fotohansel - Fotolia

IoT setzt IT-Abteilungen unter Zugzwang

Fällt das Stichwort Digitalisierung, dann haben insbesondere IT-Abteilungen die Folgen zu bewältigen. Dazu gehört die Herausforderung, IoT-Geräte richtig und sicher zu verwalten.

Nahezu alle Medien haben sich mit dem Thema Internet der Dinge beschäftigt und jedes hat unterschiedliche Ansichten, wie das Thema IoT den eigenen Alltag beeinflusst. Private User nutzen Wearables wie Smart Watches; bei Immobilien und Nahversorgern spricht man von Smart Home oder Smart-Grid-Systemen; in der Produktion dagegen sind Industrial IoT oder „Industrie 4.0“ die Schlagworte der Stunde.

Trotz der vielen Schlagworte unterschätzen gerade IT-Entscheider die Wichtigkeit der Thematik, denn IoT ist ein zentraler Begriff bei der Modernisierung von Unternehmen und die neue Innovation wird schon an vielen Stellen eingesetzt.

Folgend kann es zu einer fatalen Fehleinschätzung kommen, denn IoT ist in jedem Fall eine Entwicklung, die keine Organisation unberührt lässt. Vor allem IT-Abteilungen kämpfen bereits mit den Folgen der Digitalisierung. Um die Herausforderung zu verstehen, sollte man sich zuerst die Auswirkungen vor Augen führen.

IoT in Unternehmen

Durch smarte Geräte, Cloud-Technologie und die zunehmende Vernetzung funktionieren Wirtschaft und Gesellschaft als „Always-on“-Modell. Güter und Services sind immer verfügbar und können leichter ausgerollt werden. Hierdurch wird die richtige Investition in digitale Technologie immer wichtiger und zum entscheidenden Wettbewerbsfaktor. Big-Data-Analysen, Cloud-Technologie und Mobile Enablement sind Schlüsselthemen der deutschen Wirtschaft und verändern die Gesellschaft in beinahe allen Bereichen.

Für Unternehmen sind diese Grundbausteine besonders wichtig, um bereit für die Adaptation neuer Innovationen zu sein. Vernetzung erhöht die Prozesseffizienz und schafft die Basis für Dienstleistungen und Produkte. In vielen Bereichen hat die Marktentwicklung schon deutlich an Dynamik gewonnen. Dadurch verschwinden Netzwerkparameter – nicht nur innerhalb von Organisationen, sondern auch zwischen eigentlich getrennten Netzwerken. Außerdem wächst der Datenaustausch ohne menschliche Interaktion zwischen einzelnen Endpunkten (M2M-Kommunikation).

Die Rolle des klassischen IT-Administrators gerät eher ins Hintertreffen. Stattdessen steigt der Bedarf an unterschiedlichen Verwaltungsrollen in der vernetzen Welt, die für das Management einzelner Bereiche verantwortlich sind. Dabei gibt es immer weniger geschlossene Systeme, und Nutzer aus unterschiedlichen Organisationen operieren in immer größeren Ökosystemen.

Damit das Potenzial von smarter Innovation ausgenutzt werden kann, müssen Administrationsaufgaben überwacht und strukturiert werden, da sonst die durchgängige Verfügbarkeit von digitalen Ressourcen nicht gewährleistet werden kann. In der Praxis bedeutet das für Unternehmen, dass IT-Abteilungen nicht nur für die eigene IT verantwortlich sind, sondern dass sie ihre Tätigkeiten an den Pulsschlag der vernetzten Welt anpassen müssen. Immer mehr User und Systeme müssen bei der Verwaltung von Zugriffsrechten und Administration mit einbezogen werden.

Anforderungen wachsen – vertikal wie horizontal

Damit Ideen wie Smart Home oder Industrie 4.0 funktionieren, müssen Administrationsaufgaben im Netzwerk, in der Cloud, an den Endpunkten und in der kompletten Infrastruktur abgestimmt werden – inklusive aller Dienstleister und externen Mitarbeitern. Dabei darf man nicht vergessen, dass dies nur ein Aspekt der Digitalisierung ist. Hinzu kommen einerseits die zunehmende Gefahr durch Cyberattacken und andererseits steigende Compliance- und Audit-Anforderungen.

