Sicherheitsberatung

IoT – eine Herausforderung für die Cybersicherheit

Admin Leave a comment
IoT ist omnipräsent und bietet immenses Potenzial – birgt aber auch Risiken. Schwachstellen in Geräten sind allgegenwärtig und die Anzahl der Cyberangriffe steigt kontinuierlich. Trotzdem zählt IoT immer noch zu den am meist unterschätzten Bedrohungen. Bewährte Ansätze helfen, Cyber Security zu etablieren und so die Risiken zu minimieren.

Smart – aber nicht ohne Risiken
Das Potenzial von IoT ist immens und hält überall Einzug. So ist es nicht verwunderlich, dass laut Experten in wenigen Jahren 8 von 10 Schweizer Unternehmen IoT-Komponenten im Einsatz haben werden. Dadurch steigt aber auch die Gefahr, dass solche Systeme manipuliert werden. Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Die Anzahl der Geräte, die mit Unternehmensnetzwerken verbunden sind, wird weiter ansteigen. IoT birgt aber auch ein (oft vernachlässigtes) Risiko: Cyberkriminalität. Obwohl dies keine neue Tatsache ist, fliessen oftmals grundlegende Sicherheitsprinzipien nicht in IoT-Projekte ein. Das kann erhebliche Schäden verursachen, beispielsweise durch Abfluss von Kunden- und Produktionsdaten oder wenn ein Wartungszugang zur Hintertüre eines Angreifers wird. Cyber Security bei IoT-Vorhaben gehört von Beginn an oben auf die Agenda – nicht erst, wenn etwas schiefgegangen ist.

Schlüsselfaktoren bei IoT-Netzwerken
Cyber Security muss bei IoT-Vorhaben ganz oben stehen. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cyber Security. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden.

Technologisch liegt der Schlüssel zur Sicherheit u. a. in einer geeigneten Architektur und der entsprechenden Zonierung von IoT-Netzen. Wichtige Aspekte sind dabei die Identität, die Authentisierung und der Schutz der Daten, ebenso wie die optimale Segmentierung im Backend und die Überwachung der dadurch geschaffenen Zonenübergänge. Es gilt, verschiedene Verteidigungslinien aufzubauen und diese mit angemessenen Sicherheitsmassnahmen zu versehen. Best-Practice-Ansätze und bewährte Frameworks, wie beispielsweise die ISO 270xx-Familie oder das NIST Cyber Security Framework, dienen hier zur Orientierung.

Unternehmen sind gegenüber globalen Risiken im Zusammenhang mit bekannten und neuen «Zero-Day» Bedrohungen und anderen Schwachstellen exponiert. Diese werden aktiv und systematisch ausgenutzt. Unabhängig ob IoT oder klassische IT-Komponenten, jedes Gerät kann Schwachstellen enthalten und so zum Angriffsvektor werden. Daher sollten Geräte im Design-, Entwicklungs- und Betriebsprozess (DevOps) regelmässig auf Schwachstellen geprüft werden. Wichtig ist dabei natürlich, dass sie Updates unterstützen – was leider sehr oft nicht der Fall ist. Unzureichendes Patch-Management und mangelhafte Prüfung auf Schwachstellen sind nicht nur ein Problem von IoT. So bleiben immer wieder bekannte Schwachstellen ungepatched, obwohl passende Updates verfügbar wären. Cyberkriminellen fällt es dann relativ leicht, das schwächste Glied in der Kette zu finden und auszunutzen. Deshalb darf das regelmässige Update- und Patch-Management nicht vergessen werden – natürlich auch bei IoT-Geräten. Falls sich exponierte Geräte mit bekannten Schwachstellen in der Infrastruktur befinden, die nicht aktualisiert oder gepatcht werden können, sollten diese segmentiert und von der Produktionsumgebung abgetrennt werden.

Risiken erkennen, bevor das Licht ausgeht
Da sich die Risikosituation stetig ändert, muss die aktuelle Bedrohungslage immer beobachtet und das Sicherheitsdispositiv entsprechend angepasst werden. Risk Assessments, organisatorische Audits und Penetration Tests sind wichtige Elemente in der Cyber Security. Unternehmen sollten gleichzeitig in der Lage sein, Sicherheitsvorfälle zu erkennen, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Somit gilt: Wer sich mit IoT beschäftigt, muss sich auch intensiv mit Cyber Security auseinandersetzen.

