[datensicherheit.de, 20.11.2020] Die Bedeutung robuster Sicherheitsvorkehrungen und hoher Sicherheitsstandards zum Schutz von Smarten Gebäuden und deren kritischen Daten vor Cyberattacken sollte laut 2N, dem weltweit führenden Anbieter von IP-Zugangskontrollsystemen, nicht unterschätzt werden. Anlässlich des Cyber Security Months hat 2N in Zusammenarbeit mit dem globalen Cybersicherheitsunternehmen Kaspersky wertvolle Ratschläge erarbeitet, die Verbrauchern und Gebäudemanagern helfen sollen, Cyberangriffe zu verhindern.

Cyberangriffen auf automatisierte Gebäudeinstallationen

Die Ratschläge wurden basierend auf eine Untersuchung von Kaspersky entwickelt. Den Untersuchungsergebnissen zufolge befand sich Deutschland hinsichtlich Cyberangriffen auf automatisierte Gebäudeinstallationen im ersten Halbjahr 2019 auf Platz elf der am stärksten betroffenen Länder weltweit,. Über 33 Prozent der intelligenten Gebäude in Deutschland waren mindestens einer Cyberattacke auf ihre Systeme ausgesetzt. Dazu gehören Angriffe mit verschiedenen Varianten von Spyware. Dabei handelt es sich um spezielle Malware, die darauf abzielt, Kontoauszüge und andere wertvolle Informationen zu erbeuten.

Dass Deutschland lediglich auf Platz elf der Untersuchung von Kaspersky gelistet ist, liegt unter anderem am ausgeprägten Sicherheitsbewusstsein der Deutschen, meint der Carsten J. Pinnow von datensicherheit.de: „Deutschland ist als Land der Ingenieure und Maschinenbauer traditionell sehr auf Vorsicht bei der Einführung neuer Technologien bedacht. Es ist deshalb nur folgerichtig, dass Deutschland sich nicht unter den zehn meistbetroffenen Ländern befindet. Zum einen, weil wir vor dem Rollout alle denkbaren Sicherheitslücken ausmerzen wollen; zum anderen, weil wir uns nur langsam von bewährten Lösungen verabschieden können.“

Intelligenter Technologien in Gebäuden inzwischen fester Bestandteil des täglichen Lebens

Der Einsatz intelligenter Technologien in Gebäuden ist zu einem festen Bestandteil des täglichen Lebens geworden und bietet den Nutzern Komfort und Flexibilität. Von Aufzügen bis zu Heizungen, von Alarmsystemen bis zur Zugangskontrolle – die Palette der kritischen Systeme, die an das Netzwerk angeschlossen sind und untereinander sowie mit Smartphones und anderen IoT-Geräten kommunizieren, nimmt stetig zu.

Es ist wichtiger denn je, dass sich die Benutzer über mögliche Schwachstellen in ihren Systemen im Klaren sind, damit geeignete Sicherheitsmaßnahmen ergriffen werden können. Smarte Gebäude können bei richtiger Verwaltung und unter Einsatz sicherer Komponenten einen signifikanten Beitrag zur Reduktion von Betriebskosten sowie des Energieverbrauchs beitragen.

Bei unzureichender Absicherung der IT-Komponenten entsteht jedoch ein vermeidbares Risiko für den Betrieb und die darin befindlichen Personen. Beispielsweise können Cyberkriminelle über Gegensprechanlagen und Zugangskontrollgeräte Passwörter abschöpfen, unverschlüsselte Gespräche „belauschen“ und vollen Zugang zu Daten, Anwendungen oder gar zum Gebäude selbst erhalten. Hat ein Angreifer die Sicherheitsbarrieren einmal überwunden folgen meist Ransomware- und Man-in-the-Middle-Angriffe.

