Security IoT Tipps
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Denkanstöße von NTT Security

Sieben IT-Risiken, an die niemand denkt

NTT Security, das auf Sicherheit spezialisierte Unternehmen und "Security Center of Excellence" der NTT Group, warnt vor den Gefahren, die den Unternehmensnetzen durch "nicht-klassische" IT-Systeme vor allem aus dem Internet der Dinge drohen.

Dass man den Anhang einer E-Mail von einem unbekannten Absender nicht öffnen oder einen gefundenen USB-Stick nicht verwenden darf, hat sich mittlerweile herumgesprochen. So naiv sind die meisten Mitarbeiter längst nicht mehr. Doch es gibt auch Risiken, derer sich oft nicht einmal Sicherheitsexperten bewusst sind. Vor allem durch das Internet der Dinge (IoT) und die Integration zahlreicher Systeme, die nicht zur klassischen IT gehören, in die Unternehmensnetze sind neue potenzielle Angriffspunkte entstanden. Zentrales Problem dabei: Die meisten Anbieter solcher Systeme, beispielsweise Aufzugbauer oder Hersteller von Haustechnik, sind nicht in der IT-Sicherheitstechnik zuhause – dennoch sind ihre Anlagen und Systeme dafür höchst relevant.

Es drohen in der Regel zwei Gefahren: Zum einen können die jeweiligen Systeme selbst durch Angreifer gestört, beschädigt oder lahmgelegt werden, was je nach Art unangenehme bis verheerende Folgen haben kann; zum anderen können die Angreifer die betreffenden Systeme als Sprungbrett – "system hopping" – für das Eindringen in die Unternehmensnetze benutzen.

Nach Auffassung von NTT Security sollten Unternehmen vor allem folgende Szenarien im Auge behalten:

  • Aufzüge sind ein Paradebeispiel für das Einsatzspektrum des IoT – die dadurch mögliche Behebung von Störungen oder Fernwartung erhöhen die Effizienz der Anlagen beträchtlich. Dass Wartungsfirmen, die möglicherweise kein eigenes Sicherheitskonzept haben, damit einen meist nicht kontrollierten Zugang zur IT haben, ist den wenigsten klar.
  • Moderne Klimaanlagen sind für Wartungszwecke häufig via Internet erreichbar – auf diese Weise bietet sich nicht nur ein gefährlicher Zugang zum Unternehmensnetz; Manipulationen an einer Klimaanlage – beispielsweise im Rechenzentrum – können verheerende Schäden durch Überhitzung oder Systemausfall verursachen.
  • Brandmeldesysteme werden in Sicherheitskonzepten meist ebenfalls nicht berücksichtigt – Manipulationen können Betriebsabläufe erheblich stören, beispielsweise durch Fehlalarme; sie können auch beträchtliche Schäden verursachen, etwa durch Aktivierung einer Sprinkleranlage.
  • Zutrittskontrollsysteme sind oft in die IT-Infrastruktur integriert, allerdings wird damit ein Einfallstor geschaffen, über das sich Angreifer nicht nur unbefugten Zutritt, sondern auch Zugang zu den Unternehmensnetzen verschaffen können.
  • Von einer ungestörten Stromversorgung hängen mehr oder weniger alle Unternehmen ab. Umso gravierender sind hier die Auswirkungen von erfolgreichen Angriffen; eine unterbrechungsfreie Stromversorgung (USV) oder Power-Management-Systeme werden in den meisten Fällen nicht als mögliche Angriffspunkte wahrgenommen.
  • Entertainmentsysteme werden in vielen Unternehmen betrieben: zum Beispiel die üblichen Fernsehgeräte im Konferenzraum. Gängige Smart TVs verfügen über eine Verbindung ins Web, die leicht angegriffen werden kann; so können beispielsweise auch die Kameras von Smart TVs aus der Ferne aktiviert werden. Aber die wenigsten Unternehmen haben die Sicherung ihrer Fernsehgeräte auf dem Schirm.
  • Selbst in Kantinen sind die Geräte mittlerweile häufig vernetzt, so etwa smarte Kaffeemaschinen, die teilweise über Displays für Awareness-Kampagnen oder allgemeine Firmennews verfügen. Für die Fehlerbehebung oder zur Nachbestellung von Kaffee haben etliche Hersteller Remote-Zugänge zu den Maschinen; kontrolliert werden diese Zugänge jedoch in der Regel nicht. Da man sich zwar um die Verfügbarkeit der Kaffeemaschine kümmert, jedoch nicht um entsprechende Software-Updates und Sicherheitskonfigurationen, entsteht damit ein weiteres Einfallstor ins Unternehmensnetz.

"Die IT-Sicherheitsphilosophie fokussiert traditionell auf IT-Systeme und -Netze", erklärt Christian Koch, Senior Manager GRC & IoT/OT bei NTT Security. "Das entspricht jedoch nicht mehr der aktuellen Gefahrenlage: Im Zeitalter des Internet der Dinge ist potenziell alles, was mit Strom betrieben wird, eine via Internet adressierbare Systemkomponente und damit automatisch auch ein mögliches Angriffsziel. Die Unternehmen müssen daher ihr Sichtfeld dringend erweitern und auch diese Risiken ins Auge fassen."

Weitere Artikel

Digitale Zwillinge werden Realität

PLM-Systeme liefern historische Daten, auf Basis derer ein…

Weiterlesen

KI in Forschung und Entwicklung

Egal, in welcher Branche man sich umhört – der Einsatz…

Weiterlesen
 © BRZ_Klaus Vyhnalek

„Blick aus User-Sicht ist entscheidend“

Das BRZ ist ein wichtiger Partner in der weiteren…

Weiterlesen

Die Zukunft aller Digitalisierungsprojekte

Der digitale Zwilling ist der Grundpfeiler aller…

Weiterlesen
Credit: SEPPmail-Deutschland

Land Oberösterreich setzt auf E-Mail-Verschlüsselung von SEPPmail

Die E-Mail ist im Verwaltungsalltag in Organisationen und…

Weiterlesen
Credit: Jana Krippel

Mehr als ein Jahr DSGVO: Ist der Sturm vorübergezogen?

Die Einführung der neuen DSGVO-Richtlinien vor etwas mehr…

Weiterlesen
Credit: Michael Dürr

„Es kann jedem passieren“

Markus Endres und Aleksandar Lacarak, Mitbegründer des…

Weiterlesen
Credit: Syngroup

Digitaler Schub

Die digitale Transformation benötigt in vielen Bereichen…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen
Credit: Schulamt St. Pölten

Selfservice statt Zettelwirtschaft

Mit einer neuen Softwarelösung hat das Diözesan-Schulamt St.…

Weiterlesen
Credit: Fotalia

Die sichere Datenwolke

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: CyberArk

DevOps-Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps-Modelle für die…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen