Do you want to see our content in English?

x
x

Schwachstellenerkennung und Risikomanagement: IT-Sicherheit am Beispiel Krankenhaus

““

Klicken Sie auf den unteren Button, um den Inhalt von Spotify Player zu laden.

Inhalt laden

IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf anderen Plattformen anhören

IoT Use Case #135 - A1 Digital + Asimily

In dieser Episode des IoT Use Case Podcasts spricht Gastgeberin Ing. Madeleine Mickeleit mit Arne Trittelvitz, Director Europe bei Asimily, und Holger Hartwig, Key Account Manager Security bei A1 Digital, über die Absicherung von IoT-Geräten. Dabei geht es vor allem um die Herausforderungen und Lösungen im Bereich IoT-Sicherheit in verschiedenen Sektoren wie Medizintechnik, Gebäudetechnik und Fertigung.

Folge 135 auf einen Blick (und Klick):

Podcast Zusammenfassung

Die Partnerschaft zwischen Asimily und A1 Digital entlastet IT-Abteilungen in Unternehmen, Krankenhäusern und der Verwaltung, indem sie ein System bereitstellt, das Sicherheit bietet, ohne zusätzliche Arbeitskräfte zu erfordern. Diese Zusammenarbeit entstand aus der Anfrage eines großen Klinikums zur besseren Absicherung von Medizingeräten im Netzwerk.

Arne Trittelvitz von Asimily bringt seine Expertise in Netzwerksicherheit und Risikomanagement für IoT-Geräte ein, während Holger Hartwig von A1 Digital die Förderung der Digitalisierung und Sicherheit von IoT-Geräten vorantreibt. Eine der größten Herausforderungen in der IoT-Sicherheit ist das Schwachstellenmanagement, da viele IoT-Geräte nicht ausreichend geschützt sind und eine große Angriffsfläche bieten. Im Gegensatz zur Standard-IT sind IoT-Geräte oft lange in Betrieb und schwer zu aktualisieren, was sie besonders anfällig macht. Ein Beispiel aus dem Gesundheitswesen zeigt, dass Medizingeräte im IT-Netzwerk spezielle Sicherheitsmaßnahmen benötigen.

Asimilys Ansatz umfasst die Sichtbarkeit und Inventarisierung von IoT-Geräten, Schwachstellenminderung, Bedrohungserkennung und Risikomodellierung. Durch Netzwerksegmentierung wird die Gerätekommunikation überwacht und analysiert, um Risiken zu minimieren. Praktische Beispiele sind Überwachungskameras, Medizingeräte und Gebäudetechnik.

A1 Digital spielt eine wesentliche Rolle bei der Implementierung und Integration der Asimily-Lösung und übernimmt dabei die Betreuung der IoT-Umgebung, Cloud-Dienstleistungen und Cybersecurity-Dienstleistungen.

Auch gesetzliche Anforderungen und zukünftige Entwicklungen spielen eine wichtige Rolle. NIS2 und Sicherheitsanforderungen für kritische Infrastrukturen erfordern eine enge Kooperation zwischen IT und anderen Unternehmensbereichen für eine umfassende Sicherheitsstrategie.

Podcast Interview

Hallo Holger und Hallo Arne. Ich freue mich super, dass ihr heute mit dabei seid und herzlich willkommen im IoT Use Case Podcast.

Holger
Hallo Madeleine, vielen Dank für die Einladung.

Arne
Hallo, schön, dass wir da sein dürfen.

Vielen Dank! Holger, ich starte mal mit dir. Wie geht es dir? Wo bist du gerade unterwegs?

Holger
Blendend wie immer.

Blendend wie immer, das ist gut. Bist du zu Hause oder im Büro oder wo bist du gerade unterwegs?

Holger
Ich bin zu Hause, im wunderschönen Düsseldorf. Alles gut.

Ok, Düsseldorf. Schöne Grüße in die Region.

Ich glaube auch, ja. Arne, wie geht’s dir? Wo erreiche ich dich gerade?

Arne
Mir geht es ebenfalls ganz hervorragend. Ich bin heute aus dem Mittelfränkischen dabei. Am Tor zur Fränkischen Schweiz. Insofern fast so schön wie Düsseldorf.

Sehr schön. Du bist nicht in Kalifornien, aber Asimily kommt ja eigentlich aus Kalifornien, richtig?

Arne
Das ist richtig, Asimily macht jetzt gerade den Sprung über den großen Teich. Also in Europa fallen wir noch unter das Thema Start-up. Und Kalifornien ist sehr schön, aber da ist Mittelfranken dann doch noch schöner.

Ja, wollte ich auch gerade sagen. Und wie viele Mitarbeiter habt ihr eigentlich mittlerweile?

Arne
Wir sind 80 Mitarbeiter weltweit, drei davon in Europa. Ich mache die Markteinführung für den europäischen Raum aktuell zusammen mit zwei Kollegen. Da ist man immer ganz gut unterwegs.

Da ist es ja sehr passend, dass wir heute zusammenkommen und miteinander sprechen. Vielleicht können wir kurz Asimily vorstellen und dann auf A1 Digital und die Partnerschaft eingehen. Soweit ich das verstanden habe, ist Asimily eine Art Risikomanagement-Plattform für verschiedenste IoT-Geräte aus unterschiedlichen Branchen wie Medizin, Diagnostik, Biowissenschaften, Pharmazie aber auch Industrie. Ihr seid dabei die Experten rund um Netzwerksicherheit. Könnte man das so sagen?