Das führt zu einer noch größeren Bedrohung – nämlich zu überlasteten IT-Verantwortlichen und unzufriedenen Anwendern. Die Einhaltung von Compliance-Anforderungen ist schwer zu realisieren, da Nutzerkonten nicht richtig verwaltet und Zugriffsrechte nicht freigeschaltet werden. Die User suchen nach Workarounds – häufig ohne Kenntnis der IT-Abteilungen. Gerade in Bezug auf neue Vorgaben durch die EU-Datenschutz-Grundverordnung (DSGVO) kann dies hohe Bußgelder zur Folge haben, wenn dabei persönliche Daten in Gefahr geraten.

In den letzten Jahren haben Bedrohungen durch Ransomware und Malware-as-Service dazu geführt, dass neue Sicherheitslösungen in Unternehmen eingeführt wurden. IT-Abteilungen werden dabei so stark durch das Management von Tools gebunden, dass sie ihren eigentlichen Administrationsaufgaben nicht mehr nachkommen können. Gleichzeitig passen Kriminelle laufend ihre Angriffsstrategien an und versuchen sich – als legitime Nutzer getarnt – erhöhte Sicherheitsfreigaben zu erschleichen.

Laut dem Bundeskriminalamt (BKA) besteht große Gefahr durch den Missbrauch von digitalen Identitäten, besonders wenn diese an eine höhere Sicherheitsfreigabe in einem Unternehmen geknüpft sind. Dies sind zum Beispiel Administratoren-Accounts oder Benutzerkonten von Führungspersonal. Viele Unternehmen richten immer mehr privilegierte Zugänge ein, da komplexe IT-Infrastrukturen einen höheren Verwaltungsaufwand bedeuten.

Markus Westphal, Wallix

„Durch die zunehmende Vernetzung steigt die Verantwortung der IT-Abteilungen. Daher müssen Verantwortung und Verwaltung für alle Segmente der IT richtig gemanaged werden.“

Markus Westphal, Wallix

Neue Anforderungen und Vorgaben zur Datensicherheit und identitätsbezogenen Attacken machen eine granulare Verwaltung von Nutzerkonten nötig. Besonders Accounts mit erhöhter Sicherheitsfreigabe sind hier im Visier der Cyberkriminellen, da sie den Angreifern eine breite Palette zur deren Bereicherung eröffnen.

Den Umfang von IoT verstehen

Wichtig zu verstehen ist, dass diese Veränderung auf jedes Unternehmen zukommt – egal, ob man eine eigne IoT-Strategie hat oder nicht. Durch die zunehmende Vernetzung steigt die Verantwortung der IT-Abteilungen. Daher müssen Verantwortung und Verwaltung für alle Segmente der IT richtig gemanaged werden.

Aus diesem Grund sollte der erste Schritt beim Thema Digitalisierung die Entlastung der IT-Fachkräfte ein. Das Mikromanagement eines jeden einzelnen Nutzers ist zeitaufwendig und unwirtschaftlich. Privileged Access Management (PAM) stellt einen Weg dar, die IT-Abteilung bei der Digitalisierung zu unterstützen und gleichzeitig den Schutz nachhaltig zu verbessern. Zudem erleichtert PAM die Umsetzung von Richtlinien und hilft Unternehmen bei der Durchsetzung von Sicherheitsnormen.

Zugriffsrechte sollten in Zeit und Tiefe beschränkt sein, so dass Administratoren bestimmte Aktionen innerhalb eines zeitlich festgelegten Zugriffsfensters planen können. Das ermöglicht die Planung von Aktivitäten und die gleichzeitige Sicherstellung des Schutzes. Natürlich hat für IT-Entscheider die digitale Transformation oberste Priorität und die Entwicklung lässt sich nicht aufhalten, allerdings geht kein Fortschritt ohne die passenden Sicherheitsmechanismen.

Fazit

IoT wird die deutsche Wirtschaft deutlich verändern. Durch die digitale Integration entsteht eine neue Art des Wettbewerbs mit unglaublichen neuen Möglichkeiten. Gerade in Deutschland sind sich Mittelständler ihrer Gefährdung durch diese Entwicklung nicht bewusst. Das größte Kapital der „Hidden Champions“ ist ihr Know-how, das sie häufig über Generationen aufgebaut haben. Durch die Digitalisierung kommt es oft zur Vergabe von umfassenden Zugriffsrechten, ohne dass diese richtig verwaltet werden. Neben Angestellten haben auch Dienstleister und externe Mitarbeiter solche Accounts.

Über den Autor:
Markus Westphal ist Director Central Europe & DACH bei Wallix.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheitsrisiko: Default-Passwörter bei IoT-Geräten

Zeitbombe Sicherheit beim Internet der Dinge

Industrielle Steuerungsanlagen als Ziel von Ransomware

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit