Umfragen haben ergeben, dass mehr Kunden IoT-Geräte kaufen würden, wenn diese ein geringeres Sicherheitsrisiko aufweisen würden.

Eine repräsentative Studie hat gezeigt, dass Kunden im Durchschnitt rund 70 % mehr IoT-Geräte kaufen würden, sollte sich die Sicherheit dieser erhöhen. Zusätzlich gaben 93 % die befragten Kunden an, dass sie bereit wären bis zu 22 % mehr für die Produkte zu bezahlen, wenn dafür die Sicherheitskonzepte der Geräte optimiert werden. Nicht zuletzt die DSGVO hat zu dieser Bereitschaft beigetragen. Durch die neuen Vorschriften fühlen sich viele Unternehmen unter Druck gesetzt, Sicherheitsmängel und Datenschutzverletzungen in ihrem Unternehmen zu vermeiden.

Was Verbraucher wirklich über IT-Sicherheit denken

Angesichts der Schäden, die IoT-Geräte bekannter Weise anrichten können, gaben über 60 % der Führungskräfte aus Unternehmen an, dass sie die Risiken, die durch solche Geräte entstehen, fürchten. Viele Unternehmer sind sich darüber bewusst, dass IoT-Geräte, die keinen ausreichenden Schutz bieten, Unbefugten den Zugriff auf die internen Systeme erlauben und so großen ideellen und materiellen Schaden anrichten können.

Infizierte Geräte können auch dazu genutzt werden, Angriffe gegen andere Unternehmen zu starten. Im Oktober 2016 nutzte die Malwre-Attacke von Miraj Tausende von Sensoren, Kameras und anderen Geräten, um ein massives Botnet zu schaffen, das verteilte Denial-of-Service-Angriffe startete, die auf beliebte Websites wie GitHub, Net flix, Twitter und Airbnb abzielten.
Weiterhin zielte eine Miraj-Variante namens Okiru auf populäre Versionen von ARC-Prozessoren ab, die in Milliarden von IoT-Produkten eingebettet waren.
Manche IoT-Geräte können auch Klickbetrug ausführen, was Werbekunden jährlich Milliarden von Dollar kosten kann. Zudem können kompromittierte Geräte auch verwendet werden, um Kryptowährung wie Bitcoin und Monero zu minen.

Bei der Suche nach Lösungen Lösungen zum Schutz gegen diese Arten von Angriffen können IoT-Gerätehersteller ihre Zielkunden nach Reifegrad der Cybersicherheitsfähigkeit segmentieren. Eine solche Segmentierung ist hilfreich bei der Bestimmung unterschiedlicher Ansätze, die auf typischen Anforderungen basieren, und spiegelt die Realität wider, dass die Fähigkeiten von Unternehmenskunden nicht statisch sind, sondern auf fortgeschrittenere Ebenen vorrücken.
Unsere Befragungsergebnisse zeigen, dass Kunden, die sich am wenigsten fortgeschrittenen Teil des Spektrums befinden, mit größerer Wahrscheinlichkeit nach vereinfachten und integrierten Sicherheitslösungen suchen, während diejenigen mit fortgeschritteneren Fähigkeiten lieber in erstklassige oder kundenspezifische Punktlösungen investieren.
In den einzelnen Segmenten gaben fast alle Führungskräfte an, dass IoT-Geräte ein moderates oder signifikantes Risiko für ihre Unternehmen darstellen, und Führungskräfte von Unternehmen mit höherer Cyber-Sicherheit sehen mehr Risiken als Unternehmen mit weniger hochentwickelten Cyber-

Zusätzlich haben unsere Untersuchungen gezeigt, dass einige Branchen einem höheren Risiko ausgesetzt sind als andere. Die Führungskräfte in den Bereichen Gebrauchsgüter, Bauwesen, Energie und Versorgung, Finanzdienstleistungen und Technologie äußerten sich zum Beispiel besonders besorgt. Diese Bedenken spiegeln die Realitäten der Branche wider, nicht nur die Wahrnehmung einzelner Führungskräfte:

Im Bereich der Energieversorgung vertrauen beispielsweise Öl- und Gasproduzenten tagtäglich auf Zehntausende von IoT-Sensoren und komplexen Produktionskontrollgeräten an ihren Bohrlöchern und Bohrplattformen. Energieunternehmen nutzen die Daten dieser IoT-Geräte, die an einem durchschnittlichen Tag ein Terabyte überschreiten können, nahezu in Echtzeit, um ihren Betrieb unter Einhaltung strenger Sicherheitsschwellen abzustimmen. Eine Beeinträchtigung der Integrität oder die Unterbrechung des Datenflusses könnte zu katastrophalen Schäden führen.

