Wer kennt es nicht, das Internet der Dinge kurz IoT, ein aktuell viel diskutierter Ansatz der zunehmenden Vernetzung von Produkten über das Internet, der immer mehr Auswirkungen auf die IT-Sicherheit hat.
Die Aussage „das Produkt reift beim Kunden“ hört man im Zusammenhang mit Software immer öfter. Was in der Vergangenheit primär auf die Softwarequalität insbes. Nutzerfreundlichkeit zutraf weitet sich im IoT auf den komplexen und in Zeiten von Hochverfügbarkeit kostspieligen Bereich der IT-Sicherheit aus. Die aktuellen Fälle von verwanzten Kinderpuppen und DDos-Angriffen von Botnetzen, die aus internetfähiger Geräten bestehen, zeigen die mediale Brisanz dieses Themas.
Kann sich ein Gerätehersteller also zukünftig noch erlauben eklatant bei der IT-Sicherheit der eigenen Geräte zu sparen?
Auch wenn die Privatsphäre der Endkunden ein hohes Gut ist, ist dieses Thema für den Verbraucher oftmals zu komplex und zu wenig greifbar. Und wer hat denn in Zeiten von Facebook & Co etwas zu verbergen? Was der Verbraucher kennt ist bspw. ein CE-Kennzeichen auf Elektrogeräten oder den grünen Punkt auf Verpackungen. Eine Zertifizierung von Produkten für das Internet erscheint daher auf den ersten Blick als charmante und einfache Lösung. Die öffentliche Verwaltung lebt dies bereits vor, da nur vom BSI zertifizierte Software eingesetzt werden darf. Der Teufel steckt leider wieder im Detail. Das Internet hat zum Glück keine Grenzen und daher löst eine Zertifizierung im IoT durch einzelne Länder auf der Welt nicht das Grundproblem. Denn wenn der Rest der Welt sicherheitskritische Geräte ins Internet lässt ist eine solche Initiative leider ein Tropfen auf den heißen Stein. Einen einheitlichen Standard zu finden, den viele Länder unterstützen, dauert gewöhnlich lange, sodass sicherlich das Thema uns noch eine ganze Zeit lang begleiten wird, wenn sich die Hersteller nicht selbst verpflichten.
Businesskunden benötigen industrielles IoT
Ein anderer Ansatz könnten die Businesskunden sein. Wenn etwas finanzielle Schäden verursacht, erkennt auch das Management, dass der jeweilige Gerätehersteller ein Problem hat. Das Stichwort ist hier industrielle IoT, d.h. der Einsatz von vernetzen Geräte in Produktionsanlagen. Gerade im Zusammenhang von Industrie 4.0 wird dieser Ansatz sehr vorangetrieben. Hierbei wird der Hersteller zum Anbieter von Lösungen, die aus physischen und digitalen Produkten bestehen. Spätestens seit Stuxnet weiß man, was industrielle IT Sicherheit für Auswirkungen auf den gesamten Produktionsprozess haben kann. Das exponentielle Wachstum der protokollierten Informationen bietet darüber hinaus den Angreifern interessante Ziele z.B. für Industriespionage. Der IT-Sicherheitsbeauftragte hat daher die oftmals unbequeme Rolle zu entscheiden, welche Geräte in das Unternehmensnetz dürfen und welche schon gar nicht beschafft werden dürfen. Dieser benötigt in diesem sich schnell entwickelnden Markt Unterstützung durch Experten, um die Geräte zu prüfen und die letzten Lücken im Informationsverbund des Unternehmens zu beseitigen.
Wenn Hersteller von industriellen IoT im Markt bestehen wollen, sollten sie daher das Thema IT-Sicherheit ernst nehmen und ausreichend Ressourcen und Zeit bei der Produktentwicklung dafür vorsehen.