IT-Matchmaker news

Security Roadmap sichert IoT-Projekte ab

Das „Internet of Things“ (Internet der Dinge, IoT) ist ein Netzwerk, in dem alltägliche physische Geräte und Gegenstände über das Internet miteinander verbunden sind und Daten austauschen können, ohne dass menschliche Interaktion erforderlich ist. Für Industrieunternehmen ist das Internet der Dinge daher ein großer Schritt in Richtung Industrie 4.0. Allerdings nicht ohne Sicherheitsbedenken!

IoT
© gorodenkoff, istockphoto.com

Sollen verschiedene Maschinen, Anlagen und Geräte über das Internet miteinander kommunizieren, hat das immer Einfluss auf das Security-Konzept des Unternehmens. Schließlich werden Hackern so an verschiedenen Stellen im Unternehmen Angriffsflächen geboten, die gerne ausgenutzt werden. Um die Sicherheitslücken in IoT-Projekten zu schließen, sollte man daher an drei Stellen ansetzen: Bei den IoT-Geräten (Devices), bei der Cloud-Architektur und bei der Verbindung der Devices mit der Cloud. Das Device muss sicher sein und den aktuellen Standards entsprechen.

Schwache Standard-Sicherheit bei IOT-Geräten

So verfügen viele IoT-Geräte beispielsweise über schwache oder standardmäßige Zugangsdaten, die von Hackern leicht erraten werden können. Auch kann es vorkommen, dass die Geräte über unverschlüsselte Kanäle kommunizieren. Dies ermöglicht es potenziellen Angreifern, den Datenverkehr abzufangen und zu manipulieren. Ein strukturierter Auswahlprozess ist hier hilfreich.

Security-Konzept für die Cloud-Architektur

Die Cloud-Architektur spielt eine wesentliche Rolle bei der Implementierung von IoT-Lösungen, da sie die zentrale Plattform für die Datenverarbeitung, Speicherung und Bereitstellung von IoT-Diensten darstellt. Die Cloud bietet eine skalierbare und flexible Umgebung, die es Unternehmen ermöglicht, große Mengen an Daten von vernetzten IoT-Geräten zu verarbeiten und zu analysieren. Hier muss man sich mit Fragen zur Art der Cloud (Private, Public oder Hybrid) und zum Provider auseinandersetzen. Auch die Sicherheitsprobleme, die mit dem Cloud-Betrieb einhergehen müssen von Anfang an im Security-Konzept des Unternehmens berücksichtigt werden: Neben Datenverlusten über unverschlüsselte Verbindungen kann z.B. auch eine fehlerhafte Konfiguration von Cloud-Diensten zu Sicherheitslücken führen. Standardpasswörter, öffentlich zugängliche Dienste oder unzureichende Firewall-Einstellungen könnten potenzielle Schwachstellen darstellen, die es auszuschalten gilt. Auch die unzureichende oder fehlerhafte Implementierung von Identitäts- und Zugriffskontrollen kann bewirken, dass unbefugte Benutzer oder Dienste auf sensible Daten und Ressourcen zugreifen können. Daher sollte die Sicherheit von Anfang an in die Cloud-Architektur einbezogen werden. Regelmäßige Sicherheitsaudits und Penetrationstests helfen dabei, Schwachstellen zu identifizieren und zu beheben.

Verbindung zur Cloud absichern

Die Verbindung von Geräten mit der Cloud im Internet of Things erfolgt in der Regel über verschiedene Kommunikationstechnologien. Diese Technologien ermöglichen es den vernetzten Geräten, Daten zu sammeln, mit der Cloud zu kommunizieren und von den dortigen Diensten zu profitieren. Bluetooth und Zigbee sind beispielsweise Kurzstrecken-Kommunikationstechnologien, die häufig in Smart-Home- und Industrie-IoT-Anwendungen eingesetzt werden. Diese Technologien ermöglichen es den Geräten, direkt miteinander zu kommunizieren oder über sogenannte „Gateways“ eine Verbindung zur Cloud herzustellen. Ungünstig kann sich hier auswirken, wenn man beispielsweise versucht, die Verbindung der Devices zur Cloud mit unkontrolliert eingekauften Komponenten wie GSM-Sticks herzustellen. Diese verknüpfen etwa Maschinen aus der Produktion über nicht standardisierte Protokolle mit der Cloud, was ein enormes Sicherheitsrisiko darstellt.