Arne
Ja, das ist recht weitreichend, aber in diese Richtung geht es auf jeden Fall. Wir wurden genau aus diesem Grund gegründet, weil es eine Vielzahl von Geräten im Unternehmensumfeld gibt, die nicht so einfach abgesichert werden können wie die IT-Landschaft, die wir derzeit kennen, und die besonderen Anforderungen unterliegen. Welche Geräte sind das? Im Wesentlichen handelt es sich um alle Nicht-Standard-IT-Clients und -Server, also alles, was unter Gebäudetechnik fällt und am Netzwerk hängt, Medizintechnik, Produktionstechnik. Und diese Geräte sind oftmals sehr nah an der Wertschöpfungskette, können aber mit den Standardverfahren nicht abgesichert werden. Das hat man in letzter Zeit auch häufig in der Presse gesehen. Und so kam dann die Idee, Asimiliy zu gründen. Die Gründer selbst kommen aus dem IT-Sicherheitsumfeld, haben viele Jahre für Semantic gearbeitet, dort auch schon ein IoT Business aufgebaut und dann jetzt eben der Sprung ins kalte Wasser, die Selbständigkeit, die Unternehmensgründung. Das ist so die Hintergrundgeschichte. Vier Jahre sind wir jetzt alt.

4 Jahre, okay. Du hast jetzt gerade von verschiedensten Geräten gesprochen, hast du ein Beispiel für so ein Gerät? Also könnte das zum Beispiel ein Diagnosegerät in einem Krankenhaus sein?

Arne

Gerade im Gesundheitswesen ist die Kritikalität sehr umfangreich. Wenn ein Gerät ausfällt, nehmen wir zum Beispiel ein Gerät für eine Koronarangiographie mit Kontrastmitteluntersuchung, können Kerndienstleistungen nicht mehr erbracht werden. Doch wir müssen hier auch berücksichtigen, dass diese Geräte oft nicht angemessen gepflegt werden können. Wenn beispielsweise ein Softwareupdate erforderlich ist, um Schwachstellen im Betriebssystem zu beheben, sind diese Updates oft nicht verfügbar oder werden nur mit erheblichen Verzögerungen bereitgestellt, da das Gerät neu lizenziert oder zertifiziert werden muss. Es gibt viele krankenhausspezifische Themen, die einer IT-Sicherheit im Weg stehen. Aber auch bei Produktionsanlagen oder Geräten aus der Gebäudetechnik, auf die eine IT-Abteilung keinen direkten Zugriff hat und die möglicherweise vom Facility Management oder der Produktion betreut werden, müssen wir andere Strategien entwickeln.

Verstehe. Und Holger, ihr von A1 seid ja jetzt auch Teil der Telekom Austria Gruppe, damit auch Teil der América Móvil und gehört damit zum weltweit größten Mobilfunkbetreiber. Das war ein wenig zu eurem Hintergrund, ihr macht aber auch viel mehr. Wer den Podcast verfolgt, hat da vielleicht schon mal eine Folge gehört. Ihr seid ja auch Technologie-Service-Provider für die Themen IoT, Cloud, Netzwerke, Security. Das ist so das Thema jetzt. Wie kommt ihr beide eigentlich zusammen? Also ist das eine Partnerschaft?

Holger
Ja, genau wie du sagst. Die A1 Digital hat ja den Auftrag, Digitalisierung nach vorne zu treiben. Und wenn ich über Digitalisierung spreche, spreche ich eigentlich immer auch über IoT. Und wir tun im Wesentlichen drei Dinge: Wir kümmern uns um die IoT-Umgebung, wir sind Cloud-Dienstleister und wir sind Cybersecurity-Dienstleister. Und da liegt es jetzt nahe, das Thema Cybersecurity in Richtung IoT zu transportieren, sich Gedanken darüber zu machen, wie kann ich IoT-Systeme eigentlich richtig absichern? Und in dem Zusammenhang muss ich mir dann Gedanken darüber machen, wie ich Schwachstellen erkenne, wie ich Angriffsvektoren erkenne, wie ich dann damit umgehen kann und wie ich dieses Thema letzten Endes absichern kann. Uns war von Anfang an wichtig, nicht einfach mit einem weiteren Security System um die Ecke zu kommen, stattdessen wollten wir etwas liefern, das IT-Abteilungen in Unternehmen, Krankenhäusern oder auch in der Verwaltung entlastet. Also etwas, das ihnen Sicherheit gibt, ohne weitere Arbeitskräfte zu benötigen. Und genau so ein System ist Asimily. Also im Grunde Frühwarnung und Hilfestellung in einem.

Du hast es gerade schon gesagt, Schwachstellen oder auch fehlerhafte Geräte können einen massiven Schaden bei den Betrieben verursachen. Darüber wollen wir sprechen. Gerade hast du das Thema Schwachstellenmanagement angesprochen. Vielleicht können wir mal kurz erläutern, über welche Use Cases wir heute sprechen. Man muss das vielleicht ein wenig einordnen, ich habe ja verschiedene Themen im Podcast. Heute sprechen wir über die technologischeren Security Use Cases, die aber auch einen ganz klaren Business Impact dahinter haben.
Holger, kannst du mal erklären, was das für Use Cases sind, die ihr bedient? Schwachstellenmanagement ist wahrscheinlich einer davon, oder?

