Entwicklung von IoT-Produkten benötigt
KI-Methoden
Je umfangreicher das Angebot an vernetzten Consumerprodukten
wird, desto vielfältiger wird das
Gefahrenpotenzial. Dies hat das aus einem Verbund
von gekaperten IoT-Geräten entstandene
Botnetzwerk Mirai deutlich gemacht. Mit Spitzenbandbreiten
von über einem Terabit pro
Sekunde wurden selbst Anbieter in die Knie
gezwungen, die eigentlich noch am besten gegen
DDoS-Angriffe gewappnet sind. Doch nicht nur
DDoS-Angriffe, auch weitere Szenarien sind mit
IoT-Botnetzen möglich. Was passiert beispielsweise,
wenn zahlreiche von Angreifern kontrollierte
Kühlschränke, Kaffeemaschinen, Wasserkocher
etc. gleichzeitig ihren Energieverbrauch maximieren?
Kann dann noch die Stromversorgung aufrechterhalten
werden? Problematisch ist jedoch,
wie selbst bei einem konsequenten Security by
Design über eine Berücksichtigung der bekannten
Bedrohungen hinaus auch mögliche zukünftige
und noch unbekannte Zugriffsrisiken bedacht
werden können. Hierfür bedarf es Methoden der
künstlichen Intelligenz (KI), mit deren Hilfe sich
neue Bedrohungsmuster antizipieren lassen. Sie in
der Entwicklung von IoT-Produkten zu berücksichtigen,
steigert nicht nur die Sicherheitsperformance,
sondern mindert auch das wirtschaftliche
Risiko, da durch erst spät erkannte
Security schwächen Produkte möglicherweise aufwendig
modifiziert oder wieder vom Markt
2018 IT- & TELEKOMMUNIKATIONS-GUIDE 49
genommen werden müssen.
Tool-Zoo lässt neue Risiken entstehen
Unternehmen setzen für die immer komplexeren
Sicherheitsgefahren reflexartig immer mehr Werkzeuge
für spezifische Anforderungen ein und
bauen sich damit einen unübersichtlichen Tool-
Zoo auf. Meist findet jedoch keine Prüfung statt,
wie die verschiedenen Werkzeuge miteinander
harmonieren. Damit entsteht die Gefahr, dass die
Tools selbst zu einer Bedrohung werden.
Die Umsetzung der EU-DSGVO kommt
unverändert nur langsam voran
Auch wenn es verbindliche zeitliche Pflichten
gibt, zeigen alle derzeitigen Studien, dass sich die
Unternehmen erst zurückhaltend der neuen europäischen
Datenschutzverordnung widmen. Diese
Zurückhaltung wird vermutlich erst aufgegeben,
wenn sich den Firmen ein zusätzlicher Investitionsanreiz
bietet. Er könnte darin bestehen, dass
sich der notwendige Aufbau eines Datenschutzmanagementsystems
(DSMS) an der Vorgehensweise
eines Informationssicherheitsmanagementsystems
(ISMS) nach ISO/IEC 27001:2013
orientiert. Denn dies wird dazu führen, dass
gleichzeitig wesentliche Voraussetzungen für den
Aufbau eines zertifizierbaren ISMS geschaffen
werden, was einen höheren Investitionsnutzen mit
sich bringt.
IT-Sicherheitsgesetz (IT-SiG) erzeugt
Dominoeffekte in Richtung der Lieferanten
Das IT-SiG bleibt unverändert weit oben auf der
Agenda, da es sich kontinuierlich weiterentwickelt.
Vor allem aber müssen im Mai 2018 die
betroffenen Unternehmen aus dem sogenannten
Korb 1 mit den Sektoren Energie, Informationstechnik,
Telekommunikation, Wasser und Ernährung
die Umsetzung der Sicherheitsmaßnahmen
gemäß § 8a nachweisen. Spannend wird es hier bei