Warum IoT-Vorfälle verheerender sind als klassische IT-Attacken

Tom Ernst Tom Ernst,   Check Point Software Technologies GmbH Check Point Software Technologies GmbH   |
  • Einsteiger
Internet of Threats OT/IoT-Router OT- und IoT-Bedrohungen Vernetzte Geräte IoT Netzwerk Computer Smartphone Tablet Kritische Infrastrukturen IoT

Warum IoT-Vorfälle verheerender sind als klassische IT-Attacken

Da die weltweite Akzeptanz von IoT-Technologien zunimmt, rücken auch die damit verbundenen Risiken und Schwachstellen stärker in den öffentlichen Fokus. Klassische IT-Vorfälle und IoT-Vorfälle unterscheiden sich jedoch nicht nur in den Prozessen, die sie beeinträchtigen, sondern auch bezüglich der Kosten, denn solche Vorfälle verursachen häufig übersehene Beeinträchtigungen des Geschäftsbetriebes.

Je nach Sektor können sie zahlreiche versteckte finanzielle Auswirkungen mit sich bringen. Das Problem hier: Im Gegensatz zu herkömmlichen IT-Systemen, bei deren Entwicklung ein besonderer Schwerpunkt auf Sicherheit und Ausfallsicherheit gelegt wird, steht bei vielen IoT-Geräten die Funktionalität im Vordergrund, während die Sicherheit ab Werk meist vernachlässigt wird.

IoT-Gefahren

IBM schätzt, dass die durchschnittlichen Kosten einer Datensicherheitsverletzung bei etwa 4,88 Millionen US-Dollar (4,62 Millionen Euro) liegen, wobei die primären Kostenfaktoren berücksichtigt werden. Die herkömmliche IT-Infrastruktur ist jedoch in der Regel einfacher zu sichern, da Standard-Sicherheitslösungen und etablierte Compliance-Frameworks vorhanden sind. In Deutschland liegen die durchschnittlichen Kosten pro Datenpanne bei etwa 3,7 Millionen US-Dollar (3,51 Millionen Euro).

Die finanziellen Auswirkungen nur einer IoT-Attacke werden auf 195 428 US-Dollar (185 000 Euro) geschätzt. Die größten Kostenverursacher sind die Komplexität des Sicherheitssystems, der Mangel an Sicherheitsfähigkeiten und die Vernachlässigung von Vorschriften. Besonders betroffen ist der Gesundheitssektor, der mit durchschnittlichen Kosten von 10,1 Millionen US-Dollar pro Datenpanne die höchsten Verluste verzeichnet. Daher ergibt sich folgender Lagebericht: Die Kosten herkömmlicher IT-Vorfälle wie Datenschutzverletzungen, Denial-of-Service-Angriffe und Ransomware, sind gut dokumentiert:

  • Direkte finanzielle Verluste: Unmittelbare finanzielle Auswirkungen, wie Lösegeldzahlungen oder Umsatzverluste durch Ausfallzeiten oder Unterbrechungen von Diensten.
  • Bußgelder und Anwaltskosten: Aufsichtsbehörden verhängen Bußgelder und häufig fallen Anwaltskosten an, wenn es um IT-Attacken geht.
  • Betriebsunterbrechungen: Unternehmen sehen sich mit Unterbrechungen der Arbeitsabläufe, sinkender Produktivität und Auswirkungen auf die Rentabilität konfrontiert.
  • Kosten für die Reaktion auf Vorfälle und die Wiederherstellung: Die Kosten für die technische Wiederherstellung, die Behebung, Überstunden der Mitarbeiter und forensische Analysen summieren sich.

Kostentreiber bei Vorfällen

IoT-Vorfälle bringen dagegen zusätzliche Kosten mit sich, auf die Unternehmen oft nicht vorbereitet sind:

