Sicherheitslücken durch das «Internet der Dinge»

Ein Kühlschrank meldet sich, wenn die Milch zur Neige geht, ein Fenster schliesst bei Regen automatisch und Rollläden fahren bei heranziehendem Gewitter von sich aus herab. Immer mehr Haushalts- und Unterhaltungsgeräte sind miteinander verbunden oder an das weltweite Datennetz angeschlossen. Die Zeiten, in denen nur PC, Tablets oder Spielekonsolen online waren, sind vorbei, denn immer mehr alltägliche Gebrauchsgegenstände werden Teil des Netzes.

Neue Chancen

2009 waren laut Marktforschungsunternehmen Gartner erst zweieinhalb Mil­liarden Geräte vernetzt. Heute sind es, gemäss einer Studie der International Energy Agency, bereits 14 Milliarden. Für das Jahr 2020 erwartet Gartner sogar, dass mehr als 30 Milliarden Geräte ständig online sind und insgesamt über 200 Milliarden zumindest zeitweilig Verbindung zum Internet herstellen.

Dieses sogenannte «Internet der Dinge» wächst und bildet immer mehr die technische Grundlage für neue Entwicklungen. Die Technologien bringen jedoch nicht nur für den Alltag der Endkonsumenten Neuerungen mit sich. Auch kleinen und mittelständischen Unternehmen eröffnen sie bislang nicht da gewesene Chancen. Beispielsweise können sie so auf kritische Situationen in Echtzeit reagieren oder neue Geschäftschancen nutzen – etwa um ihren Operationsradius zu vergrössern und weit entfernte Maschinen zu warten.

Der Online-Security-Anbieter AVG befragte im April 2014 insgesamt 2000 IT-Entscheider zur Bedeutung des «Internet der Dinge» für ihr Unternehmen. Den Ergebnissen zufolge sind 80 Prozent der KMU demgegenüber sehr aufgeschlossen und sehen, dass die neuen Technologien für ihr Geschäft relevant sind. Mehr als die Hälfte der Befragten sind jedoch der Meinung, dass das «Internet der Dinge» ihr Unternehmen für Sicherheitslücken und Hackerattacken anfäl­liger macht. Denn die umfassende Vernetzung er­öffnet Cyberkriminellen eine grosse Angriffsfläche und stellt die IT-Admini­stratoren der Unternehmen vor enorme Herausforderungen.

Die Gefahren

Bereits heute kommen auch in kleinen und mittelständischen Unternehmen vielfach intelligente, vernetzte Geräte zum Einsatz. Man findet sie vor allem bei der Steuerung eines Gebäudes beziehungsweise der Überwachung, der Telefonie sowie bei fast allen Geräten der Unterhaltungs­elektronik, die Unternehmen etwa in ihren Besprechungsräumen nutzen. Auch in der Produktion sind die Geräte immer stärker vernetzt. Selbst in der Landwirtschaft finden sich die neuen Technologien: Schon längst verfügen moderne Traktoren, Mähdrescher, Stall- und Melksysteme und Co. über vernetzte Systeme. Diese Durchdringung bedeutet aber auch, dass kleine und mittlere Unternehmen den gleichen Bedrohungen ausgesetzt sind wie Grosskonzerne. Laut einer Untersuchung der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC war jedes fünfte von 405 befragten mittelständischen Unternehmen mindestens schon einmal Opfer von Datendieben und Cyberspionen.

Cyberkriminalität kostet die globale Wirtschaft jährlich viele Milliarden Euro. Ein Beispiel zeigt, wie Online-Straftaten steigen und gleichzeitig die Aufklärungsquo­te sinkt: In Deutschland ist zwar insgesamt die Zahl der Straftaten laut der aktuellen polizeilichen Kriminalstatistik für 2013 im Vergleich zu 2012 mit 0,6 Prozent leicht rückläufig. Bei der Computerkriminalität jedoch ist ein Anstieg zu verzeichnen. Insbesondere bei Datenver­änderung und Computersabotage stiegen die Straftaten durch Angriffe mittels einer Schadsoftware enorm an: 17,6 Prozent mehr Delikte registrierte die Polizei 2013 im Vergleich zum Vorjahr. Gleichzeitig sank die Aufklärungsquote von 17,5 Prozent auf 9,2 Prozent.

Motivation: Geld

Hacker missbrauchen smarte Geräte aus den gleichen Gründen wie normale Computer: In der Regel geht es ihnen um die sensiblen Daten der Unternehmen oder um Sabotage. Dazu dringen sie in die IT-Systeme der Betriebe ein, bauen Botnetze auf oder schleusen Trojaner ein. Bei produzierenden Unternehmen nutzen sie sogar die Maschinensteuerungen als Einfallstor für Erpressungen – denn eine Störung der Produktion ist stets geschäftskritisch.