Holger
Ja, es gibt ja sehr viele Unterarten von IoT. IIoT, IoMT. Ich würde vielleicht mal die CIoT, also die Consumer IoT, ein bisschen herausnehmen. Also im Grunde reden wir über IoT-Systeme, die irgendwo im geschäftlichen Umfeld eingesetzt werden. Das sind Geräte, die einem bestimmten Zweck dienen, in aller Regel nicht wirklich verändert werden können, die nur gering konfigurierbar sind, die in irgendeiner Form mit dem IT-Netzwerk reden, die aber durch die Security-Maßnahmen im IT-Netzwerk nicht geschützt werden. Darauf liegt jetzt unser Fokus. Wir müssen uns gar nicht branchenspezifisch eingrenzen auf irgendeine IoT-Unterart. Deswegen können wir auch relativ allgemein über IoT reden.

Okay. Das heißt, es geht im heutigen Use Case ein Stück weit darum, Schwachstellen zu erkennen. Welche sind das? Auch sprechen wir ein bisschen über die Bedrohung, die es durch das Thema Security oder durch entsprechende Attacken gibt. Aber auch über Risikomodellierung, eben ist schon das Stichwort Monitoring gefallen. Wie sieht das aus?

Arne du bist gerade ein bisschen technisch eingestiegen, was diese Nicht-Standard-IT-Protokolle und so weiter betrifft. Jetzt muss man erst mal die Themen IT, IoT und IIoT ein wenig voneinander abgrenzen.

Holger, kannst du für ein besseres Verständnis kurz erklären was die klassischen IT-Geräte sind und wo genau das Thema IIoT beginnt?

Holger
Typische IT-Systeme sind Server, Clients, alles was wir aus dem IT-Bereich kennen. Bezüglich der Security gibt es in der IT Schwachstellenscanner, die über aktive Scans bei den Servern und Clients nachprüfen können, welche Schwachstellen da existieren. Würde ich das bei IoT-Geräten probieren, dann würde ich im besten Fall wahrscheinlich überhaupt keine Antwort kriegen. Im schlechtesten Fall lege ich das IoT-Gerät damit lahm. Passiert das in einem Krankenhaus, dann gibt es wahrscheinlich mindestens einen Menschen, der das in dem Moment nicht so cool findet. Und das ist genau die Problematik, die wir mit Asimily anpacken und auch lösen. Ich kann mit IT-Systemen den Sicherheitszustand meiner IoT-Geräte nicht erfassen und ich kann damit auch keine Aussage darüber treffen, welches Risiko besteht und welche Maßnahmen ich ergreifen muss, um dieses Risiko zu beseitigen, zu mitigieren, zu reduzieren, was auch immer ich tun möchte. Ich brauche also ein spezialisiertes System und dieses System ist Asimily, weil Asimily anders mit IoT-Systemen umgeht, als der normale IT-Security-Scanner.

[09:39] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus

Jetzt hast du gerade schon gesagt, im schlimmsten Fall würde es das System vielleicht auch lahmlegen. Vielleicht können wir mal ein bisschen über diesen geschäftlichen Use Case eurer Kunden sprechen und welche Herausforderungen sie in diesem Bereich haben.
Arne, ich übergebe einfach mal das Wort an dich. Kannst du mal den Business Case hinter eurem Produkt erklären?

