Kommt der Paradigmenwechsel durch IoT?

Ob 2018 nun das Jahr des Internet der Dinge wird, oder erst 2020 ist egal: Irgendwann wird sich die Vernetzung schon ihren Weg in die Haushalte der Menschen suchen. Vermutlich eher früher als später, denn wenn die Killer-App „Sprachassistent“ sogar im technikbegeistert eher gemütlich eingestellten Deutschland einen Verkaufserfolg nach dem anderen reißt, ist die durchgehende always-on Vernetzung praktisch Formsache. Wer sich die Neuvorstellungen auf der CES Anfang Januar betrachtet, hat daran ohnehin keinen Zweifel mehr. Ein aktuell entwickeltes Gerät ohne Internet-Zugang kann nur als DoA (Dead on Arrival – Kaputt bei Lieferung) bezeichnet werden. Schritt- und Kalorienzähler haben inzwischen ebenso eine eigene IP-Adresse wie Haarbürsten. Bereits erhältlich sind IoT-fähige Toilettenpapierhalter und ein Schwangerschaftstest.

Das wäre ja alles an sich nicht schlimm, solange man noch eine Wahl hat. Doch wenn wirklich jeder noch so unbedeutende Alltagshelfer direkt aus Umkistan erreichbar ist – entsprechende Softwareschwachstellen machen es möglich – wird es ungemütlich. Das Meltdown/Spectre-Fiasko zeigt, dass selbst die großen, renommierten Hersteller nicht gegen Fehler in ihren Produkten immun sind. Wie es da bei einem kleinen und mit weit weniger Ressourcen ausgestatteten IoT-Entwicklungshaus aussieht, will man gar nicht wissen. IoT-Hacks gab es schon einige. Und auch wenn die Ziele wie bei Mirai letztendlich Unternehmen waren, wurden die Mittel zum Zweck als Privatangelegenheit gesehen. Eine IP-Kamera im Garten ist Sache des Besitzers, Basta. Und ob die Zahnbürste Live-Bilder aus dem Mundraum auf einen Hacker-Server schickt, hat ja nichts mit den Belangen des Arbeitgebers zu tun. Richtig?

Den IT-Abteilungen wird langsam klar, dass die Grenze zwischen persönlicher und unternehmensbezogener Cybersicherheit immer schneller verschwimmt. Was, wenn die IP-Kamera als Stützpunkt genutzt wird, um den Datenverkehr im privaten LAN des Mitarbeiters abzuhören? Einschließlich vertraulicher Firmendaten, die aus Versehen nicht durch das VPN getunnelt wurden? Oder was, wenn ein Android-Telefon im Haus Schwachstellen hat und als Bring-your-own-device auch im Unternehmensnetz verwendet wird. Auch die Zahnbürste hat Missbrauchspotential. Aktuellere Bilder vom Gesicht des Benutzers lassen sich vermutlich gar nicht bekommen und solche Bilder sind die Voraussetzung für Biometrie-basierte Zugangsmechanismen wie Apples Face ID.

In Zukunft werden Sicherheitsverantwortliche den Schutzraum des Unternehmensnetzes auf die IT-Infrastruktur der Benutzer erweitern müssen. Neben technischen Maßnahmen wird das auch in hohem Maße über die Sensibilisierung der Mitarbeiter ablaufen. Eine solide Cybersicherheitsstrategie nutzt Sensibilisierung und Training als Eckpfeiler einer verantwortungsvollen Sicherheitskultur. Die Experten im Unternehmen müssen dafür sorgen, dass das allgemeine Sicherheitsbewusstsein, dass heute hoffentlich schon durch Awareness-Maßnahmen gestärkt wird, zukünftig auch die persönliche IoT-Geräte erfasst. Beispielsweise könnten verantwortliche für IT-Sicherheit der Organisation ihre Mitarbeiter bei der Anpassung von Geräte- und App-Einstellungen wie Standort- und Datenzugriff beraten, um die Mitarbeiter und das Unternehmen zu schützen. Auch wenn IT-Sicherheitsverantwortliche ob der zusätzlichen Belastung stöhnen werden, eine zunehmend digital verbundenere Welt führt auch zu weiteren Angriffsvektoren. Dagegen hilft nur eine Erweiterung des bisherigen Sicherheitskonzepts.