Der Kühlschrank spricht mit dem Smart Grid, vernetzte Autos tauschen die Verkehrslage aus etc. Im IOT ist bald alles mit allem vernetzt. Und damit steigt nach Ansicht von Experten die Gefahr von Angriffen - für Unternehmen und Consumer.
Jedes Unternehmen wird zwei oder drei Mal im Monat angegriffen. Foto: Rawpixel.com - shutterstock.com
Ein Drittel aller Cyber-Angriffe auf Unternehmen ist erfolgreich. Im Schnitt entspricht das für jedes Unternehmen, so Marius von Spreti, Managing Director des Bereichs Security bei Accenture, zwei bis drei Angriffe pro Monat, bei denen die Sicherheitsvorkehrungen überwunden werden. Trotzdem fühlen sich acht von zehn Verantwortlichen für IT-Sicherheit (81 Prozent) in Deutschland bei der Abwehr von Angriffen gut gerüstet. Das sind die Ergebnisse einer Umfrage des Beratungsunternehmens Accenture in 15 Ländern unter 2.000 Verantwortlichen für IT-Sicherheit. Abgefragt wurden Informationen über erfolgte Cyber-Angriffe, die Effektivität der Sicherheitsmaßnahmen und des bestehenden Budgets in Unternehmen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar.
Spektakuläre DDoS-Attacken 2012-2016
2016: HSBC Die britische Bank HSBC fällt einem DDoS-Angriff zum Opfer - Kunden können ihren Online-Account geschlagene 48 Stunden nicht erreichen. Und das zwei Tage vor Abgabefrist der Steuererklärung.
2015: Microsoft Xbox Live Das kostenpflichtige Gaming-Network Xbox Live von Microsoft soll in der Weihnachtswoche mittels DDoS angegriffen werden - diese Drohung wird im Dezember 2015 bekannt. Die Angreifer wollen damit angeblich auf weiterhin bestehende Sicherheitslücken in Microsoft-Diensten hinweisen. Auch Sonys Konkurrenzangebot, das Playstation Network, solle attackiert werden.
2015: Carphone Warehouse Der britische Telekommunikationsanbieter Carphone Warehouse fällt einer DDoS-Attacke zum Opfer. Und als wäre das nicht schon genug, werden zusätzlich auch noch Millionen Kundendaten von den Angreifern kopiert.
2014: 300 Gbps 300 Gigabit pro Sekunde: In diesem Ausmaß hat es noch nie einen DDoS-Angriff gegeben. Mithilfe von 100.000 ungepatchten Servern greift ein Botnet ein nicht näher bekanntes Rechenzentrum an.
2014: 400 Gbps Nur ein halbes Jahr später geht es noch heftiger: Mit einem NTP-basierten (Network Time Protocol) DDoS-Angriff wird eine Internetanbieter attackiert.
2013: chinesisches Internet Teile des Chinesischen Internets sind von einer der größten DDoS-Attacken bisher lahmgelegt. Und das, obwohl die Regierung des Reichs der Mitte eines der weltbesten Security-Systeme samt entsprechend ausgebildetem Personal aufweisen kann.
2013: Spamhaus Sie kämpft gegen unerwünschte E-Mails, doch jetzt ist die Organisation Spamhaus selbst Ziel eines Angriffs mit massenhaften Abfragen geworden. Die Attacke beeinträchtigte sogar den regulären Datenverkehr im Netz.
2013: Dispatch International Die Website der Wochenzeitung "Dispatch International" wird massiv angegriffen. Aufgrund des Angriffs erscheint die Zeitung verspätet.
2012: 50Hertz Die Internet-Infrastruktur des Stromnetzbetreibers 50Hertz wird von Unbekannten angegriffen. Aus einem Botnetz heraus werden Websites und Mail-Infrastruktur des Hochspannungsstromnetz-Betreibers per DDoS-Attacke unter Beschuss genommen. Alle extern erreichbaren Services fallen vorübergehend aus.
2012: Pizza.de / Lieferando UDP-Flooding und DDoS-Attacken sorgen für den Zusammenbruch der Websites von pizza.de und lieferando.de. Nach der Uplink-Ausfilterung beginnt eine zweite Angriffswelle. Es folgt eine Razzia beim Konkurrenten lieferheld.de - ohne Ergenis. Die Betroffenen loben 100.000 für die Ergreifung der Verantwortlichen aus.
2012: UPC Die Internet-Präsenz des österreichischen TK-Unternehmens UPC ist vermutlich aufgrund von DDoS-Attacken und SQL-Injection vorübergehend nicht erreichbar. Als Angreifer wurden Anonymous-Hacker aus Österreich vermutet, die auf diese Weise ihre Kritik an der geplanten Vorratsdatenspeicherung äußern wollen.
Industrie unter Beschuss
Allerdings ist diese Einstellung fatal, denn zwischen Angreifern und Verteidigern herrscht eine Asymmetrie. Mit geringem finanziellem Aufwand können die Angreifer enorme Schäden anrichten - eine Schwachstelle reicht. Und die Zahl dieser Schwachstellen dürfte weiter wachsen mit den neuen digitalen und intelligenten Services, die derzeit entstehen. Hier sei nur an Smart Grid, Mobile Services, Mobile Banking, Connected Health oder Autonomes Fahren gedacht. Insgesamt werden sich also die IT-Landschaften in den nächsten Jahren rapide wachsen und damit die Cyber-Angriffsfläche vergrößern.
Betrifft ein direkter Angriff auf die Devices primär die Betriebssicherheit, so existiert in der Welt der datengetriebenen Geschäftsmodelle noch eine zweite Gefahr: Ist die Integrität der Daten noch gewährleistet? Gerade im IoT- oder Industrie-4.0-Umfeld kann dies schnell existenzgefährdend sein. Zudem könnte sich angesichts der Branchenkonvergenz mit übergreifenden Plattformen über verschiedene Ökosysteme hinweg schnell ein Flächenbrand entwickeln.
Mit IoT wachsen vorher getrennte Welten zusammen und es entstehen neu Angriffswege. Foto: BeeBright - shutterstock.com
Letztlich müssen sowohl Consumer als auch Unternehmen umdenken: Der Cyberangriff von heute wird mit wirtschaftlichen Interessen durchgeführt. Womit die Verteidigung auf der Überlegung basieren sollte, wie sich der Business Case für potenzielle Angreifer unterminieren lässt. "Wir können die Angreifer nicht komplett abhalten", so Accenture-Manager von Spreti, "wir können es ihnen nur so schwer wie möglich machen."
Hersteller sind gefordert
Die Bemühungen der Industrie sind im IoT-Zeitalter jedoch nur die halbe Miete. Wenn die Verbraucher nicht ebenfalls ein neues Sicherheitsbewusstsein entwickeln, so viele Experten aus der Industrieauf einer CeBIT-Preview-Diskussion, dann droht von dieser Seite neuen Gefahr. Denn mit dem Internet of Things kommen Milliarden neuer Geräte in die Netzwerke, die zuvor offline betrieben wurden. Und hier darf in Sachen Sicherheit durchaus gezweifelt werden. Security-Experten berichten uns hier immer wieder, dass die Hersteller häufig selbst auf einfachste Schutzmaßnahmen verzichten, nur um später in der Massenproduktion Cent-Beträge einzusparen. Kritische Stimmen befürchten bereits, dass 2017 zu einem Sicherheitsalptraum werden könnte.
Steigende Security-Kosten
Gleichzeitig werden wir uns wohl im B2B-Umfeld laut Christian Nern, Head/Leader of Security Software DACH bei IBM Security, mit dem Gedanken anfreunden müssen, dass die Kosten für Security steigen. Insgesamt sieht Nern Deutschland auf die kommenden Angriffe nicht gut vorbereitet, denn gegen organsierte Hacker helfe nur organsierte Security. Dass Security kostet, betonen auch Udo Schneider, Security Evangelist DACH bei Trend Micro sowie Michael Himmels, Vice President Business Solutions bei Devolo. Schneider warnt zudem davor, dass gerade im Lowend-IoT-Segement gerne auf die Security verzichtet werde.
Sorglose Verbraucher
Besonders beim Schutz des Smart Home herrscht ncoh großer Nachholbedarf. Foto: chombosan - shutterstock.com
Ein Ansatz, um der wachsenden Gefahr zu begegnen, sind sicherlich Security Appliances für die eigenen vier Wände, die dann das zentrales Security Gateway das Heimnetz vor Gefahren aus dem Internet schützen sollen. Um das Bewusstsein der Verbraucher in Sachen Internet-Gefahren zu erhöhen, bietet der Hersteller Sophos auf seinen Seiten eine Sicherheits-Software an, die im privaten Umfeld bis zu zehn Rechner kostenlos schützt. Mit einem wirkungsvollen Schutz der häuslichen IT-Infrastruktur könnten zumindest so manchem Botnetz die Rechner-Ressourcen entzogen werden.
Dass die Risiken steigen werden, sieht auch Himmels, zumal er noch auf eine ganz andere Gefahr aufmerksam macht: Es werden Netze miteinander verknüpft, die in der Vergangenheit getrennt waren. Ein Beispiel hierfür ist etwa die Konvergenz von Smart Home und Smart Grid - und schon wird aus dem Angriff auf das Smart Home eine Attacke auf kritische Infrastrukturen. Noch, so Markus Linder, Head of Connected Products and Platforms/Global Digital Transition bei der BSH Hausgerärte GmbH, sei es zu keinen Angriffen auf die Lebensabläufe der Menschen gekommen. Doch das sei nur eine Frage der Zeit. Mit der Menge der vernetzten IoT-Devices werde auch die Zahl der Angriffe steigen. Ähnlich sieht es Schneider, der glaubt, dass den Ganoven nur noch ein valides Business-Modell fehle. Ist dies gefunden, dann wird es schnell gehen. Vorstellbar sind etwa gesperrte Fernseher, Heizungen etc., die dann nur noch gegen eine Erpressungssumme freigegeben werden.
Der Staat als Cyber-Polizist?
Angesichts solcher Szenarien liegt für Schneider die Überlegung nahe, ob man zum einen nicht die Verbraucher besser aufklären müsse, so dass sie Security als Features nachfragen und fordern. Zum anderen sei zu überlegen, ob der Regulierer nicht die Industrie zu mehr Sicherheit zwingen müsse. Auch Linder kann sich mit diesem Gedanken anfreunden, fordert allerdings, dass dies dann für alle Hersteller gelten müsse, da es sonst schnell zu Wettbewerbsverzerrungen komme. Schließlich spreche man hier von siebenstelligen Beträgen, wenn das Thema Sicherheit mit Monitoring, Fraud Detection etc ernst genommen werde. Ferner müsse ein wirklich sicheres Hausgerät so konstruiert werden, dass auch Security-Updates eingespielt werden können. Und zwar über sehr viele Jahre, den die typische Weiße Ware hat eine längere Lebenszeit wie Smartphone oder PC.
Vorschau: Das Intenet of Things auf der CeBIT
Das Internet der Dinge und die allumfassende Vernetzung treiben die Digitalisierung aus Sicht der Deutschen Messe an. Und da es sich bei Digitalen Transformation um das Leitthema der CeBIT 2017 handelt, werden Lösungen rund um das Internet of Things praktisch in allen Ausstellungshallen zu finden sein. Zentraler Anlaufpunkt, um sich grundliegend zu IoT zu informieren, wird die Halle 12 sein - hier werden neben einzelnen Bausteinen komplexer IoT-Ökosysteme auch vollständige End-to-End-Lösungen anhand spannender Use-Cases präsentiert werden. Daneben wird man aber ebenfalls bei den einschlägigen Herstellern wie HPE, IBM oder SAP fündig werden. Auch T-Systems hat sich das Thema IoT auf die Fahnen geschrieben. In Halle 4 Stand C38 wird die Telekom-Tochter anhand eines praxisnahen Showcases aus der Agrarindustrie demonstrieren, wie Automatisierung und Digitalisierung die Nahrungsmittelproduktion und -Distribution positiv verändern werden.
IoT-Studie 2016
Key Findings Die COMPUTERWOCHE-Studie "Internet of Things 2016" finden Sie in unserem Shop neben anderen Studien der IDG Research Services als PDF-Download.
Bedeutung von IoT Derzeit bewerten nur 45 Prozent der Unternehmen die Relevanz des IoT als sehr hoch oder hoch, 28 Prozent als eher niedrig oder niedrig. Ganz anders sehen die Werte für die Zukunft aus. 72 Prozent der Unternehmen glauben, dass IoT innerhalb der nächsten drei Jahre für sie wichtig oder sehr wichtig wird. Nur noch sieben Prozent der Firmen stufen die künftige Bedeutung des IoT als eher niedrig oder niedrig ein.
IoT in der Praxis Bis dato haben insgesamt nur rund 15 Prozent der befragten Unternehmen bereits IoT-Projekte produktiv umgesetzt oder zumindest abgeschlossen. Immerhin ein Fünftel der Firmen will in den nächsten 12 Monaten oder mittelfristig erste IoT-Projekte realisieren, 12 Prozent erarbeiten derzeit eine IoT-Strategie.