Arne
Ja, in der Tat geht es um das Thema Lahmlegen, wobei man das aus der Perspektive unterschiedlicher Risikoarten und der jeweiligen Risikoaffinität der einzelnen Unternehmen betrachten muss. Wenn irgendwo eine Produktionslinie ausfällt, können die Unternehmen in der Regel sehr genau beziffern, welcher Schaden ihnen dabei entsteht. Es gibt aber auch durchaus Unternehmen, bei denen nichts ausfallen darf. Wenn ein Hochofen in der Stahlproduktion wegen eines Cyberangriffs vom Netz genommen werden muss, kann man das Gebäude neu bauen. Wenn ein OP stehen bleibt, weil die Klimaanlage ausfällt oder nicht richtig funktioniert, kann man den OP außer Betrieb nehmen. Der Punkt ist, dass in diesen Bereiche, und das sehen wir immer wieder bei entsprechenden bekannt gewordenen Breaches, Schäden entstehen und Leistungen nicht mehr erbracht werden können. Und am Ende hängt daran eine wirtschaftliche Wertschöpfungskette. Aber gerade im Bereich der kritischen Infrastruktur eben auch Kernleistungen für den Bürger in hohen Maße. Und es sind auch schon Unternehmen deswegen pleite gegangen. In den letzten Jahren hat der Gesetzgeber die Anforderungen im Bereich der kritischen Infrastruktur deutlich anspruchsvoller gestaltet. Das merken wir auch massiv im Markt in diesem Bereich.
Auf der anderen Seite kommen jetzt Anpassungen durch NIS-2, wozu kürzlich der Referentenentwurf veröffentlicht wurde. NIS-2 steht in diesem Fall für erhöhte Anforderungen an die Cybersicherheit in der EU. Das wird eine Reihe von Unternehmen betreffen, die bisher nicht im Fokus standen. Auch hier nimmt das BSI seine Kontrollen sehr ernst und kommt mit anspruchsvollen Maßnahmen, denen sich die Unternehmen stellen müssen. Wir gehen davon aus, dass das Thema IoT die größte zusammenhängende Angriffsfläche in Unternehmensnetzwerken darstellt. Es gibt klassische Schnittstellenprobleme, da die Netzwerksicherheit in der Regel von der IT verantwortet wird, die Geräte aber häufig nicht von der IT betrieben werden. Habe ich beispielsweise eine Art Gebäudemanagement für die Gebäudetechnik oder habe ich im Gesundheitswesen Medizintechnik oder eben die Produktion mit den Gerätschaften, dann sind die für diese Geräte verantwortlich. Sie haben aber in der Regel nicht das Bewusstsein, welche Probleme diese Geräte im Netzwerk mitbringen. So erhält die IT allein aus diesen Bereichen heraus auch nicht zwangsläufig die nötigen Informationen. Ein ganz lapidares Beispiel: IT-Abteilungen denken in IP-Adressen, MAC-Adressen, Ports und Protokollen, während die Medizintechnik in Gerätenummern, Nutzereinweisungen und sicherheitstechnischen Kontrollen, also quasi einem Geräte-TÜV, denkt. Wenn diese Abteilungen nicht miteinander sprechen können, weil ihnen die gemeinsame Basis und Transparenz fehlt, entsteht ein Risiko. Und dieses Risiko ist schwer zu definieren, zu messen und zu reduzieren.

Vielleicht noch ein kurzer Folgenhinweis. Wenn ihr mehr über das Thema NIS-2 erfahren möchtet, kann ich euch Folge 107 sehr empfehlen. Dort haben wir das Thema auch in der Praxis aufgeschlüsselt. Und ich finde interessant, dass du die Stahlproduktion ansprichst. Wir hatten eine Folge mit der Firma ALD Vacuum Technologies, die genau solche Anlagen herstellt. Das streift dieses Thema auch ein wenig.

Und könntest du noch einmal auf das, was du gesagt hast, zurückkommen? Dieses Bewusstsein für die Probleme und insbesondere das Schnittstellenproblem. Könntest du das noch etwas näher erläutern und auf die technischen Herausforderungen eingehen, mit denen eure Kunden konfrontiert sind? Sie machen das ja wahrscheinlich momentan ohne eure Lösung. Aber vor welchen technischen Herausforderungen stehen sie, wenn sie solche Probleme eigenständig lösen wollen?

Arne
Die Herausforderungen aus Sicht der IT-Sicherheit bestehen hauptsächlich darin, dass sie häufig nicht wissen, welche Kommunikation in ihrem Netzwerk stattfindet und wie sie erfolgt. Sie können zwar den Datenverkehr sehen und einzelnen Geräten zuordnen, aber ihnen fehlt oft die Information darüber, wie diese Geräte planvoll kommunizieren sollen. Besonders in gewachsenen Infrastrukturen gibt es viele intransparente Netzwerkelemente.

Was bedeutet planvoll kommunizieren genau?

Arne
Nun, der Hersteller hat sich bei der Entwicklung etwas gedacht, nehmen wir zum Beispiel die Videokamera. Diese Kamera muss die Daten irgendwohin senden und möglicherweise auch speichern und so weiter. Das Problem besteht darin, dass bei der Erstellung der Software regelmäßige Überprüfungen erforderlich sind, um sicherzustellen, dass veraltete Protokolle deaktiviert oder entfernt werden und dass sie an modernere Kommunikationsformen angepasst wird. Manchmal vergisst man jedoch, dies zu tun, sei es das Abschalten veralteter und fehleranfälliger Protokolle oder das Aktualisieren aufgrund von Sicherheitsbedenken. Denn das sind eben beispielsweise Klimaanlagenhersteller und keine IT-Unternehmen, auch wenn sie ihre Geräte ans Netzwerk anschließen. Mit Medizintechnik ist es ähnlich, und in vielen anderen Bereichen auch und man kann ihnen da auch keinen wirklichen Vorwurf machen. Der Punkt ist, nur weil eine Kommunikation stattfindet, heißt das nicht, dass diese Kommunikation auch benötigt wird

Verstehe. Es ist also eine andere Art, mit IoT-Daten zu denken, wie diese Schnittstellen aussehen und wie eventuell auch angriffsanfällige Protokolle gestaltet sind. Das sind neue Anwendungsfälle, mit denen sich die IT jetzt auseinandersetzen muss. Könnte man das so sagen?

Arne

Absolut.

Ok. Vielleicht konkretisieren wir das Ganze ein wenig, insbesondere in der Zusammenarbeit mit A1 Digital. Es ist ja so, dass jetzt ganz konkrete Daten oder Datentypen aus den verschiedensten Geräten hervorkommen. Könntest du ein wenig darüber erzählen, welche IoT-Daten das heute sind? Du hast bereits die Videokamera erwähnt, vielleicht ein anderes Beispiel. Und wie sieht das Thema Schnittstellen zu anderen Systemen aus? Das spielt ja auch oft eine Rolle. Kannst du das noch ein wenig näher ausführen?

