Studie: IoT-Gefahren erkannt, aber nicht gebannt

Trotz weitverbreiteter Sorgen über die Sicherheit des Internet of Things und mobiler Applikationen sind Unternehmen schlecht auf die entsprechenden Risiken eingestellt. Dies ist das Ergebnis einer Studie, die das Ponemon Institute gemeinsam mit IBM Security und Arxan Technologies durchgeführt hat. Der Report '2017 Study on Mobile and Internet of Things Application Security' zeigt dabei deutliche Diskrepanzen zwischen Bedrohungslage und Schutzmaßnahmen.

IoT- und mobile Applikationen laufen demnach in verteilten und oftmals nicht vertrauensvollen Umgebungen und sind damit ein einfaches Ziel für Hacker. Obwohl mobile Apps bereits seit geraumer Zeit umfangreich eingesetzt werden, schützen die meisten Unternehmen nicht deren Binärcode, was Angriffe deutlich erleichtern soll. Das Internet der Dinge sei hingegen ein neuer Ansatz, der sich in Rekordgeschwindigkeit ausbreite. Zwar seien zahlreiche Komponenten der IoT-Infrastruktur verwundbar, die größte Gefahr gehe jedoch von der eingebetteten Software und der Cloud aus.



Unternehmen tun sich laut der Studie [1] bei der Sicherung des IoTs allerdings schwer: Die Befragten sind etwas besorgter, durch eine IoT-App gehackt zu werden (58 Prozent) als durch eine mobile Applikation (53 Prozent). Aber dennoch adressieren sie diese Bedrohung nicht: 45 Prozent geben an, keine entsprechenden Schritte einzuleiten und 11 Prozent sind sich nicht sicher, ob ihr Unternehmen etwas gegen diese Gefahr unternimmt. Ein Grund: Die Mehrzahl der Befragten (84 Prozent) hält IoT-Software für schwieriger zu schützen als mobile Apps (69 Prozent). Darüber hinaus beklagen 55 Prozent zu geringe Qualitätskontrollen und Test-Prozesse für IoT-Apps.



Nur 30 Prozent halten derweil das zugeteilte Budget zum Schutz ihrer Applikationen für ausreichend. Bei einem ernsthaften Angriff würden die meisten Unternehmen die Aufstockung des Budgets in Betracht ziehen (54 Prozent). Als weitere Gründe für eine Budget-Erweiterung wurden neue gesetzliche Regelungen (46 Prozent) und Medienberichterstattungen über Angriffe bei anderen Unternehmen (25 Prozent) genannt.