  • Breite Angriffsfläche: Die verteilte und vernetzte Natur von solchen Geräten erhöht die Angriffsfläche und die Anzahl potenzieller Zugangspunkte für Angreifer, was zu großflächigeren Vorfällen führt, die das gesamte IoT- und IT-Ökosystem beeinträchtigen können.
  • Begrenzte Kontrolle und veraltete IoT-Geräte: Viele Unternehmen setzen veraltete IoT-Geräte ein, die keine robusten Sicherheitsfunktionen aufweisen. Diese Geräte arbeiten oft mit veralteter Software, die bekannte Schwachstellen aufweist, wodurch sie leicht ausgenutzt werden können. Die eingeschränkte Kontrolle über diese Geräte erschwert die Sicherheitsbemühungen und erfordert erhebliche Ressourcen für Upgrades oder Neuanschaffungen.
  • Physische Auswirkungen und Sicherheitsrisiken: Solche Vorfälle können konkrete physische Auswirkungen haben, insbesondere in kritischen Sektoren, wie dem Gesundheitswesen, dem industriellen IoT und der vernetzten Fahrzeuge (Internet of Vehicles, IoV). Eine Sicherheitsverletzung könnte die Funktionalität lebensrettender medizinischer Geräte oder autonomer Fahrzeuge beeinträchtigen und damit Leben gefährden. Solche Vorfälle können zu kostspieligen Rückrufaktionen, rechtlichen Verpflichtungen und Rufschädigung führen.
  • Komplexe Reaktion auf Vorfälle und Forensik: Die Reaktion auf derartige Vorfälle erfordert spezielle Kenntnisse und Tools, da herkömmliche Frameworks für die Reaktion auf Vorfälle möglicherweise nicht ausreichend auf die speziellen Herausforderungen von IoT-Ökosystemen ausgerichtet sind. Diese Komplexität kann zu längeren Ausfallzeiten, höheren Kosten für das Schwachstellen-Management und Schwierigkeiten bei forensischen Untersuchungen führen.
  • Lieferketten- und Betriebskosten: IoT-Geräte sind oft in komplexe Lieferketten und kritische Infrastruktursysteme (KRITIS) eingebettet. Ein Sicherheitsverstoß in diesen Umgebungen kann kostspielige Störungen verursachen, die nicht nur das betroffene Unternehmen, sondern auch seine Partner und Kunden betreffen. Der Domino-Effekt solcher Vorfälle kann zu erheblichen finanziellen Verlusten und betrieblicher Ineffizienz führen.
  • Einhaltung von Vorschriften und Haftungsrisiken: Regulatorische Rahmenbedingungen – wie der Cyber Resilience Act (CRA) der EU zur Stärkung der Widerstandsfähigkeit gegen Cyber-Angriffe – schreiben strenge Compliance-Anforderungen für die IoT-Sicherheit vor. Organisationen, die diese Vorschriften nicht einhalten, müssen mit erheblichen Bußgeldern und rechtlichen Sanktionen rechnen. Die Kosten für die Einhaltung der Vorschriften können erheblich sein, insbesondere für Organisationen mit umfangreichen IoT-Implementierungen. In Anhang I (und in den mit Artikel 10 und 11 festgelegten Verpflichtungen) werden Verwaltungsstrafen bis zu 15 Millionen Euro oder, wenn es sich bei dem Zuwiderhandelnden um ein Unternehmen handelt, bis zu 2,5 Prozent des gesamten weltweiten Jahresumsatzes verhängt
  • Datenschutzrisiken: Da IoT-Geräte häufig mit personenbezogenen oder sensiblen Daten umgehen, verursacht jede Attacke hohe Kosten in Zusammenhang mit dem Datenschutz, die durch Gesetze wie die DSGVO noch verstärkt werden. Der Rufschaden durch einen Datenschutzvorfall kann auch das Vertrauen und die Loyalität der Kunden schmälern.
  • Niedrige Erkennungsraten und Sensibilität: Viele Organisationen haben mit niedrigen Erkennungsraten von solchen Bedrohungen zu kämpfen, was häufig auf eine unzureichende Überwachung und Sichtbarkeit der IoT-Umgebungen zurückzuführen ist.
  • Komplexe Lieferketten und unbekannte Firmware-Risiken: Die Komplexität der IoT-Lieferketten bringt unbekannte Risiken in Zusammenhang mit Firmware-Schwachstellen mit sich. Unternehmen haben möglicherweise keinen Einblick in die Sicherheit von Komponenten ihrer Zulieferer und sind daher anfällig für Angriffe, die diese Schwachstellen ausnutzen.

Jeder dieser Faktoren führt zu einer Reihe von Kosten, die bei klassischen IT-Vorfällen nicht zwingend anfallen müssen. Sie sind somit für viele Unternehmer noch Neuland.

Kostendifferenz von IoT- und IT-Vorfällen

Um die Kostendifferenz zwischen IoT- und IT-Vorfällen zu bewerten, müssen Vorfälle in Branchen untersucht werden, in denen beide Arten von Vorfällen häufig auftreten. Beispielsweise das Gesundheitswesen und die Fertigungsindustrie, die beide stark auf IoT- und IT-Infrastrukturen angewiesen sind.

