Zum Hauptinhalt springen

Früher war die IoT-Sicherheit das Problem anderer. Das hat sich mit dem „Cyber Resilience Act“ nun geändert.

Das Gesetz zur Cyber-Resilienz steht bevor, und die Verantwortung für die Sicherheit vernetzter Geräte liegt nun eindeutig auf Vorstandsebene. Iain Davidson, Leiter des Produktmarketings, erklärt, was das in der Praxis bedeutet und warum die Geldstrafe noch das geringste Ihrer Probleme ist.

Iain Davidson
Iain Davidson

Iain hat in verschiedenen Technologierollen gearbeitet – von Design und Systementwicklung über Vertrieb bis hin zu Marketing. Derzeit ist er Head of Product Marketing bei Wireless Logic und unterstützt Unternehmen dabei, fundierte Technologieentscheidungen für erfolgreiche IoT-Projekte und -Implementierungen zu treffen.

Im September 2020 öffnete ein Mitarbeiter des britischen Wasserversorgungsunternehmens South Staffordshire PLC eine Phishing-E-Mail. Nach allen Berichten handelte es sich um eine überzeugende E-Mail. Es wurde Schadsoftware installiert. Und dann passierte fast zwanzig Monate lang absolut nichts.

Iain Blog image 3

Hinter den Kulissen hatten sich die Angreifer jedoch vollständigen Administratorzugriff auf die Systeme des Unternehmens verschafft. Sie blieben. Sie sahen sich um. Sie bedienten sich. Als es endlich auffiel, waren bereits 4,1 Terabyte an Daten abgezogen und im Dark Web veröffentlicht worden. Die persönlichen Daten von 633.000 Kunden – den Kunden dieses Wasserversorgers, Menschen, die in dieser Angelegenheit keine nennenswerte Wahl hatten – waren kompromittiert worden.

Die Geldstrafe belief sich auf rund 1 Million Euro. Erheblich, aber nicht ruinös. Der Reputationsschaden, die Auswirkungen auf die Kunden, die Betriebsstörungen t vielleicht etwas schwerwiegender.

Dies ist kein Einzelfall. Es handelt sich zunehmend um ein Muster.

Warum die CRA-Verordnung unweigerlich kommen musste

Jahrelang war der Umgang mit Cybersicherheit in den meisten Branchen weitgehend freiwillig. Rahmenwerke gab es natürlich, und zwar viele: ISO 27001, NIS2, EN 18031, EN 303645 und weitere (hier liegt der Fokus zwar etwas auf der EU, aber jede Region hat ihre Entsprechungen, wie beispielsweise das NIST CSF in den USA), und Organisationen wurden dazu ermutigt, diese zu übernehmen. Viele taten dies auch. Viele taten es nicht, setzten sie nur teilweise um oder betrachteten sie eher als einmalige Zertifizierungsmaßnahme denn als kontinuierliche operative Verpflichtung.

Gesetzgeber und Regulierungsbehörden haben dieses Muster lange genug beobachtet. Die Schlussfolgerung, zu der sie gelangten, war nicht unbegründet: Wenn die Folgen mangelnder Sicherheit über die Organisation selbst hinausreichen – auf Kunden, kritische Infrastrukturen und die öffentliche Sicherheit –, reicht eine freiwillige Einhaltung nicht aus.

Das EU-Gesetz zur Cyber-Resilienz (und für das Vereinigte Königreich der bevorstehende „Cyber Security & Resilience Bill“) ist die bedeutendste gesetzgeberische Reaktion auf diese Schlussfolgerung. Es gilt für jede Organisation, die vernetzte Produkte herstellt oder auf dem europäischen Markt verkauft. Es handelt sich nicht um eine Checkliste. Es schreibt nicht genau vor, wie Sicherheit erreicht werden muss. Stattdessen verlangt er von Organisationen, bei der Sicherheit ihrer vernetzten Produkte oder Anlagen systematisch und risikobasiert vorzugehen – und zwar nicht nur zum Zeitpunkt der Markteinführung, sondern über den gesamten Lebenszyklus hinweg.

