Interview mit Zebra-CSO Mike Zachman

Sicher im Internet der Dinge

27. Februar 2020, 07:00 Uhr   |  Von Dr. Wilhelm Greiner.

Sicher im Internet der Dinge

Angesichts zunehmender Akzeptanz von IoT-Einsatzfällen und -Equipment (Internet of Things) in den Unternehmen steigt der Druck, IT-Security, physische Sicherheit und die Absicherung von Supply-Chain-Prozessen zusammenzuführen. LANline sprach über diese Problematik mit Mike Zachman, dem Chief Security Officer (CSO) von Zebra Technologies, einem US-amerikanischen Hersteller von Geräten für die Datenerfassung und -verarbeitung (Barcode-Scanner, RFID-Lesegeräte etc.), wie sie im IoT- und Industrial-IoT-Umfeld verbreitet sind.

LANline: Herr Zachman, wie sorgt Zebra für möglichst konsequente Produktsicherheit?

200227_Zebra_Mike_Zachman
©

"Wir folgen einem risikobasierten Ansatz", sagt Zebra-CSO Mike Zachman. Bild: Zebra Technologies

Mike Zachman: Wir folgen einem risikobasierten Ansatz, ein Risiko-Management-Framework bildet die Grundlage für den Produktlebenszyklus. Das Sammeln der Designanforderungen beinhaltet deshalb ein Risiko-Assessment. Abhängig von dessen Ergebnis integrieren wir die passenden Security-Kontrollmechanismen, zum Beispiel für Ubuntu oder CentOS, Web-Apps, Verbindungen einschließlich der Anbindung an unsere Analytics Engine oder auch API-Kontrollen. Für die Analytics Engine nutzen wir die Google Cloud Platform, hier kommen also noch Kontrollen bezüglich Kubernetes und MongoDB dazu. Die Arbeitsteilung: Wir stellen den Entwicklerteams ein Framework mit Security-Kontrollen bereit, und diese validieren, dass diese Kontrollen funktionieren, etwa mittels statischer Code-Analyse oder dynamischer Scanning-Tools. Die Entwickler müssen einen sauberen Scan vorweisen, bevor der Produktionsprozess weitergehen kann. Je nach Produkt sind auch objektive Penetration-Tests - Blackbox-, Whitebox- oder Greybox-Testing - Teil des Prozesses.

LANline: Die Produktsicherheit von Geräten beginnt immer schon bei der Herstellung der Komponenten. Wie vermeiden Sie Sicherheitslücken in der Supply Chain?

Mike Zachman: Wir stellen auch an unsere Zulieferer vergleichbare Anforderungen, schreiben ihnen aber nicht im Detail vor, wie sie diese umzusetzen haben. Sobald Komponenten bei uns im Hause ankommen, unterziehen wir sie einem Test. Hinzu kommen präventive Maßnahmen wie zum Beispiel rechtliche Vertragsvorgaben. Manche Lieferanten verpflichten wir zum Beispiel, Clean Rooms zu haben, also Werkshallen, in denen ausschließlich Zebra-Bauteile produziert werden. Die Lieferanten unterziehen wir natürlich einer Risikoanalyse, und per Vertrag haben wir das Recht, vor Ort Assessments durchzuführen.

LANline: Ein sicheres Gerät hilft wenig, wenn es unsicher implementiert wird. Was tun Sie, um die Sicherheit Ihrer Geräte auch nach deren Auslieferung sicherzustellen?

Mike Zachman: Unsere Produkte liefern wir betriebsbereit aus. Begleitend stellen wir Best-Practice-Anleitungen bereit, wie Anwender die Geräte am besten absichern können, etwa mittels regelmäßig wechselnder Passwörter. Den Passwortwechsel erzwingen wir aber nicht - die Kunden sollen selbst entscheiden können, welche Sicherheitsmechanismen für sie am besten geeignet sind. Bei Scannern und Druckern beispielsweise müssen Kunden entscheiden, ob sie die voreingestellten Credentials nutzen möchten. Bei unseren Android-basierten Handheld-Geräten nutzen wir Googles Zero-Touch-Installationsansatz. Das Enrollment erfolgt dann in der Regel über das EMM-System des Kunden, somit also mit zentraler Durchsetzung von Richtlinien. Bei den Android-Geräten garantieren wir übrigens mit unserem LifeGuard-Programm Patches bis zu drei Jahre über Googles Support für Consumer-Geräte hinaus. Das ermöglicht Produktlebenszyklen von bis zu zehn Jahren.

