IoT - aus den Fehlern bei BYOD lernen

Das Internet der Dinge – das neue BYOD?

Palo Alto Networks warnt IT-Sicherheitsfehler der Vergangenheit zu wiederholen

Wie können Unternehmen die gleichen Fehler in Sachen IT-Sicherheit, die sie bei BYOD (Bring Your Own Device) begangen haben, beim Internet der Dinge vermeiden? Diese Frage diskutiert Greg Day, Vice President und Chief Security Officer in der Region EMEA für Palo Alto Networks.

„Einige Unternehmen haben sich dafür engagiert, ihre Systeme zu trennen, aber die alternative Denkweise, um die wir beim Internet der Dinge nicht herumkommen, lautet: „Wir müssen aufhören, nur Gut und Böse zu unterscheiden, sondern anfangen, uns mit den Graustufen auseinanderzusetzen.“

BYOD war von vornherein problematisch. Solange Unternehmen ihren Mitarbeitern Notebooks zur Verfügung stellten, hatte das Unternehmen die Kontrolle und musste sich keine großen Sorgen machen. Bestimmte Arten der Verwendung konnten einfach untersagt werden. Dies ist heute eindeutig nicht mehr der Fall. Das Aufkommen der Mobiltechnologie und der bloße Wunsch, Firmengeräte mit nach Hause zu nehmen oder private Geräte mit in die Firma zu bringen, hat all dies verändert. Es dauerte eine Weile, bis sich Hersteller mit diesem Mischmodell beschäftigten, bis der private Gebrauch zur kommerziellen Notwendigkeit wurde. Jetzt, da das Internet der Dinge ins Blickfeld rückt, müssen sich die Arbeitgeber nicht nur damit beschäftigen, dass Mitarbeiter Firmengeschäfte auf dem Familie-iPad abwickeln, sondern auch ein FitBit am Handgelenk tragen, einschließlich der darin enthaltenen Daten.

Der Umgang mit so vielen beweglichen Teilen stellt eine echte Herausforderung für Unternehmen dar, um eine gute Datensicherheit zu realisieren. Aber wie bei BYOD ist es auch beim IoT. Diese Lehre muss aus BYOD gezogen werden. Statt sich mit diesen Problemen auseinanderzusetzen, wenn sie uns direkt ins Gesicht springen, sollten wir ihnen vorgreifen. Ein Teil davon ist es, ein viel besseres Ökosystem für den Umgang mit der Art der Bedrohung, die sich aus IoT ergibt, zu etablieren.

Erforderlich ist ein ganzheitlicher Plattformansatz, mit einer besseren Genauigkeit der Informationen. Das bedeutet Erfassung von Telemetrie und Drittanbietersystemen sowie eine breitere Zusammenarbeit in der Branche. Es gab Zeiten, als es ein Zögern gab, Informationen mit Wettbewerbern zu teilen, aber diese Politik hilft nicht, sondern behindert die Branche. Wenn die IT-Sicherheitsanbieter mehr zusammenarbeiten, bedeutet das nicht, dass sie weniger verkaufen.
 
Die Cyber Threat Alliance, mit Palo Alto Networks als einem der Gründungsmitglieder, vereint Softwareunternehmen zur besseren Bekämpfung von Bedrohungen, die die gesamte Branche betreffen. Erst vor kurzem hat die Cyber Threat Alliance ihren ersten Bericht veröffentlicht, der sich mit der Ransomware CryptoWall beschäftigte. Der berüchtigte Trojaner hatte während seiner jahrelangen Lebensdauer seine Opfer um rund 325 Millionen Dollar erleichtert.
 
Es ist sicherlich eine neue Art des Denkens über die Dinge. Eines der Probleme mit der Sicherheit des Internets der Dinge ist vielleicht ein Ansturm auf die Funktionalität: Software wird erstellt auf Basis von anderer Leute Code, der bereits kompromittiert sein könnte. Das bedeutet mehr Patching-Probleme und die Behandlung von Symptomen statt Krankheiten. Betroffen waren bereits Medikamentenpumpen im Krankenhaus, nur ein Beispiel – und ein beängstigendes noch dazu.
 
Für die Zukunft könnte das Zero-Trust-Prinzip eine Lösung für viele der Probleme sein, die sich durch das Internet der Dinge ergeben. Zero Trust ist genau das, was es auch heißt: ein Modell, das nicht davon ausgeht, dass man Menschen, Geräten, Paketen und Anwendungen trauen kann.“