Wie lässt sich die Endgeräte-Sicherheit umsetzen, wenn keine „Menschen“ am Endgerät sitzen – etwa in IoT-Umgebungen? Auf diese und andere Fragen haben die Security-Experten Kristian Kalsing, Adaptiva, Michael Schröder, ESET Deutschland GmbH, Johannes Carl, Ivanti, Richard Werner, Trend Micro, sowie Michael Haas, WatchGuard Technologies geantwortet.
„Im IoT-Bereich unterscheiden wir zwischen verschiedenen Gerätetypen. Auf klassischen Clients wie zum Beispiel Geldautomaten können IT-Sicherheits-Tools installiert werden“, erläutert Richard Werner, Business Consultant bei Trend Micro. „Dort arbeitet man häufig mit Whitelist-Ansätzen und friert sozusagen das Verhalten der Maschine auf einen Ist-Zustand ein. Anders sieht es bei Industriemaschinen aus: Roboter, Medizintechnik oder Drucker dürfen und können meist nicht durch den Betreiber verändert werden. Stattdessen arbeitet man mit Netzwerktechnologie, um diese Systeme gegen Angriffe von außen abzuschirmen.“
Einen generellen Sicherheitsbedarf im OT-Umfeld stellt Kristian Kalsing fest: „Natürlich müssen Unternehmen auch Geräteidentitäten schützen – Industriespionage ist im IoT-Kontext eine tägliche Gefahr“, betont der Chief Product Officer bei Adaptiva. „Wenn keine Personen an den Endpunkten sitzen, hat das einen entscheidenden Vorteil: Menschliches Versagen ist bei Sicherheitsproblemen in diesem Fall ausgeschlossen. Generell können Betreiber von IoT-Umgebungen die gleichen Sicherheitspraktiken anwenden wie beim herkömmlichen Endpoint-Management, und damit die gleichen Sicherheitsstandards erreichen.“
Für Michael Schröder, Security Business Strategy Manager ESET Deutschland GmbH, funktionieren auf IoT-Geräten klassische Sicherheitslösungen dann, wenn Standard Betriebssysteme wie Windows eingesetzt werden: „Insofern ist der Hersteller in der Pflicht, mit ‚Security by Design‘ ein tragfähiges Sicherheitskonzept mitzuliefern. Dies geschieht allerdings zu selten, was in der Operational Technology zwangsläufig zu Problemen führt. Unternehmen bleibt nicht viel anderes übrig, als eine Netzwerksegmentierung vorzunehmen.“ Daher sollte man unbedingt wissen, welche Geräte mit wem kommunizieren, speziell zu externen Stellen. „Ansonsten sollten Administratoren den Zugriff auf nicht benötigte Dienste bzw. Software deaktivieren oder blockieren“, empfiehlt Schröder weiter. „Letztlich sind Unternehmen generell gut beraten, den Einsatzzweck des IoT-Geräts zu hinterfragen und lieber Verzicht zu üben, wenn es nicht notwendig ist.“
„IoT-Geräte haben für sich genommen ein viel begrenzteres Nutzungsspektrum als Desktop-PCs und können daher viel stärker eingeschränkt werden. In der Praxis bedeutet das aber sehr viele gerätespezifische Konfigurationen“, betont Johannes Carl, Expert Manager PreSales UEM bei Ivanti. „Auch fehlt der Mensch, der ungewöhnliches Verhalten bemerkt und Alarm schlägt, eine Aufgabe, die zunehmend jedoch von KI-gestützten Systemen übernommen wird. Mindestens genauso wichtig sind Discovery-Lösungen, die neue Geräte erkennen und automatisch in das Sicherheitskonzept integrieren.“
Für den Regional Vice President Central Europe bei WatchGuard Technologies, Michael Haas, befindet sich der Datenverkehr, der auf dem Gerät stattfindet oder von diesem ausgeht, im Fokus: „Im Zuge dessen kommt es mehr und mehr auf ein ganzheitliches, integratives Zusammenspiel der unterschiedlichen Sicherheitsfunktionalitäten an. So können IoT-Umgebungen mit einer Firebox-Appliance am Perimeter abgesichert werden. Parallel dazu kann eine dedizierte Lösung für Endpoint Security Wirkung entfalten. Die Kür ist jedoch mittlerweile längst eine übergreifende Bedrohungsanalyse, die vom Perimeter bis zum Endpoint reicht. Hier spielen Cloud-basierte IT-Sicherheitsplattformen eine entscheidende Stärke aus.“
Rainer Huttenloher