LANline: Welche Hilfestellungen geben Sie Ihren Kunden im Hinblick auf eine möglichst sichere Nutzung der Geräte?

Mike Zachman: Den Käufern von Mobilgeräten erläutern wir, welche EMM-Richtlinien für unsere Geräte sinnvoll sind. Im Fall von Druckern wiederum erklären wir, wie man die Angriffsfläche begrenzt, etwa indem man nicht benötigte Services wie Bluetooth deaktiviert und die Geräte nicht direkt dem Internet aussetzt.

LANline: Verwenden Sie dabei auch Software-Assistenten, um den Anwender bei der Einrichtung der Geräte anzuleiten und zu unterstützen?

Mike Zachman: Für unsere Drucker ist ein Printer Security Assessment Wizard verfügbar. Die App analysiert über 30 Druckereinstellungen und gibt den Sicherheitsstatus als Ampelfarbe aus. Zum Beispiel warnt die App, wenn Bluetooth im Dauer-Sendemodus ist, da dies ein Risiko darstellen könnte.

LANline: Greifen Sie für Ihre Sicherheitsmaßnahmen ausschließlich auf interne Ressourcen zurück oder ziehen Sie auch externe Security-Kompetenz hinzu?

Mike Zachman: In der Tat unterhalten wir Beziehungen zu externen Security-Consulting-Firmen, um eine objektive Einschätzung zu erhalten. Zudem es wäre schwierig, ein derart hochspezialisiertes Expertenwissen stets ausschließlich im Hause aktuell zu halten. Des Weiteren kooperieren wir sehr eng mit unseren Zulieferern wie Google oder Qualcomm, um ein möglichst hohes Sicherheitsniveau zu erzielen.

LANline: Das Sicherheitsniveau eines Unternehmens hängt bekanntlich immer auch am sicherheitsbewussten Verhalten der Mitarbeiter. In welchem Maße nutzen Sie Security-Awareness-Programme, um Risiken durch den Faktor Mensch zu minimieren?

Mike Zachman: Menschen sind der beste und zugleich der schlechteste Abwehrmechanismus. Denn man muss das Sicherheitsbewusstsein der Mitarbeiter stets auf dem Laufenden halten. Für unser hausinternes Security-Awareness-Programm nutzen wir deshalb einen Multi-Kanal-Ansatz. Dabei versorgen wir unsere Mitarbeiter rund ums Jahr immer wieder mit Security-relevanten Informationen, wobei die Themen wechseln: mal Passwörter, mal Phishing etc. Unsere Standorte besuchen wir regelmäßig für persönliche Trainings vor Ort. Wir bieten obligatorische Online-Trainings an, zudem gibt es vierteljährliche interne Phishing-Tests. Dabei erfassen wir nicht nur, wie viele Mitarbeiter auf Phishing hereinfallen, sondern messen auch die ?Phishing-Resilienz? der Belegschaft, also wie schnell die Mitarbeiter potenzielle Phishing-Angriffe melden. Solche Programme unterhalten wir weltweit. In Deutschland mussten wir uns zum Thema Awareness-Training zunächst intensiv mit dem Betriebsrat abstimmen. Aber das war ein Aufwand, der sich gelohnt hat.

LANline: Herr Zachman, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Vielfältige Awareness-Trainings für mehr Sicherheit
Security-Trends und -Entwicklungen 2019 - eine erste Bilanz
Volle Kontrolle zwischen Apps und Infrastruktur

Verwandte Artikel

IIoT

IIoT-Security

IoT