IoT-Sicherheit: Der wunde Punkt im Krankhaus (Teil 3)
Dass sich der Siegeszug von IoT-Konzepten im Gesundheitswesen nicht mehr aufhalten lässt, geht aus den beiden vorangegangenen Beiträgen eindrücklich hervor – ebenso wie die damit verbundenen sicherheitsspezifischen Implikationen. Daher liegt der Fokus abschließend darauf, mit welche Vorkehrungen Unternehmen entsprechende Szenarien möglichst effektiv und gleichzeitig sicher aufgleisen können.
Eine IoT-Richtlinie erhöht die Sicherheit
Gesundheitseinrichtungen ist dringend angeraten, proaktiv eine IoT-Richtlinie festzulegen, die dem Thema Sicherheit beim IoT-Einsatz nachhaltig Rechnung trägt. Dabei gilt es im Einzelfall abzuwägen, ob es unter IT-Security-Gesichtspunkten sinnvoller wäre, eine IoT-Lösung komplett zu verbannen oder ob es gute Gründe dafür gibt, beispielsweise ein Gerät mit einer veralteten Windows-Version weiter zu benutzen – selbst wenn dieses in puncto Sicherheit die sprichwörtliche Archillesferse darstellt. Die umfassende Auseinandersetzung mit dem individuellen Business Case einer IoT-Implementierung markiert einen wichtigen ersten Schritt auf dem Weg zur Erstellung einer soliden Richtlinie. Ein Teil dieses Prozesses besteht jedoch auch darin, zunächst eine Bestandsaufnahme vorzunehmen. Der Einsatz von IoT-Geräten lässt sich erfahrungsgemäß nur schwer überblicken. Genau hier entfalten fortschrittliche Werkzeuge zur Netzwerkvisualisierung ihre Wirkung. Diese können selbst die dunkelsten Ecken eines Netzwerks durchkämmen, um Geräten auf die Spur zu kommen, die bisher möglicherweise immer übersehen wurden. Ein solcher Gesamt-Scan sollte nicht nur einmalig, sondern regelmäßig erfolgen: Es gilt zu verinnerlichen, dass Transparenz und Verlässlichkeit auf kontinuierlicher Beobachtung basieren.
Zero-Trust-Ansatz auf IoT ausweiten
Vor dem Einsatz von IoT sollten Unternehmen genau überlegen, wie und in welchem Umfang sie diese Technologie überhaupt nutzen wollen. Hier kann es hilfreich sein, den Zero-Trust-Ansatz zu verfolgen: Im Wesentlichen geht es bei diesem Sicherheitskonzept darum, keinem Gerät im Netzwerk zu vertrauen und jedes stets aufs Neue zu überprüfen. Wer Abstand davon nimmt, das interne Netzwerk automatisch als „sicheren Hafen“ zu betrachten, ist bereits auf dem richtigen Weg. Davon ausgehend sollten Überlegungen angestellt werden, welche Sicherheitsvorkehrungen notwendig sind, um das von einem bereits im Netzwerk befindlichen böswilligen Benutzer oder Endpunkt ausgehende Risiko im Zaum halten zu können.
Für das Internet der Dinge bedeutet dies, dass entsprechende Geräte in Netzwerksegmenten zum Einsatz kommen, die von anderen Systemen und insbesondere von den wichtigsten Ressourcen weitgehend abgekapselt sind. Falls fachliche Gründe dafür sprechen, ein potenziell unsicheres, ungepatchtes System zu behalten, gilt es dieses auf Netzwerkebene zu schützen, indem der Zugang auf spezifische Ports und Protokolle beschränkt wird, die für die Funktion unbedingt notwendig sind. Solche Verbindungen sollten zudem konsequent auf potenzielle Auffälligkeiten überprüft werden, um Netzwerkangriffe und Malware frühzeitig erkennen zu können. Gleichzeitig kommt es darauf an, regelmäßige Schwachstellen-Scans und Sicherheitsbewertungen für alle IoT-Geräte im Netzwerk zu etablieren. Nur dann wissen Unternehmen, wogegen sie sich schützen müssen und werden nicht von etwas überrascht, das bislang unbemerkt irgendwo schlummerte.
Mehr Transparenz = mehr Sicherheit
Last but not least sollten bestehende Visualisierungsmöglichkeiten umfangreich ausgeschöpft werden. Je größer die Transparenz, umso höher die Sicherheit. Selbst wenn sich direkt auf einem Endgerät keine Schutzmaßnahmen einrichten lassen, gibt es genügend technologische Unterstützung, um verdächtige Aktivitäten zu identifizieren und Alarm zu schlagen. Mit Lösungen, die Eingriffe ins Netzwerk erkennen und abwehren, werden auch IoT-basierte Einfallstore ins Zentrum der Betrachtung gerückt und können in Folge ausgemerzt werden. Wer jedoch nur auf Prävention setzt und die „Detection and Response“-Möglichkeiten vernachlässigt, wird es wesentlich schwieriger haben, auf solche Vorgänge zu reagieren.
Die IoT-Vorteile absichern
Das Internet der Dinge kann nur dann vollen Mehrwert entfalten, wenn die Sicherheit nicht vernachlässigt wird. Für die Auseinandersetzung mit den Risiken und die Einführung einer starken IoT-Richtlinie ist es dabei nie zu spät. Mit der richtigen Planung und Herangehensweise, gepaart mit starken technischen Kontrollen, lässt sich das Beste aus den neuen Möglichkeiten der Vernetzung herausholen, ohne die damit einhergehende Gefahr aus dem Blick zu verlieren.