Cybersicherheit – Die Verantwortung liegt in mehreren Händen
Cybersecurity ist wichtig, das steht außer Frage! Besonders in der IoT-Welt ist sie gar unerlässlich. Doch stellt die Sicherung von Netzwerkgeräten einen fortlaufenden Prozess dar, was eine Reihe von Herausforderungen mit sich bringen kann. Nichts von Menschen Gemachtes ist zu 100 % sicher – bewusst geschaffene Hintertüren (= Backdoors) zeugen von einem schlechten Konzept und zeigen einen erheblichen Mangel an Verständnis für die Grundlagen einer Cyber-Secure-Welt. Auch Programmierfehler können nicht vollständig vermieden werden.
Die Cybersicherheit stellt eine gemeinsame Verantwortung dar, die keiner der Beteiligten alleine bewältigen kann. Um Cyberkriminalität zu bekämpfen, müssen die Verantwortlichen der verschiedenen Bereiche und Gewerke zusammenarbeiten.
Im Folgenden soll ein Blick auf die Verantwortlichkeiten der verschiedenen Stakeholder geworfen werden:
Der Nutzer
Die Hauptverantwortung des Nutzers liegt in der Bezahlung von Cybersicherheitsmaßnahmen. Dies kann entweder „DIY“ erfolgen, d.h. die IT-Abteilung wendet Fixes selbst an oder bezahlt einen Integrator/Installateur für die Wartung.
Die Lebensdauer eines Systems beträgt schnell 10-15 Jahre. Dabei ist die Annahme sehr kurzsichtig, dass nichts getan werden muss, um das System in einem guten Zustand zu halten.
Der Integrator/ Installateur
Der Systemintegrator spielt eine wesentliche Rolle im Bereich der Cybersicherheit. Er muss sicherstellen, dass alle seine eigenen Geräte, Laptops, mobilen Geräte usw. mit den neuesten Updates für das Betriebssystem ausgestattet werden und einen vollständigen Virenscan ausführen. Die gewählten Passwörter sollten zumindest pro Kunde und Standort komplex genug und individuell sein. Die allgemeine Gewohnheit, ein Master-Passwort zu verwenden, um die Bedienung der Geräte zu erleichtern, sollte unbedingt vermieden werden. Der Fernzugriff auf Installationen sollte nur begrenzt angewendet werden. Alle Geräte, die mit dem System des Kunden verbunden sind, sollten sehr sorgfältig auf Schadsoftware überprüft werden, um jegliche Art von Infektionen zu vermeiden.
Mit Softwareaktualisierungen von Videoüberwachungs-Software und angeschlossener Hardware wird oftmals leider nachlässig umgegangen. Nach der Installation werden diese Systeme in der Regel nur dann aktualisiert, wenn weitere Geräte hinzugefügt oder zusätzliche Funktionen vom Benutzer angefordert werden.
Ohne Wartung wird die Cybersicherheit mit der Zeit sehr wahrscheinlich abnehmen. Die Wahrscheinlichkeit liegt bei fast 100%, dass eine Schwachstelle im Systemkontext, also im Betriebssystem, der Software oder der Hardware gefunden wird. Auch wenn das Risiko gering erscheint, sollte jede bekannte Schwachstelle behoben werden. In den meisten Fällen ist eine sofortige Anwendung eines Updates nicht notwendig, aber ein halbjährliches systemweites Aufspielen des Patches wird dringend empfohlen.
Es liegt in der Verantwortung des Integrators, seine Kunden über dieses Verfahren zu informieren, das in der nicht IT-orientierten Sicherheitsbranche wenig bekannt ist.
Der Planer
Ein weiterer essentieller Bestandteil ist die Arbeit des Planers, der die Komponenten für die Sicherheitssysteme festlegt. Dieser muss nicht nur die richtigen Produktfunktionen und -merkmale festlegen, sondern auch die Wartung für die gesamte Lebensdauer des Systems übernehmen. Auf diese Weise kann der Planer deutlich machen, wie wichtig es ist, das System auf dem neuesten Stand zu halten und auch die möglichen Kosten dafür transparent aufzuzeigen. Im Zusammenhang mit der Installation von OEM (Original Equipment Manufacturer)/ODM (Original Design Manufacturer)-Geräten ist es jedoch sehr schwierig, diesen Wartungsaspekt zu gewährleisten. Und die meisten Kunden würden kein System kaufen, für das die Wartung ein reines Glücksspiel ist.