Arne
Sehr gerne. Die Thematik ist, dass wir am Ende des Tages genau mit den Daten arbeiten, die bereits im Unternehmen vorhanden sind. Nehmen wir beispielsweise ein großes bildgebendes Gerät im Krankenhaus, wie ein CT oder MRT. Die meisten haben davon schon gehört; diese Geräte sind immens teuer und müssen gut ausgelastet laufen. Dieses Gerät kommuniziert jetzt im Netzwerk, in der Regel mit einem speziellen Protokoll namens DICOM.

Und damit werden Bilddaten übertragen. Das ist ein Protokoll, das wahnsinnig gut dokumentiert ist. Viele IT-Systeme erkennen es, aber sie verstehen diese Protokolle nicht. Das heißt, das erste Problem beginnt damit, dass eine Firewall keinen Schadcode darin findet und daher an dieser Stelle bereits ausscheidet. Nun ist es so, dass dieses Gerät noch viele andere Protokolle spricht. Zum Beispiel gibt es eine Reihe von Geräten, die ein altes Datenübertragungsprotokoll namens SMB verwenden, das als sehr unsicher gilt, was einen Angriffsvektor darstellen kann. Dieses Protokoll wird jedoch für die Funktionsweise des Geräts nicht gebraucht. Es könnte vielleicht für Updates gebraucht werden, falls es welche gibt, was ohnehin selten der Fall ist. Bei älteren Geräten gibt es oft keine Updates mehr, weil der Hersteller sich nicht mehr darum kümmern will. Kann man ja verstehen. Der Punkt ist, wenn das weiterhin offen bleibt, ist es ein Einfallsvektor. Für die Funktionsweise des Geräts benötige ich es nicht, also kann ich es schließen. Auf der anderen Seite kann ich aus all diesen Protokollen, die das Gerät braucht, eine Menge Informationen extrahieren, da diese Geräte äußerst geschwätzig sind. Sie offenbaren Informationen über ihren Hersteller, Gerätetyp, Seriennummer und vieles mehr. Als nächstes, wenn wir die Kommunikation der Geräte verstehen wollen, erstellen wir eine Art Einzelverbindungsnachweis. Man kennt das aus dem Telefoniebereich. Wenn ich weiß, mit wem das Gerät telefoniert, dann kann ich auch feststellen, ob diese Gegenstellen erforderlich sind oder nicht. Ein anschauliches Beispiel dafür ist, dass wir einmal eine IP-Kamera gefunden haben, die innerhalb von 24 Stunden mit 200 IP-Adressen weltweit kommuniziert hat. In solchen Fällen muss man kein Forensiker oder Techniker sein, um zu erkennen, dass dies nicht erwünscht sein kann. Und das sind die Themen, die wir interessanterweise immer wieder in Unternehmen finden.

Vielleicht noch eine Frage in Richtung A1 Digital: In einigen früheren Folgen haben wir bereits einige äußerst interessante Kunden Cases gesehen, die das anwenden. Wie genau arbeitet ihr hier mit A1 Digital zusammen?

Holger

Im Grunde ist die Zusammenarbeit entstanden aus der Anfrage eines Security-Leiters eines wirklich großen Klinikums im Zusammenhang mit Cybersecurity-Services. Er fragte mich, wie man Medizingeräte im Netzwerk besser absichern könne. Dabei ist mir dann relativ schnell klar geworden, dass dies keine Standard-IT-Sicherheitsangelegenheit ist und ich Hilfe von Experten brauche. So haben Arne und ich uns kennengelernt. Daraus ist dann eine Partnerschaft entstanden, die mittlerweile durch einen Partnerschaftsvertrag zwischen beiden Unternehmen abgesichert ist und von den Geschäftsführungen getragen wird. Das Ganze hat also auch eine gewisse Verbindlichkeit. Wir führen gemeinsame Planungen und Abstimmungen durch, um zu bestimmen, wie wir uns aufstellen und wie wir die einzelnen Services am besten aufbauen können, um den Kunden optimal zu unterstützen.

[18:45] Lösungen, Angebote und Services – Ein Blick auf die eingesetzten Technologien

Sehr schön. Und jetzt vielleicht noch mal zurück zum gemeinsamen Kunden Case. Ich habe soweit verstanden, dass es hier einerseits ein Schnittstellenproblem gibt. Andererseits geht es aber auch darum herauszufinden, wie man das Verhalten der Geräte, insbesondere bei Schadensfällen, ein Stück weit kontrollieren kann. Daher meine erste Frage: Wie identifiziert man überhaupt das Verhalten dieser Geräte? Arne, vielleicht kannst du etwas zu eurer Software sagen. Wie macht ihr das technisch?

Arne
Das ist ein sehr wichtiges Thema, denn mit der Identifikation steht und fällt eigentlich alles. Wir machen das, indem wir Sensoren ins Netzwerk einbringen. Die erhalten dann eine Datenkopie des Netzwerkstroms, der dort hindurchläuft. Dadurch sehen wir die gesamte Kommunikation, ohne dass wir in irgendeiner Form Einfluss darauf nehmen können.

