Die IT-Sicherheit in Unternehmen steht jedes Jahr vor immer neuen Herausforderungen. Nachdem bisher vor allem Malware-infizierte E-Mails als das große Einfallstor wahrgenommen wurden, greifen nun skriptbasierende Angriffe auf die Clients zu. Als große Aufgabe kommt ab Mai 2018 das Datenschutzthema DSGVO hinzu. Wie Unternehmen damit umgehen, welche großen Probleme sich mit IoT-Geräten abzeichnen und was beim EU-Datenschutz zu beachten ist, diskutierte beim Presse-Roundtable IT-meets-Press eine Expertenrunde aus dem Analysten-, Anwender- und Herstellerumfeld.
„Unternehmen, die bisher vor allem in passiven Schutz in Form von Mauern aus Firewalls, VPNs, URL-Filter und Anti-Virus investiert haben, müssen umdenken. Nur wer aktiv und konkret mit Risiken aus gezielten Angriffen und komplexen Bedrohungen umgeht, kann seine IT dagegen schützen“, sagt Matthias Straub, Director Professional Services bei der NTT Security (Germany) GmbH in Ismaning.
Vor zahlreichen IT- und Wirtschaftsjournalisten diskutierte der Experte gemeinsam mit Dr. Ekkard Schnedermann von Crisp Research, Mirco Rohr von Bitdefender, Jörg Spilker von der Datev und Patrick Quellmalz vom VOICE – Bundesverband der IT-Anwender e.V. Die Veranstalter von IT-meets-Press, Christoph Witte und Wolfgang Miedl, moderierten die Podiumsdiskussion zum Thema ‚Sicherheit und Datenschutz für die Digitale Welt‘.
Bisher hatten Angriffe auf das Internet of Things (IoT) eher anekdotischen Charakter: Gehackte Webcams, Viren in Android-Fernsehgeräten oder auch ein Eindringen in die Steuerelektronik eines Jeep-SUVs stellten bisher mögliche Gefahrenszenarien dar. Doch mit der rasanten Ausbreitung intelligenter Geräte in allen Industrien muss sich die Wirtschaft nunmehr auf ganz neue Herausforderungen vorbereiten, lautete das Fazit der Expertenrunde.
Vor allem lebenskritische Umgebungen wie Kliniken stehen hier vor großen Herausforderungen. Straub zufolge sind die Probleme für Sicherheitsbeauftragte immens groß. Die Geräte würden täglich benötigt, aber in der Regel blieben die Sicherheitsfragen ungeklärt. Auch die zunehmende Vernetzung von Industriesteuerungen steigert das Risiko böswilliger Manipulationen und Angriffe. Wie real hier die Bedrohung durch ungeschützte IoT-Geräte und Industriesteuerungen ist, zeigt schon eine kurze Suche bei der auf das Auffinden solcher Endgeräte spezialisierten Suchmaschine Shodan oder Riskviz.
Bei der Ursachenforschung rückt vor allem das Patch-Management ins Blickfeld, das in einem Spannungsfeld zwischen Kostendruck einerseits und regulatorischen Vorgaben andererseits steht. Produkte aus dem Massenmarkt wie die Webcam für 39 Euro werden in der Regel nur kurz mit Patches versorgt und stehen dann irgendwann angreifbar im Netz. Am oberen Ende des Marktes hingegen behindern oft regulatorische Vorgaben, wie Jörg Spilker, Leiter Datenschutz und Informationssicherheit bei der Datev, erklärt: „In der Medizin und der Chemie ziehen sich Zertifizierungsprozesse über Monate und Jahre hin. Sobald man dann per Patch nur ein Bit ändert, muss das System wieder in den Abnahmeprozess. Um zukünftig die Gefahren einzudämmen, forderte die Runde neue Ansätze wie eine generelle Produkthaftung.
Neben IoT beschäftigen die Unternehmen aber auch andere IT-Sicherheitsthemen. So breiten sich als neue Einfallsvektoren neben der altbekannten E-Mail-basierenden Malware inzwischen Skript-basierende Hacks aus. Das bedeutet, dass sich Unternehmen neu aufstellen müssen. Es reiche nicht mehr, Mauern um die IT zu bauen mit Firewalls und Antivirus. Auch der Trend zur stärkeren Vernetzung und der Vermarktung von Services fordert hier das Umdenken.
Wie weit die gewerblichen Anwender auf dieses sich rasant wandelnde Umfeld vorbereitet sind, steht auf einem anderen Blatt. Mit diesen Aspekten hat sich Dr. Ekkard Schnedermann, Senior-Analyst bei dem Beratungsunternehmen Crisp Research AG, in einer aktuellen Studie eingehend befasst. Seine zentrale Erkenntnis lautet: Der aktuelle Digitalisierungstrend bedroht die IT-Sicherheit, aber zwei Drittel der Unternehmen verfügen nur über eine unklare oder über gar keine Strategie zur Vermeidung dieser Gefährdung. Vor allem die Balance zwischen IT-Performance und Benutzerfreundlichkeit einerseits und den Anforderungen der Sicherheit andererseits stellt ein großes Problem dar. Im Zweifel wird die IT-Sicherheit den Anforderungen an Produkt-Performance und Usability untergeordnet.
