2018-09-12 08:00:37

Cybersicherheit im IoT bedroht: Unternehmen wissen nicht, was Endpunkte sind

Unternehmen vertreten oft unrealistische Ansichten über den Schutz des Industrial Internet of Things (IIoT), in dem Endpunkte, als die verletzlichsten Aspekte betrachtet werden. Dabei besteht eine große Unsicherheit darüber, was überhaupt ein Endpunkt ist.

Das sind die wichtigsten Erkenntnisse aus der SANS Industrial IoT Security Survey 2018, welche die Sicherheitsbedenken im Zusammenhang mit der rasch wachsenden Nutzung von IIoT untersucht. IIoT ist die Teilmenge des Internets der Dinge, die sich speziell auf die industrielle Anwendung von angeschlossenen physischen Geräten in kritischen Infrastrukturen wie Elektrizität, Produktion, Öl und Gas, Transport und Gesundheitswesen konzentriert. Die Zahl der installierten IoT-Geräte soll sich von 23,14 Mrd. im Jahr 2018 auf 75,44 Mrd. im Jahr 2025

Der SANS-Bericht zeigt, dass die meisten Unternehmen weltweit ein Wachstum der Zahl ihrer angeschlossenen Geräte von 10 bis 25 Prozent prognostizieren. Diese Wachstumsrate wird dazu führen, dass sich die an IIoT-Geräte angeschlossenen Systeme etwa alle drei bis sieben Jahre verdoppeln. Dies wird letztendlich zu einer höheren Komplexität des Netzwerks führen, weil IT und OT immer mehr miteinander vernetzt werden; die Nachfrage nach Bandbreite steigt und der Bedarf an qualifiziertem Personal für die besten Sicherheitspraktiken in Bezug auf Design, Aufbau und Betrieb von IIoT-Systemen wächst.

Von den über 200 Befragten gibt mehr als die Hälfte an, dass die anfälligsten Aspekte ihrer IIoT-Infrastruktur Daten, Firmware, eingebettete Systeme oder allgemeine Endpunkte sind. Gleichzeitig legt die Umfrage aber eine anhaltende Debatte darüber offen, wie Endpunkt definiert wird.

Doug Wylie, Director of the Industrials & Infrastructure Business Portfolio des SANS Institutes, erklärt: „Die Diskrepanz bei der Definition von IIoT-Endpunkten ist die Ausgangsbasis für einige der Unsicherheit über die Verantwortung für die IIoT-Sicherheit. Viele Fachkräfte identifizieren und verwalten die zahlreichen Assets, die in irgendeiner Weise mit Netzwerken verbunden sind, nicht adäquat und stellen deshalb eine Gefahr für ihre Organisationen dar. Aus diesem Grund ist es wichtig, dass sich Unternehmens-IT und OT-Teams auf eine gemeinsame Definition einigen, um sicherzustellen, dass sie die Sicherheitsrisiken bei der Weiterentwicklung ihrer Systeme zur Anpassung an neue Architekturmodelle angemessen identifizieren können.“

Andere Bedenken in Bezug auf die Cybersicherheit von IIoT beinhalten:

  • 32 Prozent der IIoT-Geräte verbinden sich direkt mit de Internet und umgehen dabei traditionelle IT-Sicherheitsschichten.
  • Fast 40 Prozent der Befragten sagen, dass das Identifizieren, Verfolgen und Verwalten von Geräten eine große Sicherheitsherausforderung darstellt.
  • Nur 40 Prozent der Studienteilnehmer geben an, Patches und Updates zum Schutz ihrer IIoT-Geräte und -Systeme anzuwenden und zu warten.
  • 56 Prozent der Beteiligten sehen Schwierigkeiten beim Patchen als eine der größten Sicherheitsherausforderungen.

Die Umfrage ergab auch eine große Diskrepanz zwischen der Wahrnehmung von IIoT-Sicherheit durch OT, IT und Management: Nur 64 Prozent der OT-Abteilungen behaupten, dass sie sich auf ihre Fähigkeit zur Sicherung der IIoT-Infrastruktur verlassen können, während 83 Prozent der IT-Abteilungen und 93 Prozent der Führungskräfte das glauben.