Gerade bei diesem letzten Punkt hinken die meisten Organisationen noch hinterher.

Das Lebenszyklus-Problem, über das niemand spricht

In der Vergangenheit war Produktsicherheit größtenteils ein Anliegen zum Zeitpunkt der Markteinführung. Man baute das Gerät, zertifizierte es und lieferte es aus. Vielleicht kaufte man es mit allen bestätigten Zertifizierungen. Danach war die Sicherheit das Problem eines anderen – sei es des OEMs, des Konnektivitätsanbieters oder des eigenen IT-Teams.

Die CRA beseitigt diese Unklarheit vollständig. Sicherheit ist nun eine Verantwortung über den gesamten Lebenszyklus hinweg. Schwachstellenmanagement, Firmware-Updates, Patch-Bereitstellung, Offenlegung von Sicherheitsverletzungen, Reaktion auf Vorfälle – all dies sind fortlaufende Verpflichtungen und keine einmaligen Aktivitäten. Für ein Gerät mit einer Betriebsdauer von zehn oder fünfzehn Jahren ist das eine grundlegend andere Herausforderung als alles, was die meisten Produkt- und Entwicklungsteams bisher planen mussten.

Dies ist besonders wichtig für das Internet der Dinge (IoT) und vernetzte Geräte, die eine ganz andere Herausforderung darstellen als herkömmliche IT-Systeme. Eine verwaltete Geräteflotte wie Smartphones, Desktops und Standard-Endgeräte in Unternehmen arbeitet in einer relativ kontrollierten Umgebung mit standardisierten Tools, bekannten Betriebssystemen und direktem administrativem Zugriff. IoT-Geräte funktionieren nicht auf diese Weise. Sie sind über Standorte verteilt, die Sie möglicherweise nicht kontrollieren, laufen auf unterschiedlichen und manchmal proprietären Betriebssystemen, verfügen über begrenzte Rechenressourcen und kommunizieren nur selten mit Systemen, die ihrerseits möglicherweise von Drittanbietern verwaltet werden. Viele von ihnen unterstützen nicht die Art von agentenbasierter Sicherheit, auf die sich herkömmliche IT-Teams verlassen. Und viele von ihnen werden noch lange im Einsatz sein, nachdem das Team, das sie bereitgestellt hat, bereits weitergezogen ist.

Someone elses problem 1

Die Kluft zwischen der Führungsetage und dem Einsatzort

Es gibt ein einheitliches Muster, wie Unternehmen derzeit an die CRA-Bereitschaft herangehen, und das ist nicht immer besonders beruhigend.

Auf Vorstandsebene wird Compliance tendenziell als eine Frage der Unternehmensführung verstanden. Es geht um Dokumentation, Zertifizierung und einen Prozess, der vor der Bereitstellung abgewickelt werden muss. Man geht davon aus, dass die Verpflichtung erfüllt ist, wenn bei der Einführung die richtigen Kästchen angekreuzt wurden.

Die operative Realität sieht anders aus. Die Fragen, die im Rahmen der CRA tatsächlich von Bedeutung sind, sind praktischer Natur: Wissen Sie, wo jedes Gerät in Ihrem Bestand eingesetzt wird? Wissen Sie, welche Firmware-Version auf jedem einzelnen Gerät läuft? Können Sie ein Update per Fernzugriff auf ein kompromittiertes Gerät übertragen? Können Sie es bei Bedarf schnell vom Netzwerk isolieren? Wissen Sie in diesem Moment, ob eines Ihrer Geräte mit einer Serverinfrastruktur kommuniziert, mit der es nicht kommunizieren sollte? (Erinnern Sie sich an das Problem der Datenexfiltration, mit dem ich eingeleitet habe?)

Für viele Organisationen lautet die ehrliche Antwort auf mehrere dieser Fragen „Nein“. Nicht aus Nachlässigkeit, sondern weil die Tools und Prozesse, um diese Fragen in großem Maßstab zu beantworten, schlichtweg noch nicht vorhanden sind. Die CRA verlangt von Organisationen im Grunde genommen, diese Fähigkeit aufzubauen und kontinuierlich aufrechtzuerhalten – und nicht, sie nur einmal nachzuweisen.