Über InfoGuard
Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar / Zug und eine Niederlassung in Bern. Ihre über 150 Sicherheitsexperten sorgen tagtäglich für die Cyber Security bei über 300 Kunden in der Schweiz, Deutschland und Österreich.


InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel +41 41 749 19 00
info@infoguard.ch
www.infoguard.ch

IoT fordert die Cyber Security heraus

Admin Leave a comment
IoT ist omnipräsent und bietet immenses Potenzial – birgt aber auch Risiken. Schwachstellen in Geräten sind allgegenwärtig und die Anzahl der Cyberangriffe steigt kontinuierlich. Trotzdem zählt IoT immer noch zu den am meist unterschätzten Bedrohungen. Bewährte Ansätze helfen, Cyber Security zu etablieren und so die Risiken zu minimieren.

Smart – aber nicht ohne Risiken
Das Potenzial von IoT ist immens und hält überall Einzug. So ist es nicht verwunderlich, dass laut Experten in wenigen Jahren 8 von 10 Schweizer Unternehmen IoT-Komponenten im Einsatz haben werden. Dadurch steigt aber auch die Gefahr, dass solche Systeme manipuliert werden. Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Die Anzahl der Geräte, die mit Unternehmensnetzwerken verbunden sind, wird weiter ansteigen. IoT birgt aber auch ein (oft vernachlässigtes) Risiko: Cyberkriminalität. Obwohl dies keine neue Tatsache ist, fliessen oftmals grundlegende Sicherheitsprinzipien nicht in IoT-Projekte ein. Das kann erhebliche Schäden verursachen, beispielsweise durch Abfluss von Kunden- und Produktionsdaten oder wenn ein Wartungszugang zur Hintertüre eines Angreifers wird. Cyber Security bei IoT-Vorhaben gehört von Beginn an oben auf die Agenda – nicht erst, wenn etwas schiefgegangen ist.

Schlüsselfaktoren bei IoT-Netzwerken
Cyber Security muss bei IoT-Vorhaben ganz oben stehen. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cyber Security. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden.

Technologisch liegt der Schlüssel zur Sicherheit u. a. in einer geeigneten Architektur und der entsprechenden Zonierung von IoT-Netzen. Wichtige Aspekte sind dabei die Identität, die Authentisierung und der Schutz der Daten, ebenso wie die optimale Segmentierung im Backend und die Überwachung der dadurch geschaffenen Zonenübergänge. Es gilt, verschiedene Verteidigungslinien aufzubauen und diese mit angemessenen Sicherheitsmassnahmen zu versehen. Best-Practice-Ansätze und bewährte Frameworks, wie beispielsweise die ISO 270xx-Familie oder das NIST Cyber Security Framework, dienen hier zur Orientierung.

Unternehmen sind gegenüber globalen Risiken im Zusammenhang mit bekannten und neuen «Zero-Day» Bedrohungen und anderen Schwachstellen exponiert. Diese werden aktiv und systematisch ausgenutzt. Unabhängig ob IoT oder klassische IT-Komponenten, jedes Gerät kann Schwachstellen enthalten und so zum Angriffsvektor werden. Daher sollten Geräte im Design-, Entwicklungs- und Betriebsprozess (DevOps) regelmässig auf Schwachstellen geprüft werden. Wichtig ist dabei natürlich, dass sie Updates unterstützen – was leider sehr oft nicht der Fall ist. Unzureichendes Patch-Management und mangelhafte Prüfung auf Schwachstellen sind nicht nur ein Problem von IoT. So bleiben immer wieder bekannte Schwachstellen ungepatched, obwohl passende Updates verfügbar wären. Cyberkriminellen fällt es dann relativ leicht, das schwächste Glied in der Kette zu finden und auszunutzen. Deshalb darf das regelmässige Update- und Patch-Management nicht vergessen werden – natürlich auch bei IoT-Geräten. Falls sich exponierte Geräte mit bekannten Schwachstellen in der Infrastruktur befinden, die nicht aktualisiert oder gepatcht werden können, sollten diese segmentiert und von der Produktionsumgebung abgetrennt werden.

Risiken erkennen, bevor das Licht ausgeht
Da sich die Risikosituation stetig ändert, muss die aktuelle Bedrohungslage immer beobachtet und das Sicherheitsdispositiv entsprechend angepasst werden. Risk Assessments, organisatorische Audits und Penetration Tests sind wichtige Elemente in der Cyber Security. Unternehmen sollten gleichzeitig in der Lage sein, Sicherheitsvorfälle zu erkennen, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Somit gilt: Wer sich mit IoT beschäftigt, muss sich auch intensiv mit Cyber Security auseinandersetzen.

