekannten Sicherheitsschwachstellen ausdrücklich verboten sind.

Es handelt sich um eine bewusst schwache Regulierung, damit Bundesbehörden flexibel agieren können und die Genehmigung zum Kauf von nicht richtlinienkonformen Geräten erteilt bekommen können, vorausgesetzt andere Kontrollen sind vorhanden, wie beispielsweise die Netzwerksegmentation. Darüber hinaus werden auch Forscher geschützt, die sich mit ethischem Hacking beschäftigen, um Hersteller vor unentdeckten Sicherheitsschwachstellen zu warnen.

Fernverwaltung von IIoT-Verbindungen mithilfe von VPNs

Die in der EU und in den USA vorgeschlagenen Maßnahmen für eine verbesserte Sicherheit in IIoT-Geräten und M2M-Kommunikation sind ein guter Anfang. Jedoch weiß niemand, wie lange es bis zu ihrer Ratifizierung dauern wird und ob sie für eine vollständige Eliminierung von IoT-Schwachstellen ausreichen.

In der Zwischenzeit lassen sich Remote Access-Verbindungen im Bereich IIoT am besten mithilfe von Software für Virtual Private Networks (VPNs) schützen. Unternehmen wird zur Verfolgung eines dreistufigen Verteidigungsansatzes geraten: Beginnen Sie mit einem umfassenden Verständnis der Funktionsweise jedes Geräts. Unterziehen Sie als nächstes jede einzelne Verbindung einer Sicherheitsüberprüfung und stellen Sie sicher, dass jedes IIoT-Gerät per Fernzugriff verwaltet werden kann. Realisieren Sie schließlich die Netzwerkzertifizierung von Hardware und Software sowie die per Fernzugriff zentral administrierbare Gerätekonfiguration.

Alles in allem hat die Umsetzung von IIoT- und M2M-Kommunikation in Unternehmen bisher einen kometenhaften Aufstieg erlebt. In puncto Regulierung ist noch einiges nachzuholen.

Eine Regulierung mit dem Ziel einer verbesserten, in Geräte eingebauten Absicherung nimmt zumindest auf beiden Seiten des Atlantiks Gestalt an — auch wenn noch ernsthaft in Frage gestellt ist, wie lange es dauern wird und ob die Vorschriften ausreichend sein werden.

In der Zwischenzeit bleibt eine VPN-Software mit zentralem Management die zuverlässigste Möglichkeit zum Schutz von M2M-Verbindungen. Sie verschlüsselt die zwischen den Geräten transferierten Daten, sodass diese geheim und sicher bleiben.

zurück zur Übersicht