Digitale Achillesferse

Nichts ist so sicher wie die Vernetzung. So lautet die Verheißung im Jahr 1969, als das US-Verteidigungsministerium das „Arpanet“ startete. Die Verbindung vieler ansonsten unabhängiger Rechner durch ein Internet (wie es später genannt wurde) sollte die Computer-Infrastruktur der US-Militärforschung vor der Zerstörung durch den Feind beschützen: Ein Angriff gegen einen Zentralrechner ist einfacher und durchschlagender als die gleichzeitige Attacke auf eine Vielzahl von Dezentralrechnern.

Nun ja, wie man’s nimmt. In der Tat wurde die eine, riesengroße Attacke des Todfeindes auf diese Weise erschwert – aber dafür wurde es erleichtert, dass irgendjemand irgendwo irgendeine Attacke starten konnte. Statt der einen verwundbaren Stelle, die jedes noch so sichere System hat (sogar der Todesstern bei „Star Wars“) entstand so geradezu ein Netzwerk von Achillesfersen. Je größer die Datenmenge und je stärker die Vernetzung, desto zahlreicher werden die Angriffspunkte, von denen aus sich ein Eindringling vorarbeiten kann. Wie beim Rennen zwischen Hase und Igel liefern sich denn auch Hacker und Sicherheitsexperten einen schier unendlichen, fintenreichen Wettstreit um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Netzen.

Jetzt sind die Sicherheits-Experten mit einer neuen Herausforderung konfrontiert: der milliardenfachen Vernetzung von Geräten aller Art – im Internet der Dinge. Laut Marktforschungsunternehmen Gartner waren im Jahr 2015 bereits 4,9 Milliarden Objekte im IoT (Internet of Things) vernetzt. Bis zum Jahr 2020 sollen es 25 Milliarden sein – oder sogar 30 Milliarden, wie das Research-Unternehmen IDG schätzt. Aktuell investiert schon jedes fünfte der von PwC für den Digital IQ Survey befragten Unternehmen in IoT-Technologie, Tendenz stark steigend.

Allein rein rechnerisch wird die Herausforderung dieses exponentiellen Wachstums der digitalen Verbindungen deutlich: Bei fünf Milliarden Objekten gibt es 12,5 Trillionen (12,5 × 1018) Möglichkeiten, zwei davon zu verbinden – bei 25 Milliarden sind es bereits 313 Trillionen Möglichkeiten. Die Zahl der Gruppen aus zehn Objekten, die man in diesem 25-Milliarden-IoT bilden kann, liegt höher als die Zahl der Atome im Universum. Da gibt es keine einfachen Sicherheitslösungen mehr.

Entsprechend steigt die Verletzlichkeit. Die Attacken auf IoT-Geräte und -Systeme nehmen dramatisch zu, wie der „Global State of Information Security Survey 2016“ von PwC konstatiert: Im Jahr 2015 wurde ein Plus von 26 Prozent gegenüber dem Vorjahr bei Cyber-Angriffen auf IoT-Betriebssysteme registriert – bei den IoT-fähigen mobilen Geräten betrug die Zunahme sogar 36 Prozent.

Für solche Angriffe braucht es immer häufiger weder besondere Fachkenntnisse noch ausgeprägte kriminelle Energie: Findige Angreifer entdecken wie beim antiken griechischen Helden früher oder später immer eine schwache Stelle. Eine Anfang 2015 vom IT-Konzern HP veröffentlichte Studie offenbarte fundamentale Sicherheitslücken in Fülle: von schwachen Passwörtern über unverschlüsselte Vernetzungsdienste bis zu ungeschützten Daten-Schnittstellen. Und das nicht nur im Einzelfall, so HP: 100 Prozent aller damals getesteten Geräte und Systeme für die Wohnungsüberwachung, etwa Kameras oder Bewegungsmelder, wiesen eklatante Sicherheitsmängel auf.

