Aktueller Channel Fokus:

Storage und Datamanagement

Roundtable zu Sicherheit im Berufsalltag

Security in Zeiten von DSGVO und IoT

| Autor: Sylvia Lösel

Eine hitzige Diskussion entstand rund um die Themen DSGVO und IoT.
Eine hitzige Diskussion entstand rund um die Themen DSGVO und IoT. (Bild: Vogel IT-Medien)

Die DSGVO bringt viele dazu, über ihre Daten und die Sicherheit ihrer Systeme nachzudenken. Gut so, finden die Teilnehmer unseres Security-Roundtables. Denn IoT, Smart Home & Co. würden uns oft eine Sicherheit vorgaukeln, die es gar nicht gibt.

In Zeiten von IoT, Cloud, Smart Home, WLAN und Mobility wird es für Anwender und Unternehmen immer schwieriger, für eine sichere ITK-Umgebung zu sorgen. Das spielt einerseits den Anbietern von Security-Lösungen in die Hände, erschwert diesen und ihren Systemhauspartnern aber andererseits auch die Arbeit. „Das Problem für uns als Hersteller ist, dass man ganz schlecht allgemeingültige Lösungen anbieten kann. Denn dort draußen existieren völlig unterschiedliche Betriebssysteme, Maschinen, Sensoren, Protokolle, Anforderungen und Firmenstrukturen. Bei all der Vielfalt allgemeingültige Lösungen anzubieten, geht nicht“, sagt Tina Kaiser, Marketing Manager Partnermarketing bei NCP. Das bestätigt auch Tim Berghoff, Security Evangelist bei G Data. „Universallösungen sind schwierig. Wir haben es in Unternehmen oft mit Anlagen zu tun, auf die deren EDV-Leute weder Zugriff noch die Expertise haben.“ Und er bringt noch einen weiteren Aspekt ins Spiel: „Das gilt auch für vertikale Sektoren wie beispielsweise Healthcare. Und dort müssen oft langwierige Zertifizierungsprozesse durchlaufen werden, bevor irgendetwas überhaupt eingesetzt werden darf.“ Allein das hebele eine zügige Security-Politik oft schon aus. Dazu kommt, dass etwa im Maschinenbau meist noch in ganz anderen Zyklen gedacht werde. „Für die Maschine gibt es vielleicht einmal im Jahr ein Update.“

Andere Entwicklungszyklen

Das ist solange kein Problem, wie die Maschinen nicht vernetzt sind. Aber genau das passiere im Moment. „Teilweise werden Systeme im Nachhinein vernetzt, die dafür nie gedacht waren. Auf einmal sind Fertigungsstraßen übers Internet erreichbar, die Protokolle verwenden, die sich überhaupt nicht für Authentifizierung und Authentisierung eignen“, schüttelt sich Berghoff. Thomas Uhlemann, Security Spezialist bei Eset kann dem nur beipflichten: „Es gibt so viele neue Geräteklassen. Und die funktionieren auch für den Zweck, für den sie entwickelt wurden. Nur im Pflichtenheft des Entwicklers steht meist nichts von Security. Und dann denkt man, dass Security etwas ist, das man danach wie so ein magisches Pulver drüberstreuen kann.“ Alexander Kehl, ­Regional Sales Manager DACH bei Sentinel One sieht das ähnlich: „IoT-Geräte wurden nicht für ­Security designt. Und das grundlegende Problem ist: Malware gibt sich nur am Endpunkt zu erkennen – und das unter Umständen erst Monate später. Das macht die Sache so komplex, zum Beispiel beim Thema Smart Home. Denn der Endkunde denkt ja nicht darüber nach: Welchen Einfluss hat die Rasensprengersteuerung auf meine Daten? Aber über diese kommt man ­vielleicht auf seinen Router – und da liegen die Daten dahinter.“ Man könne durchaus eine Ransomware-Infektion durch Scan-Lösungen verhindern, schmunzelt Berghoff. „Aber dann verhindert man auch, dass die Leute noch arbeiten können. So eine Lösung fliegt einem im Vertrieb um die Ohren.“

Reaktives Verhalten

Dennoch ist das Ganze natürlich ein Entwicklungsprozess, wie Berghoff einwendet. „Auch WLAN hat mal mit einer katastrophalen Sicherheit angefangen. Das hat man nachgebessert. Dann kamen WPA, und WPA 2. Und nun sollte man sich langsam Gedanken über einen Nachfolger machen.“ Uhlemann sieht das noch unter einem anderen Aspekt: „Irgendwann passiert etwas, und erst dann wird reagiert. So eine Anlage zu aktualisieren, und sei es auch nur softwareseitig, bedeutet auch immer Hardware-Investition. Und das macht keiner, solange alles läuft. Die Risiken werden in Kauf genommen. Erst wenn Produk­tionsausfälle drohen, dann wird gerechnet.“