Wenn in den Medien über Verstöße gegen Vorschriften berichtet wird, liegt der Fokus meist auf den Geldstrafen. Die CRA verhängt bei den schwerwiegendsten Verstößen Geldstrafen von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes . Diese Zahlen sind hoch genug, um in einer Vorstandssitzung Beachtung zu finden.

Doch die Geldstrafe ist wohl noch das geringste Übel.

Betriebsausfälle nach einem Cybervorfall verursachen unmittelbare, greifbare Kosten – Dienstunterbrechungen, Auswirkungen auf Kunden, Wiederherstellungsmaßnahmen. In Branchen wie der E-Auto-Ladeinfrastruktur, dem Gesundheitswesen, der Flottentelematik oder der Versorgungswirtschaft sind Ausfälle nicht nur lästig. Sie können erhebliche wirtschaftliche und sicherheitsrelevante Folgen haben. Reputationsschäden entstehen langsamer, halten aber länger an. Zudem zeichnet sich ein zunehmender Trend ab – der bereits in der Unternehmensbeschaffung sichtbar ist –, dass Einkäufer die Cybersicherheitslage eines Lieferanten aktiv bewerten, bevor sie Aufträge vergeben. Unternehmen mit einer Vorgeschichte von Vorfällen oder ohne nachweisbare Sicherheitsprozesse werden zunehmend aus Beschaffungsrahmenwerken ausgeschlossen, noch bevor die Verhandlungen überhaupt beginnen.

Auch Versicherer stellen strengere Fragen. Cyberversicherungsanbieter sind deutlich strenger geworden, was den Versicherungsumfang und die Höhe der Prämien angeht, und Sicherheitsmaßnahmen über den gesamten Lebenszyklus hinweg – wie Patching, Überwachung und Reaktion auf Vorfälle – fließen zunehmend in diese Bewertung ein.

Das finanzielle Risiko bei Fehlentscheidungen liegt nicht in der Geldstrafe.

Es ist die kumulative Wirkung von Ausfallzeiten, Reputationsschäden, Ausschluss von Ausschreibungen und Versicherungsrisiken, die sich im Laufe der Zeit summieren. Namhafte Unternehmen wie Jaguar Land Rover spüren bereits die Auswirkungen solcher Angriffe (24) Beitrag | LinkedIn

Die „Nicht-ob-sondern-wann“-Denkweise

Eine der nützlicheren Umdeutungen, die die CRA implizit fördert, ist die Abkehr von der Vorstellung, dass perfekte Sicherheit erreichbar ist, hin zu der Frage, was passiert, wenn – und nicht ob – etwas schiefgeht.

Kein Unternehmen kann glaubhaft behaupten, zu 100 % geschützt zu sein. Angreifer sind hartnäckig, ihre Werkzeuge entwickeln sich ständig weiter, und die Angriffsfläche einer großen, verteilten IoT-Flotte ist einfach zu groß, um sie vollständig abzusichern. Die Frage ist nicht, ob es zu einem Sicherheitsvorfall kommen wird, sondern ob das Unternehmen über die nötige Transparenz verfügt, um ihn schnell zu erkennen, und über die Fähigkeit, effektiv darauf zu reagieren.

Hier kommt der Schwerpunkt der CRA auf Überwachung und Reaktion auf Vorfälle in der Praxis zum Tragen. Wie sich herausstellt, sind die Aufsichtsbehörden gegenüber Organisationen, die Angriffen ausgesetzt sind, nicht unsympathisch. Was sie jedoch nicht akzeptieren, sind Organisationen, die Angriffen ausgesetzt sind und keine sinnvollen Erkennungs- oder Reaktionsmaßnahmen eingerichtet hatten . Der Unterschied zwischen einem überschaubaren Gespräch mit den Aufsichtsbehörden und einer schwerwiegenden Durchsetzungsmaßnahme hängt zunehmend davon ab, welche Maßnahmen Sie getroffen hatten und wie schnell Sie gehandelt haben – und nicht davon, ob der Angriff überhaupt stattgefunden hat.