Tomáš Vystavěl, Chief Product Officer von 2N, warnt deshalb: „Intelligente Gegensprechanlagen entwickeln sich schnell zu einem unverzichtbaren Produkt für Wohnungen und Büros in ganz Europa. Einige dieser Geräte könnten die Verbraucher jedoch der Gefahr von Hackerangriffen aus der Ferne aussetzen, wodurch sie anfällig für sicherheitsrelevante Vorfälle werden. Die Wahl eines Geräts, das bestimmten Sicherheitsstandards entspricht, ist der erste Schritt, um den Bewohnern eine unangreifbare Sicherheit zu Hause zu bieten.“

Carsten J.Pinnow, Herausgeber von datensicherheit.de,  dazu: „Sicherheit im Bereich IoT ist eine notwendige Voraussetzung für den Erfolg der gesamten Digitalisierung. Um die wachsende Komplexität meistern zu können, ist es von äußerster Wichtigkeit, der Qualitätssicherung der Software ein besonderes Augenmerk zu schenken.“

Ratschläge von 2N und Kaspersky zur Absicherung Smarter Gebäude und kritischer Daten gegen Cyberangriffe:

• Wählen Sie eine zuverlässige, maßgeschneiderte Sicherheitslösung, die speziell auf ICS-Umgebungen zugeschnitten ist und Ihr Netzwerk jederzeit sicher hält.
• Erstellen Sie ein unabhängiges Netzwerk – ausschließlich für Geräte, die vertrauliche Informationen verarbeiten; verwenden Sie das virtuelle LAN (VLAN) und stellen Sie sicher, dass Hersteller von installierten Geräten oder Software standardmäßig Implementierungsprotokolle wie HTTPS, TLS, SIPS oder SRTP verwenden.
• Schützen Sie das IoT-Ökosystem: Erstellen Sie ein separates Netzwerk für IoT-Geräte, wählen Sie ein sicheres Passwort für den Router, installieren Sie niemals neue elektronische Geräte, ohne den Hersteller und die Sicherheitsstandards zu prüfen.
• Erstellen Sie verschiedene Konten mit unterschiedlichen Privilegien: Ein Benutzer kann nur Änderungen vornehmen, die sich auf seine spezifischen Aufgaben beziehen. Der Administrator alleine erhält vollumfängliche Privilegien, um das Gebäude und alle verknüpften Konten verwalten zu können.
• Regelmäßige Aktualisierung der Software: Die Installation der neuesten Firmware-Version auf den Geräten ist wichtig, um Cybersicherheitsrisiken zu minimieren. Jedes Update behebt Fehler, die in der Software gefunden wurden und installiert die neuesten Sicherheits-Patches auf die im Netz befindlichen Geräte.
• Verwenden Sie sichere, komplexe Passwörter mit mindestens sechs Zeichen, die aus einer Kombination von Zahlen, Buchstaben und Symbolen bestehen.
• Führen Sie regelmäßige Sicherheitsüberprüfungen der IT-Infrastruktur durch, um mögliche Schwachstellen zu identifizieren und zu beseitigen.
• Schulen Sie Ihre Sicherheitsbeauftragten, die für den Schutz der IT-Infrastruktur des Gebäudes verantwortlich sind, in Bezug auf die häufigsten Bedrohungen und wie man ihnen begegnet.

Weitere Informationen zu Thema:

datensicherheit.de, 19.06.2020
2N gibt Marktstart in der DACH-Region bekannt

datensicherheit.de, 01.10.2019
Cyber-Attacken auf 37,8% Smart Buildings im ersten Halbjahr 2019

Kritik an der geplanten Vorgehensweise der Verordnung

[datensicherheit.de, 02.10.2018] Die E-Evidence-Verordnung, auf deutsch „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“, soll den grenzüberschreitenden Datenaustausch zwischen Providern und Behörden aus verschiedenen EU-Mitgliedstaaten regeln. Der Verband der Internetwirtschaft begrüßt zwar die Intention des EU-Parlaments den europäischen Datenaustausch von Beweismitteln beschleunigen zu wollen, kritisiert jedoch die geplante Vorgehensweise der Verordnung.