Auch rund die Hälfte der Unternehmer aus dem Gesundheitswesen sieht ein hohes Risiko in IoT-Geräten. Krankenhäuser und Kliniken verlassen sich zunehmend auf angeschlossene diagnostische Überwachungs- und Pflegeausrüstungen von einer Reihe von Anbietern, die Komponenten von Dritten beziehen. Zum Beispiel MRTs, automatisierte chirurgische Operationsgeräte oder Medikamentenpumpen können einladende Optionen für Unbefugte sein, die versuchen Zugriff auf das System zu erlangen. Zudem stellen solche Fälle natürlich eine massive Bedrohung der Patientensicherheit dar.
Zu einem solchen Fall kam es im September 2017, als das Cyber Emergency Response Team der US-amerikanischen Industrial Control Systems Schwachstellen in einer Vorrichtung entdeckten, die drahtlos Infusionspumpen steuerte.

Die Verwendung von IoT bringt auch neue Risiken in industriellen Umgebungen mit sich: Größere Hersteller könnten Tausende von IoT-Geräten einsetzen, von Sensoren bis hin zu hochentwickelten, halbautonomen Robotern. Kompromittierte Sensoren können zu Datenungenauigkeiten führen, die die Fähigkeit des Managements beeinträchtigen, kritische operative Entscheidungen zu treffen oder Lagerprobleme verursachen, die die gesamte Wertschöpfungskette beeinträchtigen.

Wir haben Gespräche mit Führungskräften geführt, die die interne Sicherheit in ihren Unternehmen verwalten. Diese haben gezeigt, dass Kunden aus allen Bereichen sich Lösungen wünschen, die hochwirksam, einfach zu integrieren und flexibel zu implementieren sind.

Dennoch stammen nur etwa ein Drittel der heute verwendeten IoT-Cybersicherheitslösungen stammen von den Anbietern. Das deutet darauf hin, dass Anbieter entweder keine ganzheitlichen, qualitativ hochwertigen Lösungen anbieten, die die Bedürfnisse der Verbraucher erfüllen oder dass diese nicht gut genug vermarktet werden. Unsere Untersuchungen ergaben, dass Unternehmen mit den modernsten Cybersicherheitsfunktionen mehr auf intern entwickelte Sicherheitslösungen setzen. Das ist nicht nur so, weil sie möglicherweise komplexere Anforderungen haben, sondern auch, weil sie mit größerer Wahrscheinlichkeit über das Talent und die Fähigkeiten zur Entwicklung eigener Lösungen verfügen. Unternehmen mit Ad-hoc-Sicherheitsfunktionen weisen in allen von uns getesteten IoT-Schichten die größten Lücken auf.

Verschiedene Kundenbedürfnisse

Zusätzlich haben wir untersucht, wie Unternehmen technische Lösungen auf verschiedenen Ebenen bereitstellen und haben auf praktisch jeder Ebene IoT-Gerät im Einsatz gefunden. Zum Beispiel benötigen Datensicherheitslösungen typischerweise mehr Rechen- und Energieressourcen als derzeit auf Basis von IoT-Geräten verfügbar sind. MIT-Forscher haben einen neuen Chip entwickelt, der die Verschlüsselung von IoT-Geräten mit 1/400 der Leistung und 1/10 des Speichers mit der 500-fachen Geschwindigkeit der aktuellen Chips ermöglicht. Aber bis diese neue Technologie sich in den Unternehmen etabliert hat, müssen Hersteller weiterhin Kompromisse bei Design und Fähigkeiten eingehen, wenn sie diese Anforderungen mit der Größe, den Kosten und der Leistung des IoT-Geräts in Einklang bringen.