Auch South Staffordshire Water ist hier aufschlussreich. Zwanzig Monate sind eine außergewöhnlich lange Zeitspanne, in der ein Angreifer unentdeckt in den Systemen eines Versorgungsunternehmens agieren konnte. Die Geldbuße spiegelte nicht nur die Sicherheitsverletzung wider, sondern auch das Fehlen der Überwachungsmaßnahmen, die diese früher hätten aufdecken können.

Someone elses problem 2

Einige Organisationen sind der CRA einen Schritt voraus

Nicht jede Organisation begegnet der CRA mit Furcht. Immer mehr betrachten sie sie als Chance zur Differenzierung. Sie entwickeln ihre eigenen Sicherheitsrahmenwerke, setzen Lebenszyklus-Sicherheitstools ein und nutzen ihre nachweisbare Sicherheitslage als Verkaufsargument in regulierten Märkten.

Das ist eine vernünftige Strategie. In Branchen, in denen Käufer vagen Cybersicherheitsversprechen zunehmend skeptisch gegenüberstehen, wird die Fähigkeit, nicht nur zu behaupten, sondern auch nachzuweisen, dass man über eine systematische, kontinuierliche und lebenszyklusorientierte Sicherheit verfügt, zu einem echten wirtschaftlichen Vorteil. Am schnellsten kommen jene Unternehmen voran, die ein verhältnismäßiges, risikoorientiertes Denken anwenden, anstatt zu versuchen, jedes Gerät gleichermaßen mit maximalen Kontrollen zu versehen. Ermitteln Sie, was betrieblich kritisch ist. Konzentrieren Sie sich auf das, was nach außen exponiert ist. Schaffen Sie Transparenz, richten Sie sichere Verbindungen ein, stellen Sie sicher, dass Sie Patches aus der Ferne installieren können, und sorgen Sie dafür, dass Ihre Überwachungs- und Incident-Response-Fähigkeiten real und nicht nur theoretisch sind.

Dassind die Grundlagen. Und Unternehmen, die diese umgesetzt haben, stellen fest, dass Compliance und Wettbewerbsvorteil in der Praxis ein und dasselbe sind.

Der „Cyber Resilience Act“ ist keine bürokratische Unannehmlichkeit. Er stellt einen strukturellen Wandel dar, wie die Verantwortung für die Sicherheit vernetzter Produkte verteilt wird – weg von einem diffusen, umstrittenen Bereich, in dem jeder davon ausging, es sei das Problem eines anderen, hin zu einer klaren, durchsetzbaren Verpflichtung für die Unternehmen, die vernetzte Produkte entwickeln und einsetzen.

Speziell für das IoT hat dieser Wandel Auswirkungen, die weit über die Einhaltung gesetzlicher Vorschriften hinausgehen. Er erfordert einen anderen Ansatz bei der Produktentwicklung, andere operative Fähigkeiten und eine andere Diskussion auf Vorstandsebene darüber, was Sicherheit über den gesamten Lebenszyklus eines eingesetzten Geräts hinweg tatsächlich bedeutet.

Die Unternehmen, die dies am frühesten erkennen, werden sich in einer stärksten Position befinden – wirtschaftlich, operativ und regulatorisch –, wenn die Durchsetzung, die unweigerlich auf die Gesetzgebung folgt, greifen wird.

Iain Davidson ist Leiter des Produktmarketings bei Wireless Logic und verfügt über Erfahrung in den Bereichen IoT-Konnektivität und Cybersicherheit

Die Anomalie- und Bedrohungserkennung von Wireless Logic wurde speziell für die Sicherheitsherausforderungen von IoT- und Edge-Umgebungen entwickelt. Agentenlos für eine schnelle Bereitstellung.

 

Häufig gestellte Fragen

Weitere Blogs ansehen