Dass solche Mängel jenseits von Testbedingungen auch in der Realität spürbar werden, zeigt beispielsweise die Suchmaschine Shodan. Sie ist darauf spezialisiert, Geräte aufzuspüren, die mit dem Internet verbunden sind. Wenn diese Geräte über moderne Sicherheitsmechanismen verfügen, wirft Shodan dem Suchenden wenig mehr als die jeweils verwendete Server-Software aus – ohne Sicherung hingegen können sämtliche Daten ausgelesen werden, die über das Gerät übertragen werden. Tausende von Überwachungskameras weltweit sind derart verletzlich, von der Webcam, die den Firmeneingang kontrollieren soll, bis zu den Monitoren im Cockpit von Baumaschinen.

Theoretisch könnten die so erlangten Daten auch von Cyber-Kriminellen genutzt werden. In der Praxis wird Shodan allerdings vor allem von Cybersecurity-Experten verwendet, die auf diese Weise Sicherheitslücken bei den von ihnen betreuten Unternehmen beziehungsweise Geräten entdecken. Datendiebe hingegen verschaffen sich solche Informationen eher über eigene Bot-Netze – und damit anonym.

Aber auch wenn IoT-Daten in keiner Weise von Dieben oder Hackern bedroht sein sollten, sind mit ihnen Sicherheitsrisiken verbunden. Denn den Kunden, Lieferanten und anderen Stakeholdern ist sehr wohl bewusst, dass für einen bestimmten Zweck eingesammelte Daten auch anderweitig genutzt werden könnten. Städte, in denen nachts Straßenlampen nur leuchten, wenn Menschen in der Nähe sind, könnten mit den so gewonnenen Bewegungsdaten Mobilitätsprofile ihrer Bürger erstellen, und auf Bedarf geschaltete Fußgängerampeln könnten erheben, wer sie bei Rot überquert. Datensicherheit umfasst also auch den Datenschutz – und wer die Privatsphäre seiner Kunden nicht respektiert, läuft Gefahr, bald keine Kunden mehr zu haben.

Angesichts der Fülle von gänzlich neuen Situationen – ob Chancen oder Risiken  –, mit denen die Unternehmen durch intelligente und vernetzte Produkte konfrontiert sind, entsteht langsam ein völlig neues Verhältnis zu diesen Produkten. So wie gilt, dass die Potenziale einer Vernetzung von Beginn an in die Produktentwicklung einfließen sollten, gilt es auch für die Sicherheitsrisiken. Das bestehende Produktportfolio irgendwie an das digitale Zeitalter anzupassen, kann allenfalls eine Übergangslösung sein. „Security by Design“ ist deshalb einer der Schlüsselbegriffe für neue Produktionsprozesse, sagt Aleksei Resetko, Experte für IT-Sicherheit bei PwC. Vertrauen schaffende Sicherheit werde nicht erst am Ende durch zusätzliche Features den Produkten angeheftet, sondern bilde einen integralen Produkt-Bestandteil in der gesamten Wertschöpfungskette (siehe Interview).

Auch wenn Unternehmen auf diese Weise nicht jegliche Achillesferse ausmerzen können, das verbleibende Restrisiko können sie wenigstens versichern. Wen wundert es, dass dieses Segment der Cyber-Versicherungen derzeit sogar einer der am stärksten wachsenden Bereiche in der gesamten Versicherungsbranche ist? Laut einer PwC-Schätzung wird sich der weltweite Umsatz in diesem Sektor von 2015 bis 2020 verdreifachen, auf dann 7,5 Milliarden Dollar. Allerdings, so gibt Joseph Nocera zu bedenken, der bei PwC die Cybersecurity-Praxis in den USA leitet, sollten Unternehmen sich nicht der Hoffnung hingeben, mit einer solchen Versicherung alle potenziellen Schäden abzudecken: „Kein Versicherungsprodukt der Welt kann die Reputation Ihrer Firma oder Marke schützen.“

Bildnachweis: Vetta/GettyImages, Mikko Lemola/Istockfoto, PwC

Newsletter abonnieren

Mit dem Newsletter verpassen Sie keine Ausgabe der next: Das Magazin für Vorausdenker

Anmelden
Experten kontaktieren

Sie haben Fragen oder möchten mit einem unserer Experten zu diesem Thema sprechen? Melden Sie sich gerne bei uns.

Kontaktieren
Diesen Beitrag teilen

Hier können Sie den Beitrag über soziale Medien teilen.

Teilen