Krisensichere digitale IT-Infrastruktur

IoT-Hype verdrängt Sicherheitsgefahren

26.05.2017 von Bodo Meseke und Norbert Freitag
Im Rausch der Digitalisierung darf die Sicherheit nicht zu kurz kommen. Vollkommene IT-Sicherheit gibt es zwar nicht, aber Unternehmen können sich besser aufstellen.
  • Welche Sicherheitsfragen in der Praxis von CIOs gestellt werden
  • Aus Erfahrung gehen von mit heißer Nadel gestrickten IoT-Systeme besonders hohe Gefahren aus
  • Zu einer krisensicheren digitalen Infrastruktur gehören Governance sowie Sensibilisierung des Managements und Schulung der Betriebs- und Mitarbeiterkultur

Nachts um halb zwei, das Diensthandy klingelt. Am Apparat ist die IT-Abteilung: "Wir sind gehackt worden. Die Bänder stehen still, wir wissen nicht weiter." Was in der Regel folgt, sind aufreibende Wochen voll Unsicherheit und Ungewissheit. CIOs werden zunehmend mit genau diesem Szenario oder einer Variante davon konfrontiert. Das gepriesene Internet der Dinge verbindet alles mit allem. Produktionsanlagen mit Smartphones, die Fabrik mit dem Rest der Welt. Wo alles nützlicher, intelligenter und smarter wird, steigt aber auch das Risiko, von Hackern oder Datendieben angegriffen zu werden. In der Euphorie um dieIndustrie 4.0scheint der Gedanke an Sicherheit unterzugehen. Das muss sich ändern.