„Den europäischen Datenaustausch von Beweismitteln beschleunigen zu wollen, ist prinzipiell eine gute Sache, da derzeit durch die teilweise extrem langwierigen Behördenwege häufig zu viel Zeit vergeht“, erklärt Oliver Süme, eco Vorstandsvorsitzender und Präsident des europäischen Providerverbands EuroISPA in Brüssel. „Die europaweite Verfolgung schwerer Kriminalität ist wichtig. Es darf aber nicht sein, dass durch diese Verordnung die bei uns geltenden hohen Schutzstandards für die Herausgabe und Übermittlung von Verkehrsdaten ebenso außer Kraft gesetzt werden wie die hohen Sicherheitsstandards bei der Datenübermittlung. Damit würde auch die politische Glaubwürdigkeit beim Daten- und Grundrechtsschutz grundsätzlich infrage gestellt.“

© eco

Oliver Süme, eco Vorstandsvorsitzender und Präsident des europäischen Providerverbands EuroISPA in Brüssel

Verantwortung hoheitlicher Aufgaben nicht auf Privatunternehmen abwälzen

eco kritisiert außerdem, dass Provider künftig selbst beurteilen sollen, ob eine Datenanforderung einer ausländischen Behörde missbräuchlich ist oder gegen Grundrechte verstößt. „Das sind Forderungen, die nicht einmal große Anbieter mit einer eigenen Rechtsabteilung problemlos erfüllen könnten. Für die vielen kleinen und mittleren Provider in Deutschland und Europa ist das schlichtweg ein Ding der Unmöglichkeit“, so Süme. Völlig ungeklärt bleibt dabei die Frage der Haftung im Falle zu Unrecht erhobener bzw. herausgegebener Daten.

Darüber hinaus kritisiert der Verband, dass diese Vorgehensweise rechtsstaatlichen Grundprinzipien widerspricht. „Anstatt bei grenzüberschreitenden Ermittlungen die Rechtshilfeverfahren zu beschleunigen und die Kooperation der Strafverfolgungs- und Ermittlungsbehörden in der EU zu optimieren, sollen mit der E-Evidence-Verordnung Behörden aus anderen EU-Mitgliedsstaaten direkt bei den Unternehmen die Herausgabe und Sicherung von Daten verlangen können. Die Wahrnehmung und Verantwortung hoheitlicher Aufgaben darf nicht auf Privatunternehmen abgewälzt werden. Das ist in einem Rechtstaat absolut inakzeptabel“, sagt Oliver Süme.

Keine Zeitfenster für kleine und mittelständische Unternehmen

Eine Ausnahmeregelung für kleine und mittelständische Unternehmen mit flexibleren Zeitfenstern für die Bearbeitung von Herausgabe- und Sicherungsanordnungen sowie ein robustes Verifizierungs- und Authentifizierungssystem sind dabei unerlässlich. „Die gewissenhafte Beurteilung der Anfrage einer europäischen Behörde und die Gewährleistung einer sicheren Datenübertragung ist das A und O und für das Vertrauen der Verbraucher von entscheidender Bedeutung“, so Süme.

Aus Sicht der Internetwirtschaft bedarf es deshalb keiner verbindlichen Regelungen über Zeitfenster. Der Zeitrahmen, der im Vorschlag der Kommission für die Ausführung von Herausgabe- und Sicherungsanordnungen vorgesehen ist, kann insbesondere für kleine und mittelständische Unternehmen, die meistens keine 24/7-Dienste anbieten, zum wirtschaftlichen Handicap werden.

Weitere Informationen zum Thema:

eco
Stellungnahme zum Vorschlag der EU Kommission für eine Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen

datensicherheit.de, 01.10.2018
eco: Neuer Medienstaatsvertrag darf nicht zum Störfaktor innovativer Geschäftsmodelle werden

datensicherheit.de, 26.09.2018
eco: Künstliche Intelligenz „Made in Germany“ braucht Leitlinien

datensicherheit.de, 11.09.2018
EU-Urheberrechtsrichtlinie: eco nimmt Stellung zur erneuten Abstimmung