Über InfoGuard
Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar / Zug und eine Niederlassung in Bern. Ihre über 150 Sicherheitsexperten sorgen tagtäglich für die Cyber Security bei über 300 Kunden in der Schweiz, Deutschland und Österreich.


InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel +41 41 749 19 00
info@infoguard.ch
www.infoguard.ch

IoT – die «smarte» Herausforderung im Energieumfeld

Nadja Leemann Leave a comment
IoT ist omnipräsent und bietet (auch in der Energiebranche) immenses Potenzial – birgt aber auch Risiken. Schwachstellen in Geräten sind (leider) allgegenwärtig und die Anzahl der Malware und Exploits steigt kontinuierlich. Trotzdem zählt IoT immer noch zu den am meisten unterschätzten Bedrohungen. Daher braucht es ganzheitliche Ansätze, um Cyber Security im schnell wachsenden Internet der Dinge zu etablieren.

Smart – aber nicht ohne Risiken
Das Potenzial von IoT ist immens und hält inzwischen in alle Business-Bereiche Einzug. So ist es nicht verwunderlich, dass laut Experten in wenigen Jahren 8 von 10 Schweizer Unternehmen IoT-Komponenten im Einsatz haben werden. Damit dringt die Konnektivität in Bereiche vor, welche bislang voneinander getrennt waren. Dadurch steigt aber auch die Gefahr, dass solche Systeme manipuliert werden – Stichwort . Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Alles Risiken, die oft vernachlässigt werden. Und obwohl das keine neue Tatsache ist, fliessen oftmals grundlegende Sicherheitsprinzipien nicht in den Entwicklungs-Zyklus solcher Geräte mit ein. Und das wiederum kann erhebliche Schäden verursachen, beispielsweise durch Abfluss von Kunden- und Produktionsdaten, oder wenn der Wartungszugang zur Hintertüre eines Angreifers wird. Mit dem Einsatz von Kryptowährungen als M2M-Bezahlsystem wird das Angriffsrisiko zusätzlich erhöht und zwar ohne, dass der User direkt involviert ist.

IoT als Herausforderung in der Energiebranche
Die Energiebranche ist vorbildlich, wenn es um Safety- und Verfügbarkeitsanforderungen geht. Mit IoT entwickeln sich die Branchenlösungen jedoch in eine offene «OT-Welt» (Operational Technology), in der kritische Systeme nicht mehr isoliert sind. Dabei gilt es, nicht nur die Integrität und die Verfügbarkeit der einzelnen Systeme zu schützen, sondern auch die Daten. Der Business Case von IoT-Systemen liegt längst nicht mehr nur in der Automatisierung von Prozessen, sondern auch in der Individualisierung und Personalisierung von Energieprodukten und den dazugehörigen Dienstleistungen. Vertrauenswürdige Dienstleister müssen den Schutz dieser personenbezogenen Daten ernst nehmen. Umso mehr, weil die Daten in der Cloud bearbeitet und über unsichere Netze zwischen Objekten, Menschen und Services übertragen werden. Risiken erkennen, bevor das Licht ausgeht

IoT-Projekte sind grundsätzlich keine komplexe
Wissenschaft, weisen jedoch trotzdem einige Besonderheiten auf: «Security by Design » heisst das Zauberwort. In der Realität ist dies aus Innovationssicht jedoch meist nur bei kritischen Projekten oder IoT-spezifischen Anforderungen möglich. Um den Schutzbedarf eines IoT-Projektes abschätzen zu können, bedarf es zu Beginn einer entsprechenden Risikoanalyse. Dabei sind die Auswirkungen von Vorfällen im Kontext des Einsatzes der IoT-Systeme und Use Cases zu hinterfragen. Auf dieser Basis kann die Kritikalität abgeschätzt und eine Herangehensweise abgeleitet werden. Dies kann bedeuten, dass «Security by Design» tatsächlich zwingend notwendig wird, oder aber, dass zunächst nur einzelne Sicherheitsmassnahmen implementiert werden müssen. In IoT-Vorhaben mit höherem Schutzbedarf sollte im nächsten Schritt die Eintrittswahrscheinlichkeit von Vorfällen eruiert und Prioritäten abgeleitet werden. Dies gelingt durch eine Abschätzung der potenziellen organisatorischen und technischen Verletzbarkeiten im Gesamtsystem sowie für die einzelnen Komponenten.