  • Gesundheitswesen: Ein Ransomware-Angriff auf ein IT-System kann Patientendaten gefährden und zu Verzögerungen führen. Wenn jedoch eine auf dem IoT basierende Infusionspumpe oder ein MRT-Gerät kompromittiert wird, entstehen Kosten durch Betriebsunterbrechungen, Sachschäden an Geräten und potenziell auch Gesundheitsschäden der Patienten. Die American Hospital Association (AHA) schätzt, dass derartige Vorfälle im Gesundheitswesen aufgrund ihrer direkten Auswirkungen auf die Patientensicherheit 25 bis 50 Prozent mehr kosten können als ähnliche IT-Vorfälle.
  • Fertigungsindustrie: IT-Vorfälle in der Fertigungsindustrie führen in der Regel zu Netzwerkstörungen oder zum Diebstahl von geistigem Eigentum. IoT-Vorfälle können Produktionslinien zum Stillstand bringen und Produktivitätsverluste in Millionenhöhe verursachen. Laut einer Studie von orangematter belaufen sich die durchschnittlichen Kosten für Ausfallzeiten pro Minute bei kleinen Unternehmen auf 427 US-Dollar (405 Euro) und bei größeren Unternehmen auf 9 000 US-Dollar (8504 Euro). In Stunden umgerechnet, kostet eine einzige Stunde Ausfallzeit kleine Unternehmen etwa 25 620 US-Dollar (24 208 Euro) und Industrieunternehmen mehr als eine halbe Million, nämlich 540 000 US-Dollar (510 246 Euro).

Die Daten deuten durchweg darauf hin, dass IoT-Vorfälle etwa 30 bis 50 Prozent höhere Kosten verursachen als herkömmliche IT-Vorfälle, was hauptsächlich auf die sich verstärkenden physischen und betrieblichen Faktoren zurückzuführen ist.

Unterschiedliche Sicherheits-Maßnahmen

Im Gegensatz zu IT-Vorfällen erfordern IoT-Vorfälle spezifische Strategien zur Risiko-Abschwächung:

  • Verbesserte Überwachung und Bedrohungserkennung: Durch den Einsatz von KI-gestützten Überwachungstools können ungewöhnliche Verhaltensmuster in IoT-Netzwerken identifiziert und die Reaktionszeiten bei Vorfällen minimiert werden.
  • Regelmäßige Patches und Firmware-Updates: Aufgrund der begrenzten Sicherheitsmaßnahmen von IoT-Geräten werden durch regelmäßige Patches die Schwachstellen reduziert.
  • Implementierung eines strengen Sicherheitsmodells: Ein Zero-Tolerance-Ansatz beschränkt den Netzwerkzugriff von IoT-Geräten und verhindert die Ausbreitung, wenn ein Gerät infiltriert wird.
  • Zero-Day-Gerätesicherheit: Sicherung aller Geräte vor und während der gesamten Nutzungsdauer.

Jede Strategie zur Abwehr von Gefahren kann Kosten verursachen, gleichzeitig aber auch die finanziellen Auswirkungen eines IoT-Vorfalls deutlich reduzieren. Dennoch stehen 97 Prozent der Unternehmen vor Herausforderungen bei der Sicherung ihrer IoT-Geräte und ihrer vernetzten Produkte, und 89 Prozent geben an, dass ihre IoT-Produkte in den letzten zwölf Monaten Cyber-Angriffen ausgesetzt waren.

Fazit: wachsende Bedeutung der Sicherheit

IoT-Vorfälle werden oft unterschätzt, können jedoch deutlich höhere Kosten verursachen als klassische IT-Verstöße. Wegen der betrieblichen und physischen Gefahren, die von ihnen ausgehen, der Vernetzung von kritischen Sektoren und des Risikos behördlicher Sanktionen sowie langfristiger Reputationsschäden wiegen diese Vorfälle schwerer. Da die Verbreitung der IoT-Geräte aber zunimmt, müssen Unternehmen ihre Ausgaben für Cyber-Sicherheit und ihr Risiko-Management neu ausrichten. Investitionen in IoT-spezifische Sicherheitsmaßnahmen, wie spezialisierte Bedrohungserkennung, Patching und eine Zero-Trust-Architektur, können helfen, diese Kosten zu mindern. Das Verständnis und die Bewältigung des gesamten Umfangs der Risiken ist somit eine finanzielle Notwendigkeit.

Autoren

Zurück zu allen Artikeln

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content