IT-Sicherheit ist nicht gleich IoT-Sicherheit

Was viele Unternehmen nicht wissen: Es ist schwierig ein vorhandenes Konzept der IT-Sicherheit auf den IoT-Bereich zu erweitern. Sind nur wenige IoT-Devices im Einsatz, kann der IT-Leiter darauf achten, dass der gesamte Datenverkehr über eine Firewall läuft. Wächst das Szenario, ist das kaum noch möglich. Geht es um das Internet der Dinge, sind andere Akteure als in der IT aktiv. Klassische IT-Anwendungen betreibt meist die IT-Abteilung, oder sie organisiert zumindest das Hosting bei einem Provider. IoT-Devices hingegen betreibt die Fachabteilung, weil etwa der Produktionsleiter Daten aus einer Maschine herausziehen will. Steigt die Zahl der IoT-Devices, wächst nicht nur die Angriffsfläche, sondern auch die Zahl der eingesetzten Protokolle und damit die Komplexität. Zudem steigt das Volumen des Datenaustausches und bringt manch altgediente Firewall an ihre Grenzen. Das Internet der Dinge hat hier die Funktion einer Schnittstelle, da greifen die klassischen Ansätze der IT-Sicherheit zu kurz.

Mit einer Security-Roadmap auf der sicheren Seite

Um die Sicherheit in IoT-Projekten zu gewährleisten ist daher ein ausgefeiltes Security Konzept in Form einer Roadmap zu empfehlen. Diese kann in drei Schritten angelegt werden: Zunächst ist es wichtig, sich einen Überblick über die zu schützenden Assets zu verschaffen. Zu den Assets gehören nicht nur die IoT-Geräte, sie können sowohl Hardware- als auch Software-Komponenten umfassen. Das können Daten sein, Maschinen und Anlagen oder Produktionsprozesse. Sämtliche Assets durchlaufen verschiedene Prüfkategorien. Am Ende hält man einen Katalog an Maßnahmen in der Hand, die nötig sind, um die IoT-Sicherheit zu gewährleisten. Anhand dessen lässt sich eine Roadmap, erstellen, die festlegt, wann welcher Schritt umgesetzt wird.

Beim Absichern der Infrastruktur können sich Unternehmen an Leitlinien und Standards wie beispielsweise den ISO-Normen oder dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik orientieren. Hier sollten die Verantwortlichen jedoch stets die eigene Situation im Blick haben, denn solche Leitlinien orientieren sich grundsätzlich an der Größe der vorhandenen IT-Landschaft.

Organisation und Technologie schließen Lücken

Eine wichtige Komponente der IT- und IoT-Sicherheit, die man auf keinen Fall außer Acht lassen sollte, ist die ‚Human Firewall‘ in Form der Mitarbeiter. Diese sollten Unternehmen regelmäßig in Sachen Security-Awareness schulen lassen und zwar idealerweise bei einem spezialisierten Unternehmen in der Nähe. Die organisatorische Komponente schließlich umfasst Prozesse und Verantwortlichkeiten. In der passenden Kombination aus organisatorischen und technischen Maßnahmen schließen Unternehmen den größten Teil der Angriffsvektoren.


Der Autor

Verwandte Artikel

Der IT-Matchmaker® Newsletter erscheint alle 14 Tage und informiert Sie über Neues und Interessantes rund um den Einsatz von Business Software.

Aktuelle Marktübersichten

IT-Matchmaker®.guide KI-Lösungen für Business Software 2026

IT-Matchmaker®.guide ERP-Lösungen 2026

IT-Matchmaker®.guide Industrie 4.0 Lösungen 2026

Abschluss der Webinaranmeldung

Ihre gewählten Webinare

Information

Vielen Dank für Ihre Webinaranmeldung.

Wir prüfen die Verfügbarkeit und senden Ihnen in Kürze eine Mail mit den Webinardaten.

Anmeldung Webinare

Sie haben die folgenden Webinare ausgewählt:

Sie wollen Sich für mehrere Webinare gleichzeitig anmelden? Dann klicken Sie auf 'Weitere Webinare anzeigen‘ und setzen für jeden Termin einen Haken.

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Anmeldung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zur Vollendung der Anmeldung für unser Webinar.

Fehler

Der Link ist nicht mehr gültig

Bitte starten Sie die Registrierung / Anmeldung erneut.

Information

Alle Downloads sind jetzt freigeschaltet.

Wir haben Ihnen soeben einen Freischaltlink geschickt, mit dem Sie in Zukunft ohne erneute Registrierung auf alle Downloads zugreifen können.

Abschluss der Registrierung
Download-Freischaltung

Bitte geben Sie Ihre E-Mail-Adresse an. Wir schicken Ihnen einen Bestätigungslink per Mail. Bitte folgen Sie diesem Link, um die Registrierung abzuschließen. Der Link verliert seine Gültigkeit nach 3 Tagen.

Information

Vielen Dank. Sie erhalten in Kürze eine E-Mail mit dem Link zum Abschluss der Registrierung für unser Download-Center.