Eine neue Partner-Ära

Das wäre der Moment, an dem sich Partner profilieren könnten. Doch auch diese sind oft mit der rasanten Entwicklung überfordert. „Das Dilemma, das wir im Industrial-Bereich generell haben ist, dass die Partner, die diese Kunden betreuen, bisher mit Security nicht ganz so viel am Hut hatten. Und die Partner, die sich mit Security auskennen, haben den Zugang zu den Kunden noch nicht“, bringt Peter Neumeier, Head of Channel bei Kaspersky, die augenblickliche Lage auf den Punkt. Und selbst wenn sich ein Partner im Security-­Umfeld auskenne, könne er deshalb noch lange nicht alle Szenarien abdecken. „Nicht einer allein bekommt die Security hin. Da müssen mehrere Systeme ran, und all das muss dann auf einer zentral administrierbaren Konsole an einer Stelle ­zusammengeführt werden.“ Zustimmend klinkt sich hier Michael Haas, Area Sales Director Central Europe bei Watchguard, ein. „Ich glaube, das ist der zentrale Punkt für Vertriebspartner. Hier können sie punkten. Ein Endkunde kann zwar die Lösung implementieren, aber mit dem Wissen, das er dank dieser erlangt, kann er meist nichts anfangen. Das muss man in die Hände eines Profis geben.“ Und Berghoff ergänzt: „Was oft nicht stattfindet, ist, sich zu fragen: Welche Daten habe ich denn schon zur Verfügung? Welche Daten brauche ich? Was ist mein Ziel?“ Denn: Keine Firma hat eine magische Box im Portfolio, die alle Probleme löst.“ Thomas Ehrlich, Country Manager DACH & FE von Varonis, wirft ein: „Es gibt aber ­einige, die das versprechen.“

Hilfe die DSGVO! Die DSGVO hilft!

Abhilfe auf einer ganz anderen Ebene kommt nun künftig vom Gesetzgeber. Das findet so mancher Roundtable-Teilnehmer gut. „Wenn Security-Konzepte fehlen, ist die DSGVO nun ein Wachmacher. Denn ab sofort gilt: es ist etwas zu tun“, bestätigt Uhlemann. Im Tagesgeschäft ist allerdings noch nicht bei allen Herstellern etwas davon zu merken. Dr. Cornelia Plume, Managerin Corporate Marketing, bei Infinigate sieht aber: „Das Interesse ist groß – sowohl auf Endkunden- als auch auf Reseller-Seite. Beide Parteien wollen sich da schlau machen und aufrüsten.“ Das bestätigt ­Michael Haas von Watchguard: „Ein Aufwecken durch die DSGVO war schon da. Aber das übersetzt sich noch nicht in Geschäft. Es hat geholfen, mit dem Endkunden nochmal tiefer über Security zu reden.“ Bei Eset ist man schon einen Schritt weiter. Uhlemann: „Unsere Lösungen, die der ­DSGVO zuarbeiten, wie beispielsweise Authentifizierungslösungen, sind im letzten Jahr bei uns durch die Decke gegangen.“ Auch Thomas Ehrlich sieht bereits die Auswirkungen der DSGVO im Tagesgeschäft: „Wir haben einen extremen Run zum Beispiel von Firmen, die Daten von Aufzügen sammeln. Denn da muss ich jetzt überlegen: Habe ich persönliche Daten damit verknüpft? Habe ich vielleicht nicht nur gesammelt, wann der Aufzug rauf- und runter gefahren ist, sondern auch, wer sich darin aufgehalten hat? Habe ich die Videodaten mit den Bewegungs­daten verknüpft? Wer unsicher ist, der kann unsere Software darüber laufen lassen, dann weiß man, was Sache ist. Im nächsten Schritt kann man die Daten dann voneinander trennen.“

MSSP-Dämmerung

Deshalb können nun auch die Stunde der Managed Security Service Provider (MSSP) anbrechen. Uhlemann: „Wenn man die Dinge an einen Experten abgibt, kann man Fehlerquellen minimieren.“ Berghoff bestätigt: „Die DSGVO legt klar fest, dass man die Verantwortung für die Daten des Kunden nicht mehr abgibt. Wenn beim Cloud-Dienstleister etwas mit den Daten passiert, dann bin ich als ­Unternehmen immer noch haftbar.“

Als eine weitere Maßnahme sieht Haas eine „Zertifizierung für IoT-Geräte“. Diesen Punkt greift ­Uhlemann auf: „Es ist ja weniger die DSGVO selbst, als vielmehr die Haftbarkeit. Wenn wir es schaffen, dass Hersteller für ihre Produkte haftbar sind, dann sind wir einen Riesenschritt weiter.“

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45382877 / Security)