IoT als fester Bestandteil der Cyber Security
Cyber Security muss bei IoT-Vorhaben ganz oben auf der Agenda stehen – nicht erst, wenn etwas schiefgegangen ist. Technologisch liegt der Schlüssel zur Sicherheit in einer geeigneten Architektur und der entsprechenden Zonierung bei IoT-Netzen. Wichtige Aspekte sind dabei die Identität, die Authentisierung und der Schutz der Daten; ebenso die optimale Segmentierung im Backend und die Überwachung der dadurch geschaffenen Zonenübergänge. Es gilt, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen und diese mit entsprechenden Sicherheitsmassnahmen zu versehen. «Best Practice»-Ansätze dienen hier zur Orientierung. Natürlich darf das regelmässige Update- und Patch-Management (auch von IoT-Geräten) nicht vergessen werden.
Da sich die Risikosituation stetig ändert, gilt es, die aktuelle Bedrohungslage permanent zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern. Risk Assessments, organisatorische Audits, Penetration Tests und Vulnerability Scans sind deshalb wichtige Elemente in der Cyber Security. Unternehmen sollten zudem jederzeit in der Lage sein, Sicherheitsvorkommnisse erkennen zu können, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Wer sich mit IoT und Industrie 4.0 beschäftigt, muss sich auch intensiv mit Cyber Security und Cyber Defence auseinandersetzen.

Franco Cerminara, Chief Consulting Officer

Über InfoGuard
Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in1 Baar / Zug und eine Niederlassung in Bern. Ihre über 120 Sicherheitsexperten sorgen sich tagtäglich um die Cyber Security bei über 300 Kunden in der Schweiz.


InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel 041 749 19 00
info@infoguard.ch
www.infoguard.ch

Ihre sichere Zukunft beginnt jetzt

Admin Leave a comment
Das eigene Zuhause ist ein wichtiger Ort der Ruhe und der Erholung. Erst wenn das eigene Heim wirklich sicher ist, wird es zum Hort der Geborgenheit für die ganze Familie.

Sauter Electronic AG hilft ihnen dabei dies zu realisieren und ein Gefühl der Sicherheit zu erreichen. Planung, Installation und Realisation von individuellen Sicherheitslösungen, welche privaten und institutionellen Bedürfnissen gerecht werden, gehören zu den vielfältigen Dienstleistungen der Sauter Electronic AG.

Geschützt in die Zukunft
Diesen Sommer wurde das Sortiment mit der neuen Kleinzentrale erweitert. Mit «NOX One» kommt eine Sicherheitszentrale auf den Markt, die besonders für Einfamilienhäuser und kompakte Anwendungen geeignet ist. Wie alle anderen aktuellen Sicherheitszentralen von NOX Systems ist auch die neuste Generation durch die bewährte iNox-App bedienbar.

Wenig Aufwand, aber grosser Komfort
Mit der iNox-App können einzelne Bereiche scharf und unscharf geschaltet, Alarme angezeigt und quittiert, Temperaturen kontrolliert, sowie Protokolle ausgelesen werden. Um höchst mögliche Sicherheit zu gewährleisten, werden alle ausgetauschten Daten verschlüsselt übertragen. Der Benutzer kann von jedem Standort aus sämtliche Funktionen überwachen und steuern. Eine äusserst praktische Sache: beispielsweise lässt sich aus der Ferne die Temperatur des Weinkellers überwachen oder die Sauna per Knopfdruck einschalten. Ebenso ist es spielend einfach zu kontrollieren, ob alle Fenster und Türen im Haus geschlossen sind.

Sauter Electronic AG bietet allen ihren Kunden etwas sehr Wertvolles an: den komfortablen und umfassenden Schutz für ihr Zuhause und somit ein jederzeit gutes Gefühl der Sicherheit. Die erfahrenen Spezialisten der Sauter Electronic AG geben ihnen gerne weitere Auskünfte und helfen ihnen mit einer unverbindlichen Sicherheitsberatung.


Sauter Electronic AG
Alvierweg 17
9490 Vaduz
Tel 0848 82 46 82
info@sauter.li
www.sauter.li