Hardware-Lösungen müssen Schwachstellen an den physischen Schnittstellen, wie zum Beispiel USB-oder Ethernet-Anschlüsse, dem Betriebssystem des Geräts und der Firmware beheben. Allerdings testen nur sehr wenige Hersteller die Hardware ausreichend auf bekannte Sicherheitslücken, bevor sie sie auf den Markt bringen.

Während sich die meisten Unternehmen einen zusammenhängenden Satz von Tools und einen einheitlichen Überblick über die Sicherheit ihrer Geräte wünschen, verstehen nur wenige Hersteller von IoT-Geräten die Abläufe ihrer Kunden gut genug, um diese Art von Lösung bereitzustellen. Dennoch können sie gemeinsam mit Kunden vertrauenswürdige Dritte identifizieren, die als Partner bei der Entwicklung umfassender Sicherheitslösungen fungieren.

Zusammenfassend kann diese Art von Sicherheitsmängeln beim Hersteller, die Kunden dazu verlassen, ihre IoT-Geräte über diese Ebenen hinweg zu sichern. Ohne gut konzipierte IoT-Cybersicherheitsprodukte und -services entwickeln Kunden ihre eigenen Lösungen, verzichten auf sie oder versäumen es, IoT-Lösungen zu implementieren, bis die Anbieter die Lücke schließen können.

Welche Anbieter von IoT-Geräten können von den Entwicklungen profitieren?

IoT-Gerätehersteller und Ökosystem-Anbieter, die schnell agieren, um die Sicherheit der Produkte zu verbessern, werden wahrscheinlich nicht nur von ihrer Fähigkeit profitieren, eine Prämie zu verdienen, sondern auch von der Erweiterung des Marktes.
Einige Führungskräfte im IoT-Ökosystem werden darin bestärkt, um Herausforderung zu bewältigen und die damit verbundenen Chancen zu ergreifen. Amazon hat zum Beispiel ein Ökosystem von IoT-Lösungen geschaffen, das in sein Cloud-Angebot integriert ist. Das Unternehmen hat kürzlich ein Open-Source-Betriebssystem mit dem Namen FreeRTOS lizenziert, das die Entwicklung, die Bereitstellung, die Verwaltung und  die Sicherung von IoT-Geräten mit geringem Stromverbrauch vereinfacht und mit Bibliotheken und Tools zur IoT-Gerätemanagement- sowie Daten- und Netzwerksicherheit erweitert.
Ebenso bietet der Azure IoT Hub von Microsoft Geräteverwaltungs- und Sicherheitsfunktionen in Form von Gerätebereitstellung, Authentifizierung und  einer sicheren Verbindung. Ein anderes Beispiel ist GE, ein industrieller IoT-Gerätehersteller, der die Cybersicherheit als Wettbewerbsvorteil ansieht und strategisch danach strebt, Fähigkeiten über alle Ebenen seines IoT-Technologie-Stacks einzubetten. GE erwarb Wurdtech im Jahr 2014 und integriert die Achilles-Sicherheitsprodukte in seine Predix-IoT-Management-Plattform. Aus Sicherheitsgründen werden Verantwortlichkeiten gegenüber engagierten Führungskräften in der gesamten Organisation wahrgenommen, die dafür sorgen, dass die Cybersicherheit Priorität genießt und in ihre Produkte, einschließlich IoT-Geräte, implementiert wird.

Diese Bemühungen stellen einen wichtigen Fortschritt dar, reichen jedoch allein nicht aus, um die allgemeinen Sicherheitsprobleme zu lösen, denen sich die IoT-Einführung gegenübersieht. Alle Anbieter von IoT-Geräten müssen bei der Entwicklung und Bereitstellung von Geräten mehr auf die Sicherheit dieser  achten. Vier Schritte können Führungskräften in Unternehmen dabei helfen, diese Aufgabe anzugehen:

Zunächst müssen Hersteller verstehen, wie Kunden ihre Geräte verwenden. Durch die Aktualisierung ihres Verständnisses von Kundenanwendungsfällen, etwa einmal pro Jahr, können Hersteller stets auf dem neusten Stand der Sicherheitsanforderungen bleiben. Das ist besonders wichtig, da diese sich stetig verändern und entwickeln, außerdem können Hersteller so dazu beitragen, ungedeckte Bedürfnisse schon vorab zu erkennen.
Die Ermittlung des durchschnittlichen Reifegrads der Cybersicherheit ihrer Kunden wird Herstellern helfen, in die entsprechenden Out-of-the-Box- und Add-On-Lösungen zu investieren.

