Die Anzahl der Geräte, Maschinen und Rechner, die eine Verbindung zum Internet haben, sind im letzten Jahrzehnt explodiert. Dabei geht es nicht etwa nur um Geräte, die von Mitarbeitern verwendeten werden, sondern auch um Server, Cloud-Systeme, Container und andere digitale oder synthetische Akteure und IoT-Geräte wie Umweltsensoren, vernetzte Industrieanlagen, medizinische Geräte und smarte Haushaltsgeräte. In einem Unternehmen durchschnittlicher Größe übersteigt die Zahl der Maschinenidentitäten die Zahl der Benutzeridentitäten inzwischen um das Zehnfache, und dennoch haben viele IT-Abteilung diese nicht-menschlichen Identitäten nicht in gleichem Maße im Blick. Viele Unternehmen sichern Maschinenidentitäten durch die Verwendung von Zertifikaten. Wenn jedoch ein Zertifikat abläuft oder kompromittiert wird, kann das katastrophale Folgen haben.
Nur die regelmäßige Aktualisierung dieser Zertifikate kann verhindern, dass sie zum Einfallstor für Angriffe mittels Schadsoftware und Erpressungssoftware werden. Leider wissen 74 Prozent der Unternehmen nicht einmal, wieviele Zertifikate in ihren Prozessen genutzt werden, geschweige denn, wann deren Gültigkeit abläuft. Besteht kein Überblick darüber, welche Zertifikate in einem Unternehmen in Gebrauch sind, bleibt ein Angriff auf firmeninterne Daten via kompromittierter Geräteidentität wahrscheinlich unentdeckt, bis er bereits großen Schaden angerichtet hat.
Eine Studie des britischen Wirtschafts- und Meinungsforschungsinstituts Vanson Bourne im Auftrag des Sicherheitssoftwareanbieters Keyfactor hat nun 1.200 Experten für IoT und vernetzte Produkte in Nordamerika, Australien, Asien, im Nahen Osten und Europa zum Stand der Sicherheit im Bereich IoT befragt. Alle Befragten waren in gewissem Maße für IoT oder vernetzte Geräte in ihrem Unternehmen verantwortlich oder gehörten zu den Originalgerätehersteller bzw. zu Anbietern, die vernetzte Geräte Unternehmen betreiben. Laut der Studie haben 97 % der Unternehmen Schwierigkeiten, ihre IoT- und anderweitig vernetzten Produkte zu sichern. Die Umfrage ergab außerdem, dass 98 % der Unternehmen in den letzten 12 Monaten von Zertifikatsausfällen betroffen waren – und dass dadurch im Durchschnitt Kosten von über 2,25 Millionen US-Dollar entstanden sind.
Die kostspieligen Ausfälle, mit denen Unternehmen im vergangenen Jahr konfrontiert waren, sind nicht die einzigen Kosten, die durch ineffiziente IoT-Sicherheit entstehen. Beinahe 90 % der befragten Unternehmen, die IoT- und vernetzte Produkte betreiben und nutzen, waren von Cyberangriffen mit durchschnittlichen Kosten von 250.000 US-Dollar betroffen. „Viele IoT-Sicherheitsstrategien scheitern an der Verhinderung von und dem Schutz vor gezielten IoT-Cyberangriffen“, kommentiert Ellen Boehm, Senior Vice President, IoT Strategies and Operations bei Keyfactor die Entwicklung. „Mehr als die Hälfte der Befragten ist der Meinung, dass ihr Unternehmen nicht über das nötige Verständnis und die Expertise verfügt, um sich auf Cyberangriffe auf IoT-Geräte vorzubereiten, was den Bedarf an mehr Anleitung zur vollständigen Absicherung ihrer Geräte unterstreicht. Unternehmen können sich nicht vor dem schützen, was sie nicht verstehen.“
Die meisten Unternehmen sind der Ansicht, dass die Sicherheit der in ihrem Unternehmen verwendeten IoT- und vernetzten Produkte verbessert werden muss, wobei mehr als ein Drittel der Befragten angaben, dass erhebliche Verbesserungen erforderlich sind, und 60 % immerhin der Meinung waren, einige Verbesserungen seien erforderlich. Unternehmen und Hersteller sind sich allerdings nicht einig darüber, wer für die IoT-Sicherheit verantwortlich ist: Von den Befragten waren beinahe die Hälfte der Ansicht, dass die Hersteller von IoT- oder vernetzten Geräten für die nötigen Schutzmaßnahmen gegen Cyber-Bedrohungen und die Kompromittierung der Produkte verantwortlich sein sollten. Experten sehen jedoch eine Public-Key-Infrastruktur (PKI) als eine unternehmensinterne Lösung an, die Prozesse und Tools zur effektiven Verwaltung von Zertifikaten bereitstellen kann, sodass IT-Verantwortliche sich einen umfassenden Überblick darüber verschaffen können, welche in ihrem Unternehmen genutzten Zertifikate ablaufen oder gefährdet sind. Eine PKI-
Infrastruktur könne viele der für die Verwaltung von IoT-Geräteidentitäten erforderlichen Prozesse effizient automatisieren und Zertifikate über den gesamten Entwicklungs-, Produktions- und Nutzungslebenszyklus hinweg absichern, die Skalierung erleichtern und nicht zuletzt eine schnellere Implementierung von Innovationen ermöglichen.
