Adnovum gibt Tipps für ein sicheres Internet der Dinge
Adnovum hat in Zürich einen Fitness-Tracker gehackt. Die Demo zeigte, wie einfach es ist, sich einen Bonus für Krankenkassenprämien zu ergattern – ohne dabei auch nur einen einzigen Schritt zu machen.
Das Internet der Dinge (IoT) ist jung, aber omnipräsent. Deloitte erwartet, dass die Umsätze mit IoT-Apps zwischen 2015 und 2020 von 217 Milliarden auf eine Billion Euro steigen. McKinsey spricht gar von einem weltweiten Mehrwert von bis zu 11 Billionen US-Dollar bis 2025. Klar ist: Das IoT wächst, und es lässt sich nicht aufhalten.
«Seit 2008 gibt es mehr vernetzte Geräte als Menschen», sagte Tom Sprenger heute in Zürich. Der CTO von Adnovum sprach über die Security-Herausforderungen im Internet der Dinge. Das Unternehmen hackte in einer Demo einen Fitness-Tracker und konnte so die Anzahl gemachter Schritte manipulieren. Doch warum sollte man das tun? Um sich einen Bonus bei der Krankenkasse zu ergattern, sagte Adnovum.
Tipps für ein sicheres IoT
Unternehmen sollten Hardware verwenden, die möglichst sicher ist. Das Problem: Alle Plattformen sind unsicher. Und auf unsicheren Plattformen lassen sich keine sicheren Lösungen bauen. Firmen können die Sicherheit ihrer Lösungen jedoch mit geeigneten Massnahmen auf einen für den jeweiligen Business-Case erforderlichen Level bringen.
Adnovum empfiehlt folgende Massnahmen für ein sicheres IoT:
1. Geräte müssen aktualisierbar sein
Die Industrie setzt ihre Geräte oft 20 Jahre ein. Hersteller sollten Hardware darum mit Software-Updates versorgen. Ist ein Gerät nicht updatefähig, empfiehlt es sich nicht. Firmen sollten Anbieter meiden, die ihre Geräte nicht regelmässig aktualisieren.
2. Geräte müssen eine Identität haben
Unternehmen investieren in Identity- und Access-Management-(IAM)-Lösungen. Diese erfassen IoT-Geräte aber oft nicht. Firmen sollten den Geräten darum Identitäten geben und IAM auch im Internet der Dinge umfassend implementieren.
3. Kommunikationsprotokolle müssen möglichst sicher sein
Bluetooth ist nicht gleich Bluetooth, und nicht alle Protokolle sind gleich sicher. Unternehmen sollten sich damit befassen. Da sie nicht auf alle Layer im OSI-Modell Zugriff haben, sollten Firmen den Applikationslayer so sicher wie möglich machen.
4. Server müssen möglichst sicher sein
Firmen müssen sich fragen, wie vertrauenswürdig ihr Server-Betreiber ist. Er sollte Server physisch und auf Netzwerkebene absichern und auf Identity und Access Management setzen. Verschlüsselung und Mitarbeiter-Trainings sind oft sinnvoll.
5. Software-Entwicklung muss möglichst sicher sein
Software sollte «secure by design» sein. Auch wenn das Business Druck macht und Produkte möglichst schnell ausliefern will. Penetrationstests, Vorgaben für Partner, Code-Reviews und mindestens ein 4-Augen-Prinzip können hier helfen.
6. Monitoring und Anomalie-Detektion helfen
Aufgrund der hohen Vernetzung und Heterogenität sind die beschriebenen Massnahmen oft nicht ausreichend. Es empfiehlt sich, auch ein Monitoring zu nutzen. Firmen können so sicherheitsrelevante Anomalien entdecken und schnell reagieren.
7. Anbieter und Endkunden sensibilisieren
Unternehmen sollten auf vertrauenswürdige Hersteller setzen. Und Nutzer sichere Passwörter wählen. Dienste und Sensoren, die niemand nutzt, sollte man ausschalten. Endkunden müssen wissen, dass IoT-Geräte oft vertrauliche Daten abfangen.
Update: Interdiscount übernimmt Lernende von Melectronics
Wie und warum sich Industriebetriebe vor Cyberangriffen schützen sollten
Tesla entlässt bis zu 10 Prozent seiner Mitarbeitenden
Schweizer Bevölkerung lässt sich lieber von Chatbots als von Menschen helfen
Jedes zweite IT-KMU überlebt keine fünf Jahre
Xiaomi ist Apple dicht auf den Fersen
LG stellt neuen IPS-Diagnosemonitor vor
Tata Consultancy Services wächst deutlich
Auf den Spuren des Glasgower Dialekts