IoT-Studie 2016
Key Findings
Die COMPUTERWOCHE-Studie "Internet of Things 2016" finden Sie in unserem Shop neben anderen Studien der IDG Research Services als PDF-Download.
Bedeutung von IoT
Derzeit bewerten nur 45 Prozent der Unternehmen die Relevanz des IoT als sehr hoch oder hoch, 28 Prozent als eher niedrig oder niedrig. Ganz anders sehen die Werte für die Zukunft aus. 72 Prozent der Unternehmen glauben, dass IoT innerhalb der nächsten drei Jahre für sie wichtig oder sehr wichtig wird. Nur noch sieben Prozent der Firmen stufen die künftige Bedeutung des IoT als eher niedrig oder niedrig ein.
IoT in der Praxis
Bis dato haben insgesamt nur rund 15 Prozent der befragten Unternehmen bereits IoT-Projekte produktiv umgesetzt oder zumindest abgeschlossen. Immerhin ein Fünftel der Firmen will in den nächsten 12 Monaten oder mittelfristig erste IoT-Projekte realisieren, 12 Prozent erarbeiten derzeit eine IoT-Strategie.
IoT ist noch kein Thema, weil...
Wesentliche Gründe für die (noch) abwartende Haltung vieler Firmen sind andere Prioritäten, mangelnde Relevanz oder ein fehlendes Geschäftsmodell. Auch fehlendes Know-how bei den Mitarbeitern oder zu hohe Kosten spielen eine Rolle.
Auswirkungen (1/3)
Fast 60 Prozent der Unternehmen sehen IoT als große Chance. Gleichzeitig verkennen fast 45 Prozent das disruptive Potenzial des IoT, wenn sie glauben, sie sein gut genug für die Herausforderungen positioniert.
Auswirkungen (2/3)
Zumindest 39 Prozent der befragten Entscheider glauben, dass IoT ihre Unternehmen sehr verändern wird. Ein Drittel der Firmen befürchtet, dass sie von Start-Ups mit IoT-Technik überholt oder grundsätzlich von der Entwicklung überrollt werden, wenn sie sich nicht auf das IoT einstellen.
Auswirkungen (3/3)
Knapp 20 Prozent glauben immer noch, dass das Thema IoT für ihr Unternehmen nicht relevant sei.
Was ist IoT?
Die meisten bisherigen Projekte fallen unter die Kategorie Industrie 4.0 mit Themen wie Vernetzte Produktion, Smart Supply Chain und Predictive Maintenance, gefolgt von den Schwerpunkten Smart Connected Products.
Der Nutzen von IoT
Durch die Vernetzung aller Prozessketten, der Erschließung neuer Geschäftsmodelle sowie Kostensenkungen erwarten die Unternehmen als positive Effekte durch IoT.
IoT-Projekte in der Praxis
Neben Kategorien wie Connected Industry und Smart Connected Products gewinnen künftig auch IoT-Projekte aus den Bereichen Gebäudemanagement (Smart Building) und Vernetzte Gesundheit (Connected Health) an Bedeutung.
IoT-Technologien
Als Enabling Technologies für IoT sehen die Entscheider vor allem Cloud Computing und Netz-Technologien wie 5G, Narrowband IoT etc.
IoT-Herausforderungen
Die meisten Unternehmen geben grundsätzliche Sicherheitsbedenken als größte Hürde für IoT-Projekte an, da sie das Internet of Things als neues Einfallstor für Angriffe sehen.
Herausforderungen beim ersten Projekt
Für 57 Prozent der Firmen stellte Security tatsächlich die größte Herausforderung bei ihrem ersten IoT-Projekt dar. Fast die Hälfte der Firmen hatte beim ersten Projekt Probleme mit der Integration von IoT-Devices wie Sensoren und Aktoren in die eigene IT-Infrastruktur.
Hemmnisse bei Projekten
Aber auch in der Komplexität sowie im Know-how der Mitarbeiter sehen zahlreiche Unternehmen Hemmnisse.
Do-it-yourself oder Partner?
Bei der Umsetzung der IoT-Projekte sind die Optionen gleich verteilt. 51 Prozent der Firmen haben ihre IoT-Lösung eigenständig entwickelt, 49 Prozent gemeinsam mit externen Partnern.
In- und Outsourcing
n jeweils knapp einem Drittel der Unternehmen ging die Initiative für das erste IoT-Projekt entweder vom CIO und der IT-Abteilung oder von der Geschäftsführung aus, letzteres vor allem bei den kleinen Unternehmen. In elf Prozent der Firmen war ein eigenes IoT-Team die treibende Kraft für die ersten IoT-Aktivitäten, etwas seltener der CTO oder Fachabteilungen wie Vertrieb, Entwicklung oder Produktion
Wahl des IoT-Partners
Bei der Wahl eines IoT-Anbieters legen die Unternehmen vor allem Wert auf technisches Know-how, Vertrauen in den Anbieter sowie Branchenkompetenz. Ein gutes Preis-Leistungs-Verhältnis steht hinter Prozess-Know-how überraschend nur an fünfter Stelle im Anforderungskatalog.
Den IoT-Erfolg messen
Ein Viertel der Unternehmen konnte bislang noch keinen Mehrwert wie höhere Effizienz, niedrigere Kosten oder höhere Umsätze feststellen. In zwei Prozent der Unternehmen sind die IoT-Projekte gescheitert. Erstaunlicherweise gibt es in fast einem Fünftel der Unternehmen überhaupt keine Erfolgsmessung.

Produktionsroboter, die ihr Update selbst herunterladen oder Aufzüge, die sich melden, bevor sie hängenbleiben - die neue Welt des Internet of Things (IoT) scheint die Sorgen von Unternehmern sekundenschnell zu lösen. Trotz aller Euphorie: Industrie und Mittelstand sollten sich Schwachstellen frühzeitig anschauen und diese beseitigen. IT-Sicherheit ist Chefsache, von Anfang an. Denn mit jedem vernetzten Gerät vergrößert sich zugleich die Angriffsfläche.

Ganz ehrlich: Eine stabile Firewall und die neuesten Virenscanner reichen schon lange nicht mehr aus. Wer seine Anlagen vernetzt und Prozesse digital optimiert, möchte auf der anderen Seite nicht draufzahlen, wenn es zu Datendiebstahl und Missbrauch kommt.

Fehlendes Sicherheitsbewusstsein der Sicherheitsanbieter

Die Hersteller von Soft- und Hardware bieten zwar ein reichhaltiges Set an Features an, um sich von den Wettbewerbern abzuheben. Jedoch geht es ihnen zuvorderst um Usability und Produktivität, nicht umSicherheit und Datenschutz. Fehler werden erst mit Updates behoben. Warum das so ist? Die Produktlebenszyklen schrumpfen, ebenso wie die Entwicklungszeiten - immer schneller kommen die digitalen Helfer auf den Markt. Und zugleich steigt der Preisdruck.