Sensor heißt jetzt zum Beispiel so eine Kamera oder ein MRT-Gerät oder etwas Ähnliches? Was versteht ihr unter einem Sensor?

Arne
Nein, ein Sensor ist ein Stück Blech. Wir bringen dieses Stück Blech ins Netzwerk, es erhält einen Netzwerkstecker, und dann sagen wir dem großen Netzwerkzentralgerät, dass es eine Datenkopie erstellen soll. Das heißt, es soll uns eine Kopie des Netzwerkstroms geben, der zwischen den Geräten und dem Rechenzentrum hin und her fließt. Diese Daten werden gleichzeitig auch an uns geschickt, und wir extrahieren aus diesem Datenstrom präzise die Daten, die wir brauchen: Geräte, Gerätebezeichnungen, Kommunikationsverhalten etc. Diese Informationen gleichen wir ab und schicken sie an die Analyseeinheit. Das ist dann das, was in der Exoscale Cloud steht. Das ist für die meisten Kunden die effizienteste und auch kostengünstigste Lösung. Es gibt ein paar mit besonders hohen Anforderungen, die die Analyseeinheit gerne vor Ort hätten. Das ist auch möglich, aber aus Kostengründen und Flexibilitätsgründen geht das Ganze in der Regel in die Exoscale.

Dort gleichen wir die Geräteinformationen mit unseren Datenbanken ab. Wir haben viele alte Geräte im Einsatz, und um deren Schwachstellen zu erkennen, müssen wir mit unseren Informationen bis in die 1990er Jahre zurückgehen. Und das tun IT-Sicherheitshersteller in der Regel nicht, da sie davon ausgehen, dass Schwachstellen nach drei bis fünf Jahren behoben sind.
Das passiert aber bei diesen alten Geräten oder bei diesen IoT-Geräten oft nicht. Oftmals geht das auch gar nicht. Und um den Leuten diese Informationen zu geben, wo genau ihre Schwachstellen liegen und was sie dagegen tun können, für diese und noch viele mehr Informationen brauchen wir eben diese Analyseeinheit bei der A1 Digital.

Holger
Wenn ich mal kurz unterbrechen darf, ich finde das total wichtig. Der Grund ist, dass Asimily eben nicht nur sagt: „Hier sind deine Schwachstellen, mach was draus,“ wie es ein Schwachstellenscanner in der IT-Welt gerne tut. Asimily sagt sehr genau: „Das sind die Schwachstellen, diese sind ausnutzbar,“ und bricht es weiter herunter bis zu: „Diese sind sehr leicht ausnutzbar und deswegen ganz böse.“ Außerdem wird vorgeschlagen: „Was kannst du dagegen tun, liebe IT? Welche Art von Protokollen kannst du abschalten? Welche Art von Einstellungen kannst du vornehmen?“ Und am Ende, wenn man am System gar nichts mehr tun kann, weil IoT-Geräte nicht so richtig konfigurierbar sind, bleibt nur die Mikrosegmentierung. Das heißt, man baut quasi ein eigenes Segment um ein Gerät. Es gibt Krankenhäuser und auch andere Unternehmen, denen diese Transparenz fehlt, und die fangen jetzt an, hunderte von IoT-Geräten in eine Mikrosegmentierung zu packen, weil sie glauben, dass sie diese damit sicher machen. Das tun sie auch, aber das ist ein unfassbarer Aufwand.

Also quasi eine eigene Kategorisierung von diesen Geräten. 

Holger

Exakt. Wir kommen mit Asimily ins Spiel und sagen: „Hey, Mikrosegmentierung ist in Ordnung, aber das brauchst du vielleicht nur für zehn Prozent deiner Geräte. Für den Rest kannst du etwas anderes tun, das viel einfacher ist.“ Und hier sind wir an dem Punkt, den Aufwand zu reduzieren. Es geht darum, IT-Abteilungen zu helfen, Security wirklich ins Unternehmen zu integrieren und sicherzustellen, dass sie auch tatsächlich funktioniert, ohne dass sie ständig manuell nachgepflegt werden muss. Und genau das macht Asimily.

Verstehe. Könnte man sich das so vorstellen, dass ihr eine Art Template- oder Vorlagenstruktur habt, was die Kritikalität der einzelnen Geräte angeht? Dass ihr also aufgrund eures Erfahrungsschatzes sagen könnt: „Hey, da solltet ihr mal genauer hinschauen, das ist ein Standardfall.“ Habt ihr also so eine Art Template-Struktur? Oder wie muss man sich das vorstellen?

Arne
Man kann sich das eher wie ein Dashboard vorstellen. Da können auch ganz viele Personen darauf zugreifen. Ich kann also auch die Gebäudetechnik, die Medizintechnik und die Produktion integrieren. Jeder, der sich für seine Geräte interessiert oder möglicherweise sogar selbst etwas machen möchte, erhält dann einen transparenten Informationsschatz. Es ist also auch nicht nur IT-Sprech, was dort angezeigt wird. Die Informationssicherheitsbeauftragten oder die CSOs erhalten präzise Risikoinformationen.