Immer wieder kommen konkrete Vor­fälle ans Licht: So griff erst kürzlich eine vermutlich osteuropäische Hacker-Gruppe westeuropäische Energieunternehmen an. Mithilfe ihrer Schadsoftware hat die Gruppe namens Dragonfly wohl nicht nur unternehmensinterne Informationen gesammelt, sondern zum Teil auch die Kontrolle über die Technik übernommen. Ein weiteres Beispiel: Anfang des Jahres wurde ein Cyberangriff aufgedeckt, bei dem Hacker handelsübliche, intelligente Gebrauchsgegenstände einsetzten. Sie manipulierten Geräte wie Router, Fernseher und Kühlschrank und nutzten sie dazu, über 750 000 Phishing- und Spam-Mails an Einzelpersonen sowie Unternehmen zu versenden.

Das zeigt: Jeder noch so harmlos erscheinende Alltagsgegenstand stellt ohne ausreichende Sicherheitseinstellungen eine potenzielle Gefahr dar. Denn alle Geräte mit IP-Verbindung besitzen eine Art Betriebssystem, das regelmässig durch sogenannte Patches auf den neuesten Sicherheitsstand gebracht werden muss. Sonst finden Hacker schnell Schwachstellen und können direkt in die Systeme eindringen − insbesondere, wenn diese nicht über Firewalls oder Antivirensoftware verfügen. Die Folge sind betriebsstörende Cyberangriffe, etwa die so­genannten DDoS-Attacken, bei denen Kriminelle eine Webseite oder einen Service mutwillig lahmlegen oder ein Unternehmen erpressen können.

Gerade kleine und mittlere Unternehmen sind jedoch für die steigende Anzahl intensiver Attacken oft nicht gewappnet. Den Ergebnissen der Studie von PwC zufolge ist der Mittelstand nur unzureichend auf Hackerangriffe, Datendiebstahl und andere Formen des Angriffs vorbereitet. Die Sicherheitsvorkehrungen sind oft nur lückenhaft oder überhaupt nicht implementiert. Denn da, wo grosse Konzerne ganze Teams speziell für IT-Security beschäftigen, müssen sich KMU mit erheblich geringeren Mitteln behelfen. Dementsprechend haben Kriminelle leichtes Spiel.

Sicherheitskonzept erarbeiten

Schwachstellen wird es immer geben. Daher kann Sicherheit nur als kontinuierlicher Prozess erfolgreich sein. Um sich bestmöglich zu rüsten, sollten Unternehmen ein ganzheitliches Sicherheitskonzept erarbeiten, in dem sie Aufgaben und Zuständigkeiten genau festlegen. Dieses gilt es dann in der Praxis konsequent umzusetzen und regelmässig zu aktualisieren. Schon mit einfachen Massnahmen wie der kontinuierlichen Beobachtung aller Aktivitäten im unternehmensinternen Netzwerk durch einen IT-Administrator lässt sich die Angriffsfläche bereits drastisch reduzieren. Lösungen wie Managed Workplace von AVG helfen dem IT-Verantwortlichen, den Überblick über alle Aktivitäten im Firmennetzwerk zu behalten. Mit dieser Software kann er die gesamte IT-Infrastruktur des Unternehmens, inklusive Endgeräten, Anwendungen, Netzwerken sowie Cloud-Umgebungen, von zentraler Stelle – auch aus der Ferne – verwalten, optimieren und warten.

Ein tragender Baustein eines jeden IT-Sicherheitskonzepts sind Antivirenlösung und Firewall. Dabei müssen Betriebe insbesondere darauf achten, dass sie diese auf allen Geräten stets aktuell halten und Updates immer umgehend einspielen. Darüber hinaus kommt eine Vielzahl an Lösungen für den Datenschutz ins Spiel – von der Authentifizierung über das Passwort-Management bis hin zur Verschlüsselung. Ein bedeutender Sicherheitsaspekt ist die verschlüsselte Kommunikation der Geräte untereinander. Mit erweiterten VPN (Virtual Private Network)-Lösungen wie ViPNet lässt sich die Kommunikation sowohl mit exter-nen Mitarbeitenden als auch innerhalb des Firmennetzes absichern.

In der Praxis steht und fällt die IT-Sicherheit im Unternehmen mit den Mitarbeitenden: Denn wenn sie nicht mitziehen, funktioniert auch ein ausgeklügeltes und modernes Sicherheitskonzept nicht. Für das Unternehmen bedeutet das, die Mitarbeitenden kontinuierlich für mögliche Sicherheitsrisiken zu sensibilisieren. In Zeiten des «Internets der Dinge» gilt das umso mehr.