Weiterhin sollten Hersteller Cybersicherheitsfunktionen auf dem Gerät bereitstellen und, wenn möglich, mit vertrauenswürdigen Cybersicherheitsanbietern zusammenarbeiten, um zusätzliche Lösungen bereitzustellen. Entwicklerteams sollten sichere Entwicklungspraktiken in die Software- und Hardwarekomponenten des Geräts einbetten und inhärente Lösungen für die Zugriffsschnittstelle, Apps, Daten und Geräteebenen bereitstellen.
Die meisten Kunden werden diese Out-of-the-Box-Funktionen unabhängig von ihrer Cyber-Sicherheitsreife verwenden. Durch diese Maßnahmen können häufige Sicherheitslücken in IoT-Geräten wie standardmäßige oder eingebettete Kennwörter, fehlende Datensicherheit für Anmeldeinformationen und Netzwerkkommunikation sowie schwache Sicherheitsmaßnahmen zur Gewährleistung der Systemintegrität gemindert werden. Hersteller können auch in Partnerschaften mit Cybersicherheitsanbietern investieren, um Aftermarket-Lösungen auf der Daten-, Netzwerk- und Betriebsebene bereitzustellen und diese für einige Kundensegmente selektiv zu integrieren.

Drittens müssen die Hersteller auch Schwellenwerte zur Qualitätssicherung einhalten und in der Lage sein, nachzuweisen, dass ihre IoT-Geräte frei von bereits bekannten Schwachstellen sind. Dies würde eine große Schwachstelle für Kunden abmildern, die manchmal neue Geräte installieren, ohne zu erkennen, dass sie Sicherheitslücken enthalten. Der Einsatz eines methodischeren Prozesses zum Identifizieren und Entfernen von Sicherheitslücken über mehrere Ebenen hinweg oder das Einbeziehen von Drittanbieter-Schwachstellen-Scans und Penetrationstests können Herstellern dabei helfen, diese Anforderung zu erfüllen. Die Festlegung einer Garantiezeit mit eindeutigen Verpflichtungen zeigt den Kunden, für welchen Zeitraum der Hersteller verantwortlich ist. In Kombination liefern diese Maßnahmen ein optimiertes Konstrukt, das hinreichend auf die Bedürfnisse der modernen Cybersicherheit abgestimmt ist.

Schließlich können Hersteller ihre Verpflichtungen während der Garantiezeit erfüllen, indem sie kontinuierlich nach neuen Schwachstellen suchen, Software- und Firmwareupdates bereitstellen sowie Funktionsupgrades für Out-of-the-Box- und Aftermarket-Lösungen durchführen. Die Bereitstellung von Updates für Firmware, Betriebssysteme und Anwendungen als Reaktion auf neu entdeckte Sicherheitslücken sollte während der gesamten Garantiezeit oberste Priorität haben.

Diese vier Schritte sind ein Anfang, aber keineswegs das, was nötig ist, um die Sicherheitsbedenken anzugehen, die das Internet der Dinge derzeit noch zurückhalten und ausbremsen. Während das Wachstum der IoT-Märkte weiterhin unaufhaltsam voranschreitet, werden viele Unternehmenskunden weiterhin vorsichtig vorgehen, bis sie Sicherheit nicht nur für ihre Daten, sondern auch für die Operationen erhalten.

Der Ausbau und die Optimierung der IT-Sicherheit in Bezug auf IoT-Geräte kann also als maßgeblicher Faktor der Wirtschaft angesehen werden, der den Verkauf und die weitere Etablierung von solchen Geräten fördern wird.