Wir bieten auch eine ganze Menge zusätzlicher Informationen an, da wir bereits viele Millionen Geräte überwachen, über die wir sehr, sehr detaillierte Kenntnisse haben. Diese Informationen bringen wir über diese Thematik dann auch wieder nach außen. Wenn der Kunde sogar vor dem Anschließen eines neuen Geräts ans Netzwerk eine Security-Einschätzung haben möchte, kann er diese bei uns erhalten. Auch entsprechende Härtungsempfehlungen, also wie das Gerät eingestellt sein sollte, um das Risiko für das Netzwerk minimal zu halten, bieten wir an. Und bei der Bereitstellung dieser proaktiven Informationen lassen wir dann unser gesamtes Know-how einfließen.

Ja, sehr schön. Noch ein letzter Punkt zum Thema Exoscale. Dort erfolgt das Hosting und auch die Datenverarbeitung. Könntet ihr noch einmal herausarbeiten, was der besondere Vorteil von Exoscale ist, vielleicht auch im Vergleich zu anderen Angeboten auf dem Markt? Vielleicht auch in Bezug auf die Integration weiterer Datenquellen. Was genau macht Exoscale so besonders?

Holger
Das Besondere an Exoscale ist natürlich das europäische Hosting, die Datensicherheit und die Einhaltung aller Compliance-Anforderungen. Dadurch können wir sicherstellen, dass wir Asimily auch in Umgebungen einsetzen können, die hohen Auflagen entsprechen müssen. Krankenhäuser sind ein Beispiel dafür, aber auch die öffentliche Verwaltung im Allgemeinen. Und was gut für Krankenhäuser und die öffentliche Verwaltung ist, kann meiner Meinung nach auch für Industrieunternehmen, einschließlich Großindustrieunternehmen, nicht schlecht sein. Auch sie möchten sicherstellen, dass ihre Daten geschützt sind. Das macht die Exoscale.
Du hast gerade von Schnittstellen gesprochen. Das ist tatsächlich ein Teil des Systems Asimily. Diese Schnittstellen kommen jedoch nicht ausschließlich über die Exoscale, sondern über Asimily. Dabei ist es mir besonders wichtig zu betonen, dass Asimily nicht als isoliertes System betrachtet werden sollte, das lediglich vor sich hin läuft und IoT-Kram macht. Es gibt viele Schnittstellen zu anderen Systemen. Wenn wir zum Beispiel an die IT-Security denken. Wir sind ja auch Anbieter von SOC-Services.
Ein SOC soll den Sicherheitszustand eines Unternehmens überwachen, idealerweise in Gänze. In der Regel überwacht ein SOC jedoch nur die IT-Sicherheit und hat kein Auge auf das IoT. Mit Asimily ist das jedoch möglich. Ich versetze das SOC in die Lage, auch Auffälligkeiten im IoT-Bereich zu erkennen, die möglicherweise zu einem späteren Zeitpunkt in den IT-Bereich wandern könnten, aber auf jeden Fall ein Problem darstellen, um das man sich kümmern muss.
Auf der anderen Seite ermöglicht Asimily dem Security Management, Schwachstellen, die mithilfe typischer Schwachstellenscanner in der IT gefunden werden, auch in das Asimily-System zu integrieren. So entsteht ein Gesamtbild über das Risiko. Ich erhalte eine Risikomatrix, die mir zeigt, worauf ich mich zuerst konzentrieren muss. Das ist ein gesamthaftes Bild. Mit Asimily gelingt es mir also erstmals, IT und IoT in einem gesamthaften Bild zu betrachten und entsprechend zu handeln.

Arne
Das ist der entscheidende Punkt. Wir arbeiten nicht im luftleeren Raum. Der Kunde muss sich eine Sicherheitsplattform schaffen und wir sind ein integraler Bestandteil. Überall, wo er Daten von uns nutzen kann, bauen wir die Schnittstellen, wenn sie nicht ohnehin schon vorhanden sind. Darin sind wir sehr gut. Unser oberstes Ziel ist es, uns nahtlos in die vorhandenen Strukturen des Kunden einzufügen. Da unterscheiden wir uns auch von marktüblichen Lösungen, da wir eben diese Flexibilität mitbringen.

Sehr schön. Wirklich eine spannende Partnerschaft. A1 Digital hat ja ganz unterschiedliche Partner für verschiedenste Anwendungsfälle, Projekte im Bereich der Digitalisierung und das jetzt auch konkret auf das Thema IoT bezogen und mit dem Thema Security gepaart.
Vielleicht die letzte Frage für heute: Ich habe noch ein paar weitere Fragen, aber für diejenigen, die jetzt zuhören und denken, dass dies ihr Thema ist und sie es ähnlich angehen, nehmt gerne mit Holger und Arne Kontakt auf. Ich werde die Kontaktdaten in den Show Notes verlinken, einschließlich der LinkedIn-Kontakte, damit ihr dort Folgetermine planen könnt, wenn ihr möchtet.
Eine letzte Frage für heute: Das Thema entwickelt sich ständig weiter. Ich habe bereits einige Security-Podcasts mit verschiedenen Use Case-Ausprägungen gemacht. Was passiert derzeit auf dem Markt und welche Trends erwarten uns in Zukunft? Könnt ihr der Hörerschaft vielleicht einige Einblicke geben und sagen, auf welche Top-Themen sie sich einstellen sollten?