IoT ist noch kein Thema, weil... Wesentliche Gründe für die (noch) abwartende Haltung vieler Firmen sind andere Prioritäten, mangelnde Relevanz oder ein fehlendes Geschäftsmodell. Auch fehlendes Know-how bei den Mitarbeitern oder zu hohe Kosten spielen eine Rolle.
Auswirkungen (1/3) Fast 60 Prozent der Unternehmen sehen IoT als große Chance. Gleichzeitig verkennen fast 45 Prozent das disruptive Potenzial des IoT, wenn sie glauben, sie sein gut genug für die Herausforderungen positioniert.
Auswirkungen (2/3) Zumindest 39 Prozent der befragten Entscheider glauben, dass IoT ihre Unternehmen sehr verändern wird. Ein Drittel der Firmen befürchtet, dass sie von Start-Ups mit IoT-Technik überholt oder grundsätzlich von der Entwicklung überrollt werden, wenn sie sich nicht auf das IoT einstellen.
Auswirkungen (3/3) Knapp 20 Prozent glauben immer noch, dass das Thema IoT für ihr Unternehmen nicht relevant sei.
Was ist IoT? Die meisten bisherigen Projekte fallen unter die Kategorie Industrie 4.0 mit Themen wie Vernetzte Produktion, Smart Supply Chain und Predictive Maintenance, gefolgt von den Schwerpunkten Smart Connected Products.
Der Nutzen von IoT Durch die Vernetzung aller Prozessketten, der Erschließung neuer Geschäftsmodelle sowie Kostensenkungen erwarten die Unternehmen als positive Effekte durch IoT.
IoT-Projekte in der Praxis Neben Kategorien wie Connected Industry und Smart Connected Products gewinnen künftig auch IoT-Projekte aus den Bereichen Gebäudemanagement (Smart Building) und Vernetzte Gesundheit (Connected Health) an Bedeutung.
IoT-Technologien Als Enabling Technologies für IoT sehen die Entscheider vor allem Cloud Computing und Netz-Technologien wie 5G, Narrowband IoT etc.
IoT-Herausforderungen Die meisten Unternehmen geben grundsätzliche Sicherheitsbedenken als größte Hürde für IoT-Projekte an, da sie das Internet of Things als neues Einfallstor für Angriffe sehen.
Herausforderungen beim ersten Projekt Für 57 Prozent der Firmen stellte Security tatsächlich die größte Herausforderung bei ihrem ersten IoT-Projekt dar. Fast die Hälfte der Firmen hatte beim ersten Projekt Probleme mit der Integration von IoT-Devices wie Sensoren und Aktoren in die eigene IT-Infrastruktur.
Hemmnisse bei Projekten Aber auch in der Komplexität sowie im Know-how der Mitarbeiter sehen zahlreiche Unternehmen Hemmnisse.
Do-it-yourself oder Partner? Bei der Umsetzung der IoT-Projekte sind die Optionen gleich verteilt. 51 Prozent der Firmen haben ihre IoT-Lösung eigenständig entwickelt, 49 Prozent gemeinsam mit externen Partnern.
In- und Outsourcing n jeweils knapp einem Drittel der Unternehmen ging die Initiative für das erste IoT-Projekt entweder vom CIO und der IT-Abteilung oder von der Geschäftsführung aus, letzteres vor allem bei den kleinen Unternehmen. In elf Prozent der Firmen war ein eigenes IoT-Team die treibende Kraft für die ersten IoT-Aktivitäten, etwas seltener der CTO oder Fachabteilungen wie Vertrieb, Entwicklung oder Produktion
Wahl des IoT-Partners Bei der Wahl eines IoT-Anbieters legen die Unternehmen vor allem Wert auf technisches Know-how, Vertrauen in den Anbieter sowie Branchenkompetenz. Ein gutes Preis-Leistungs-Verhältnis steht hinter Prozess-Know-how überraschend nur an fünfter Stelle im Anforderungskatalog.
Den IoT-Erfolg messen Ein Viertel der Unternehmen konnte bislang noch keinen Mehrwert wie höhere Effizienz, niedrigere Kosten oder höhere Umsätze feststellen. In zwei Prozent der Unternehmen sind die IoT-Projekte gescheitert. Erstaunlicherweise gibt es in fast einem Fünftel der Unternehmen überhaupt keine Erfolgsmessung.