Anbieter zum Thema

Fujitsu Technology Solutions GmbH

QUNIS GmbH

Fivetran Germany GmbH

Wie müssen Anwender und Hersteller nun auf diese Bedrohungslage reagieren?

Anwender müssen bei der Auswahl von IoT-Geräten viel mehr einen Fokus auf IT-Sicherheit legen. IoT-Geräte müssen durch das Netzwerk, in dem Sie eingesetzt werden, überwacht werden. Zusätzlich müssen sinnvolle Sicherheitsrichtlinien für diese Geräte auf Netzwerkebene durchgesetzt werden. Die Möglichkeit einer Isolation sollte gegeben sein. IoT-Geräte müssen in Zukunft regelmäßig gewartet werden, entweder manuell durch die Anwender oder automatisiert durch die Hersteller.

Hersteller von IoT-Devices müssen mehr Fokus auf IT-Sicherheit legen, unter anderem unbedingt einen Softwareentwicklungsprozess mit Unterstützung von IT-Sicherheit verwenden. Gerade für kleinere Unternehmen haben meine Forschungsgruppen Secure Scrum als einfach zu verwendende Erweiterung von Scrum entwickelt, um zu sicherer Software zu kommen. Einem solchen Entwicklungsprozess mit Fokus auf IT-Sicherheit kommt eine immense Bedeutung zu, um IT-Sicherheit managbar zu machen und letztendlich zu beherrschen. Die aktuelle Situation im IoT erinnert mich fatal an die Situation, in der Microsoft damals den Security Development Lifecycle als neues Konzept für die Softwareerstellung einführte. In vieler Hinsicht sollten Hersteller von IoT-Devices auf klassische Softwarefirmen schauen und deren Entwicklungspraxis kopieren.

Unternehmen müssen Verantwortung für die von ihnen entwickelten IoT-Devices übernehmen und diese über deren gesamte Lebenszeit mit Updates versorgen. Mechanismen für Updates müssen vorgesehen sein. Idealerweise geschehen Updates automatisiert, so dass Schwachstellen schnell und effizient behoben werden können.

Glücklicherweise ist zu erwarten, dass durch das verpflichtende Prinzip „Privacy by Design“ aus der Datenschutzgrundordnung in Zukunft auch der Fokus auf IT-Sicherheit gelegt wird.

Wie können sich Unternehmen gegen Angriffe in solchen Größenordnungen sinnvoll wappnen?

Es gibt Angebote zum DDoS-Schutz, z.B. von Akamei und Cloudfare. Bei dem Angriff auf Herrn Krebs strich ein Anbieter jedoch die Segel, Google bot daraufhin seinen Schutz an und es gelang auch tatsächlich, die Attacke abzumildern.

Die Nutzung der Dienste von Akamei, Cloudfare und Google bietet sich sehr an. Unternehmen müssen den Ausfall der Internetverbindung als Geschäftsrisiko einplanen und mit einem Notfallplan reagieren können.

Nach dem Angriff auf Dyn fordern Analysten stärkere Regulierung von IoT-Geräten. Wäre eine solche Regulierung sinnvoll, bzw. wie könnte dies aussehen?

Ich setze mich nun seit fast einem Jahrzehnt für eine umfassende Softwarehaftung für die Hersteller von Software ein. Hersteller von Software sollten für Sicherheitsvorfälle, die auf Grund von Sicherheitsschwachstellen geschehen, haftbar gemacht werden können. Nur so wird gewährleistet, dass IT-Sicherheit angemessen berücksichtigt wird. Einen ähnlichen Ansatz verfolgt die Datenschutzgrundordnung mit empfindlichen Strafen bei Datenschutzverstößen. Mit dem Prinzip „Privacy by Design“ stellt die Datenschutzgrundordnung ein weiteres interessantes Konzept. Analog könnte gesetzlich „Security by Design“ vorgeschrieben werden. Security by Design würde erfordern, dass IT-Sicherheit bereits im Design von Software berücksichtigt werden muss und dies auch entsprechend dokumentiert wird.

Dieser Text stammt von unserem Partnerportal Elektronikpraxis. Verantwortlicher Redakteur: Sebastian Gerstl

(ID:44349629)