Arne
Was wir feststellen, ist, dass im Bereich des Schwachstellenmanagements oder der IoT-Sicherheit ein viel größeres Bewusstsein vorhanden ist, als noch vor ein oder zwei Jahren. Wir gehen davon aus, dass es weiter steigt. Deswegen bilden wir auch unsere Fähigkeiten in diesem Bereich weiter aus. Das beinhaltet zum Beispiel, dass wir zukünftig dazu in der Lage sein werden, auch IoT-Patching zu betreiben. Das bedeutet, dass wir bei Geräten, die nicht zertifiziert werden müssen und bei denen Patches eingespielt werden können, diesen Prozess vollständig übernehmen können. Das vereinfacht diesen ganzen Schwachstellen-Behebungsprozess noch mal immens. Auf der anderen Seite fügen wir weitere Möglichkeiten hinzu, um auch im Bereich Disaster Recovery zu helfen. Das bedeutet, dass wir auch im Nachhinein handlungsfähig sein müssen, falls ein Vorfall eintritt. Auch hier werden wir unsere Fähigkeiten weiter ausbauen.
Und der große Vorteil in der Zusammenarbeit ist, dass A1 diese Fachkompetenz übergreifend über verschiedene Systeme mit einbringt. Das bedeutet, dass der Kunde auch dabei unterstützt wird, diese Möglichkeiten in seine Infrastruktur hineinzubringen. Das ist auch noch einmal ein sehr wichtiger Punkt.

Holger

Ergänzend dazu noch: Wir führen Gespräche mit vielen Unternehmen, nicht nur mit Krankenhäusern, obwohl wir heute viel darüber gesprochen haben. Wir stellen fest, dass entweder das Thema IoT-Sicherheit im Unternehmen noch nicht angekommen ist oder dass man gerade erst damit beginnt, sich damit zu beschäftigen. Auf der anderen Seite, ich glaube, es war im März, hat die amerikanische Regierung davor gewarnt, dass Angriffe auf Wassereinrichtungen befürchtet werden und man erhöhte Aufmerksamkeit walten lassen solle. Es gibt tatsächlich immer mehr Angriffe auf IoT. Ich rede bei Security eigentlich ungern über Angriffsszenarien und versuche auch nicht Angst zu verbreiten, aber letztendlich ist das nun mal die Realität. Es gibt immer mehr Angriffe im Bereich IoT, und diese Erkenntnis setzt sich immer mehr durch. Wir müssen einfach transparenter machen, welche Systeme eingesetzt werden und in welchem Zustand sie sich befinden, damit wir uns schützen können. Es geht nicht anders.

Verstehe. Das heißt, einerseits geht es jetzt ein bisschen von Asimily-Seite in Richtung Sicherheitsupdates, die bestimmte Schwachstellen analysieren können. Es geht um bestimmte neue Sicherheitsupdates, die durchgeführt werden können. Und andererseits geht es ein wenig in Richtung Echtzeitanalyse und das Thema Snapshotting, das jetzt auch ins Rollen gebracht wird, um den Zustand eines Systems zu einem bestimmten Zeitpunkt abzusichern. Genau, das wäre also das eine Thema. Und dann sind da auch die Trends, die sich entsprechend ergeben. Okay, sehr gut. Das ist doch ein schöner Ausblick auch für die Zukunft. Ich bin auch generell gespannt, wie es in euren Projekten weitergeht. Vielleicht hören wir auch mal von dem ein oder anderen Anwender. Ich weiß, das Thema ist auch ein bisschen unter Geheimhaltung. Ich selbst habe im Podcast auch schon viel aus dem Bereich KRITIS berichtet. Deshalb ist es schön, von euch und eurer Partnerschaft zu hören und vor allem zu verstehen, wie dieses Übergreifen von Schwachstellenanalysen nicht nur im Bereich IoT, sondern auch mit den IIoT-Gerätedaten funktioniert.
Deswegen erst mal vielen lieben Dank für eure Zeit heute. Wie gesagt, ich hätte wahrscheinlich noch viele weitere Fragen, aber man hat sehr schön verstanden, wie das Ganze funktioniert. Das gilt auch für die Partnerschaft mit Asimily, wie die Software gestaltet ist und was die Vorteile und der Business Case dahinter sind. Deswegen von meiner Seite auch schon mal vielen herzlichen Dank, dass ihr heute mit dabei wart. Nun würde ich das letzte Wort gerne an euch übergeben.

Holger

Danke, danke. Also von uns auch natürlich erstmal herzlichen Dank, dass wir da sein durften. Es hat großen Spaß gemacht. Ich glaube, wir haben da was Tolles auf den Weg gebracht. Ich glaube, ihr werdet in den nächsten Monaten noch eine Menge von uns hören.

Arne

Vielen Dank, Madeleine, dass wir hier sein durften.

Vielen Dank euch und noch eine schöne Restwoche. Macht’s gut.

Arne

Dankeschön. Tschüss.

Holger

Dito, danke, tschüss!

Für Rückfragen stehe ich Ihnen gern zur Verfügung.

Questions? Contact Madeleine Mickeleit

Ing. Madeleine Mickeleit

Host & Geschäftsführerin
IoT Use Case Podcast