Der Distributor
Für einen Distributor ist das Thema Cybersicherheit grundsätzlich von geringer Bedeutung, weil er lediglich die Logistik der Ware übernimmt und mit dem Produkt selbst nicht in Berührung kommt. Allerdings müssen Distributoren in einer Wertschöpfungskette die gleichen Aspekte berücksichtigen wie Integratoren oder Installateure (siehe oben).
Für Distributoren, die auch so genannte OEM/ODM-Geräte (Geräte, die von einem Hersteller gekauft und unter einer anderen oder eigenen Marke veräußert werden) vertreiben, gelten ganz andere Regeln. An erster Stelle steht dabei die Transparenz: Sie müssen ihre Kunden darüber in Kenntnis setzten, was sie genau erwerben. Ohne diese Transparenz ist es typischerweise der Preis, der den Kunden bei der Kaufentscheidung am meisten beeinflusst.
Sie müssen auch garantieren, dass sie für den Fall von Schwachstellen im System, Firmware-Upgrades ihres Lieferanten bereitstellen. Viele Anwendungsbeispiele aus der Industrie zeigen jedoch, dass eine erkannte Schwachstelle in den Geräten der ursprünglichen Lieferanten in der Regel nicht in den Geräten ihrer vielen OEM-Partner behoben wird.
Der Hersteller
Die Verantwortungsbereiche der Hersteller sind indes sehr übersichtlich:
- Es dürfen zum einen keine absichtlichen Details wie Backdoors oder hartcodierte Passwörter hinzugefügt werden.
- Die Bereitstellung der richtigen Tools muss gewährleistet sein, um das Cybermanagement für viele Geräte so einfach und kostengünstig wie möglich zu gestalten.
- Zum anderen müssen Dritte über Risiken und wie sie sich vermeiden lassen aufgeklärt werden, intern wie auch extern.
- Relevante Aspekte sollten in Härteleitfäden oder anderen Dokumentationen aufgezeichnet sein.
- Die Partner und Vertriebskanäle müssen über Schwachstellen und mögliche Updates informiert werden.
Der Researcher
Schwachstellen werden sehr oft von Entwicklern und nicht von Hackern entdeckt. Anhand der Art der Verwundbarkeit entscheiden diese dann über die nächsten Schritte. Wenn die Schwachstelle nicht beabsichtigt ist, wenden sie sich an den Hersteller und geben ihm eine gewisse Zeit, um die Schwachstelle zu beheben, bevor sie veröffentlicht wird. Aber wenn es sich um eine kritische Sicherheitslücke mit absichtlichem Charakter handelt (bspw. eine Backdoor), gehen sie sofort an die Öffentlichkeit, um das Bewusstsein unter den Nutzern dieser Produkte zu schärfen.
Der Verbraucher
Das Verhalten der Konsumenten spielt auch eine zentrale Rolle für ein ausgereiftes Bewusstsein im Bereich Cybersecurity. Wie oft wird das Passwort des Routers geändert? Wie komplex sind die eigenen Passwörter? Werden unterschiedliche Passwörter oder ein „Master“-Passwort für die meisten Anwendungen verwendet? Die Bequemlichkeit der Verbraucher ist immer noch einer der größten Vorteile für Hacker. Einfach zu erratende Passwörter und solche, die über alle Logins hinweg verwendet werden, setzen die Verbraucher dem Risiko aus, dass ihre Konten missbraucht werden.
Abschließend kann festgehalten werden, dass ein Interessenvertreter allein nicht die Aufgabe erfüllen kann, ein System sicher gegen Angriffe zu machen und dies auch aufrechtzuerhalten. Nur, wenn alle Beteiligten die Verantwortung für die Datensicherheit übernehmen, wird es gelingen, Cyberkriminalität zu bekämpfen.
Dieser Beitrag erschien ursprünglich auf dem englischsprachigen Blog.