„Der Bericht verdeutlicht eine echte Diskrepanz in den Organisationen hinsichtlich des Vertrauens, wie sicher das IIoT wirklich ist“, sagte Barbara Filkins, Forschungsleiterin des SANS-Analystenprogramms und Verfasserin der Studie. „Diese Diskrepanz zeigt die Notwendigkeit für einen großen kulturellen Wandel, wie Industrieunternehmen mit den Sicherheitsrisiken in einer Welt des IIoT umgehen müssen.“

mat

Druckversion

Zum Thema

  • © quelle crate.io
    2018-08-14

    Put Machine Data to Work

    Crate.io hat vor Kurzem eine internationale Series-A-Finanzierung in der Höhe von elf Millionen Dollar erhalten. Das Unternehmen will das Geld für die Weiterentwicklung der Datenmanagementlösung für IoT- und Maschinendaten sowie die weltweite Vermarktung nutzen.  mehr

  • 2018-09-10

    IT-Sicherheitsschwachstellen in Unternehmen

    Rapid7 veröffentlicht heute seinen neuen Sicherheitsreport, "Under the Hoodie 2018". Der Bericht will die Praxis von Penetrationstests entmystifizieren und beschreibt, welche Sicherheitslücken Pentester in den vergangenen 12 Monaten am häufigsten bei ihren Kunden beobachtet haben, von Software-Schwachstellen über Fehlkonfigurationen im Unternehmensnetzwerk bis hin zu unsicheren Passwörtern.  mehr

  • 2018-09-11

    Security-Service zum Schutz von Heim-WLANs

    Der neue Dienst NETGEAR Armor powered by Bitdefender bietet eine umfassende Netzwerksicherheit für alle über einen NETGEAR Router angeschlossenen Geräte. NETGEAR Armor ist jetzt für den Nighthawk AC2300 Smart WiFi Router (R7000P) über ein Firmware-Update und das entsprechende Abonnement erhältlich.  mehr

  • 2018-09-09

    Herausforderungen auf dem Weg zur Automatisierung

    Juniper Networks veröffentlicht in Zusammenarbeit mit dem Ponemon Institute die Studie „The Challenge of Building the Right Security Automation Architecture“. Das Ergebnis der Umfrage: Unternehmen verstehen zwar, wie wichtig Automatisierung ist, um fehlende Cyber-Security-Kompetenzen auszugleichen und eine bessere Sicherheit im Unternehmen zu erreichen. Allerdings steht die Mehrheit Herausforderungen gegenüber, wie, wann und wo sie automatisieren sollen.  mehr

  • 2018-09-09

    Sesibilisierung der Führungskräften in Europa für Cybersicherheit

    In den vergangenen Jahren hat das Thema Cybersicherheit EU-weit an Bedeutung gewonnen. Für die politischen Entscheidungsträger in der Europäischen Kommission, im Europäischen Parlament und in den EU-Mitgliedstaaten wird das Thema immer wichtiger, so die aktuelle Einschätzung von Palo Alto Networks. Eine der wichtigsten Initiativen von Palo Alto Networks, die sich an den Zielen der EU im Bereich Cybersicherheit orientiert, ist die Sensibilisierung der Unternehmen in Europa.  mehr

  • 2018-09-10

    State of Email Security Report

    Mimecast Limited veröffentlicht zum zweiten Mal seinen Jahresbericht zum Stand der E-Mail-Sicherheit. Der Bericht identifiziert die neuesten E-Mail-Bedrohungen, denen Unternehmen aller Größen und Branchen weltweit ausgesetzt sind.  mehr

  • 2018-04-26

    IoT Innovation Tour 2018

    19. 09. 2018: Leichter Start ins IoT: Die Software AG macht mit ihrer IoT Innovation Tour im Mai in Stuttgart, München und Hamburg Station. Im September folgen dann Düsseldorf, Wien und Zürich.  mehr

  • 2018-09-09

    Sichere USB-Laufwerke doch nicht sicher?

    Palo Alto Networks meldet, dass die Hackergruppe „Tick“ auf einen bestimmten Typ von sicheren USB-Laufwerken abzielt, die von einem südkoreanischen Unternehmen in Südkorea entwickelt wurden. Tick ist dafür bekannt, Angriffskampagnen mit verschiedenen Arten von benutzerdefinierter Malware wie Minzen, Datper, Nioupale (alias Daserf) und HomamDownloader durchzuführen.  mehr

  • 2018-08-25

    Computer und Netzwerke mit starken Passwörtern sichern

    Schwache Passwörter sind die größten Risiken, wenn es darum geht, die Identität von Personen zu schützen oder den virtuellen Einbruch über die Netzwerke in Unternehmen zu verhindern. Und klar ist – Sicherheitsverantwortliche können noch so viele Sicherheitsmechanismen implementieren, wenn die Passwörter der Mitarbeiter leicht zu erraten sind, wird die Sicherheitsstrategie eines Unternehmens hinfällig.  mehr

  • 2018-09-09

    Crime-as-a-Business

    Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-E-Mails aus.  mehr