Bob

Chief Security Architect, RSA

Die (Un)Sicherheit des “Internets der Dinge”

Mehrere Ankündigungen im Juli haben die Aufmerksamkeit auf Sicherheitsschwachstellen und Risiken im Internet der Dinge (Internet of Things, IoT) gelenkt. Siemens informierte über ein Update zur Behebung von Sicherheitslücken in seinem SIMATIC-Automatisierungssystem für die Energiesteuerung. Das Ponemon Institute veröffentlichte zusammen mit Unisys seinen Bericht über Sicherheitslücken in wichtigen Infrastrukturen und HP vermeldete seine Forschung über Schwachstellen in IoT-Geräten.

Diese Ankündigungen beschäftigen sich alle maßgeblich mit der Sicherheit des „Internets der Dinge“. Aber es ist ebenfalls wichtig zu erkennen, dass die von Siemens korrigierten und in den Berichten von Ponemon und HP erforschten Schwachstellen nur einen Teil der Risiken darstellen, die zur Sicherung des Smart Grid angegangen werden müssen.

Im Mai schrieb Alan Webber, Principal Analyst bei „Asymmetric Strategies“, einen Blog für RSA, in dem er „drei Schlüssel-Risikobereiche im Internet der Dinge” beschrieben hatte. Als dritten Risikobereich behandelte er darin Sicherheitslücken in IT-verwalteten Geräten. Als erstes Risiko jedoch bezeichnete er Sicherheitslücken in Geräten, die nicht von der IT-Abteilung kontrolliert werden. Als zweites Risiko benannte er Schwachstellen in Infrastruktur-Systemen wie der Brandbekämpfung oder des Gebäudemanagements.

Auf der RSA Conference im Februar 2014 hatte Eric Vyncke, Distinguished Engineer bei Cisco, ein noch umfassenderes Bild der Risikobereiche des „Internets der Dinge“ präsentiert. Er diskutierte Themen wie die Risiken von Mehrfachnutzer-Netzwerken oder die Gefahren durch die Diskrepanz zwischen den Gültigkeitszeiten von Kryptografie und den eigentlichen Geräten. Ebenfalls sprach er darüber, dass Werkzeuge wie Shodan von Angreifern genutzt werden um wichtige Systeme anzupeilen und die damit verbundenen Risiken. Doch gibt es noch mehr wichtige Sicherheitslücken, wie etwa blinde Flecken aufgrund veralteter Sicherheits- und Risikomodelle – alles Themen, die wir auf dem RSA Global Summit vom 9. bis 11. September in Washington diskutieren werden und auf die meine Kollegen und ich uns im Smart-Grid-Projekt SPARKS konzentrieren.

Alan Webber schrieb in seinem Blog: „Unternehmen haben die Chance, die Grundlagen für die Sicherheit des IoT zu erstellen, indem sie zuerst die Risiken in nicht-traditionellen IT-Bereichen abschätzen.“ Dies ist eine Herausforderung, die wir bei RSA sehr ernst nehmen.