Top 10: Diese Mitarbeiter gefährden Ihre IT-Sicherheit
10. Die Charity-Organisation
9. Der Cloud-Manager
8. Der befristet Beschäftigte
7. Der externe Partner
6. Der Social Media Manager
5. Der neue IT-Entscheider
4. Der Ex-Mitarbeiter
3. Der Security-Berater
2. Die Assistenz der Geschäftsleitung
1. Der CEO

Dieses fehlende Sicherheitsbewusstsein geben die Hersteller dann an ihre Kunden und Anwender weiter. Sie interessiert vorrangig, welche neuen Funktionalitäten ihnen nützen. Und denken dabei nicht: Was könnte mir schaden oder wie hoch ist der Preis für meine Daten? Hinterfragt wird selten, wo die Daten hingehen, wenn Hersteller und Zulieferer im Ausland sitzen - wo andere Sicherheitsregeln gelten. Eine neue Software ist schnell installiert. Und wenn dann erst einmal alles läuft, sind Sicherheitslücken zweitrangig.

Was im Hype der Digitalisierung oft vergessen wird

Die gute Nachricht: Die Strategien zum Schutz des Internet of Things werden vielfältiger, denn das Thema wird uns noch lange beschäftigen. Es ist schon lange keine Spezialdisziplin mehr, mittlerweile sind viele Cybersecurity-Lösungen auf dem Markt, die den hohen Ansprüchen der Realität tatsächlich genügen.

Wer aber vollkommene Sicherheit verspricht, der lehnt sich - mit Verlaub - etwas weit aus dem Fenster. Er vergisst vielleicht auch viel wichtigere Grundfragen: Muss wirklich alles mit allem vernetzt sein? Wo setzen wir uns unnötigen Risiken aus, dem nur ein kleiner Mehrwert gegenüber steht?

Fragen von CIOs, denen wir in der Praxis begegnen, lauten sinngemäß:

  1. Wo liegen die individuellen Schwachstellen?

  2. Deckt das bestehende Sicherheitskonzept diese bereits ab?

  3. Wo muss nachjustiert werden?

  4. Was kann investiert werden: in bessere Abwehrtechnik und Fachleute?

  5. Wie gehen Wettbewerber mit dem Risiko um?

  6. Welche Partnerschaften bieten sich an?

IT-Forensiker wie wir werden gerufen, um einen Angriff zu erkennen und zurückzuverfolgen, Lücken zu schließen und die Systemintegrität wieder herzustellen. Heute suchen wir Beweise nicht mehr nur auf typischen EDV-Systemen, sondern fragen zugleich, ob Angreifer mögliche Hintertüren in anderen vernetzten Geräten verstecken, wie dem neuen Smart-TV im Konferenzraum.

Die größten Gefahren in der Praxis

Die Praxis ist extrem vielfältig. Nahezu jedes Unternehmen hat andere Systeme in anderen Varianten - selbstredend, dass es keine One-fits-all-Lösung gibt. Aus unserer Erfahrung können wir sagen, es ist da besonders gefährlich, wo

Nach dem Hack ist vor dem Hack

Wenn der Ernstfall eingetreten ist, kann es dauern, bis alle Systeme wieder laufen und das Unternehmen zur Normalität zurückkehrt. Auch wenn wir bei der Aufklärung von Angriffen schon sehr weit sind und Boden gut gemacht haben: Die Täter werden relativ selten gefasst. Die Angreifer sind heute extrem flexibel und international gut vernetzt. Sie arbeiten - im Gegensatz zu den meisten Ermittlungsbehörden - mit dem neuesten Stand der Technik.

Doch einige Ermittlungsbehörden und private IT-Dienstleister stocken seit Jahren ihr Personal auf und bauen länderübergreifende Expertennetzwerke. Wie dringlich und relevant das Thema ist, zeigt der Fakt, dass auch die Bundeswehr ein neues Cyber-Kommando gegründet hat.

Der Trend ist klar: Krisensicherere digitale Infrastruktur wird inmitten der vielen Potenziale, die das Internet der Dinge verspricht, mehr als "Nice-to-Have" sein - nämlich elementarer Baustein zeitgemäßer Governance, verlängert um Elemente von Sensibilisierung und Schulung in die Betriebs- und Mitarbeiterkultur hinein. Je nach Sensibilität des Managements für das Thema ist es mal leichter, mal schwerer, diesen Paradigmenwechsel zu vollziehen.