Bewährtes oft unbrauchbar
Dabei sind viele Sicherheitsverfahren, die die IT in den Jahrzehnten der Auseinandersetzung mit Cyberkriminalität entwickelt hat, in der Welt des IoT nicht oder nur mit grossen Einschränkungen anwendbar. So lässt sich schon mal die «Air Gap», also die physische Abkopplung kritischer Systeme von der Kommunikation mit anderen, nicht realisieren. Das Internet der Dinge heisst ja nicht umsonst Internet der Dinge.
Auch das Einspielen von Patches und Updates, das PC-Systeme vor aktuellen Bedrohungen schützt, lässt sich beispielsweise bei einem in einem Aufzug oder in einem Windrad verbauten Sensor nicht so ohne Weiteres durchführen. Auch der beliebte weil simple Neustart, der auf dem PC so manches Problem ausräumt, ist hier nicht möglich. Viele dieser Komponenten sind betriebsbedingt in ihrer Speicherkapazität oder Rechenleistung beschränkt und könnten mit einem Viren- Scanner schon rein technisch nicht viel anfangen. Die IT muss sich einer unangenehmen Wahrheit stellen. Bewährte Techniken wie Firewalls, VPNs oder Verschlüsselung sind ebenso wie Verfahren zur Identifikation und Authentifizierung nicht ohne Weiteres auf die IoT-Welt übertragbar. IoT-spezifische Techniken und Verfahren, mit denen sich beispielsweise Objekte auch untereinander (Maschine-zu-Maschine-Kommunikation) identifizieren oder auch Manipulationen erkennen können, sind nicht oder nur rudimentär verfügbar.
Das nachträgliche Sichern von IoT-Systemen, etwa nach dem Motto: Zuerst bringen wir das IoT zum Laufen und dann machen wir es sicher, wäre aber der falsche Ansatz. Zum einen haben die industriellen Systeme eine viel längere Einsatzzeit als IT-Systeme, und zum anderen wäre damit vor allem sichergestellt, dass die Gegenseite von Anfang an immer drei Schritte voraus ist. An «Security by Design» führt daher kein Weg vorbei: Alle Komponenten im IoT müssen von Anbeginn auf höchste Sicherheit hin konstruiert werden.
Sicherheitsmassnahmen
Darüber hinaus können Unternehmen ihre IoT-Umgebungen durch folgende Massnahmen sicherer machen:
- Assessment: Alle IoT-Geräte, die auf IT-Systeme zugreifen können, müssen genau untersucht werden; es muss bekannt sein, was sie tun, welche Daten sie sammeln und kommunizieren, wohin diese Daten gehen, wo mögliche Schwachstellen oder auch welche Zertifizierungen vorhanden oder nötig sind;
- Audit: Für all diese Aspekte ist ein regelmässiges Auditing durchzuführen, so dass auch alle Änderungen laufend geprüft und wissentlich oder unwissentlich hinzugefügte oder entfernte Systeme berücksichtigt werden;
- Abschottung: Bezüglich IoT-Systemen empfiehlt sich eine Politik des Misstrauens; Anwender sollten sicherstellen, dass das IoT in separaten Netzwerksegmenten oder Virtual Local Area Networks (VLAN) stattfindet, so dass sie möglichst wenig Durchgriff auf unternehmenskritische Daten haben;
- Bildung: Das IoT wird sich weiter ausbreiten und in immer neue Bereiche vordringen: Daher ist es von entscheidender Bedeutung, dass Sicherheits- und Netzwerk-Teams hinsichtlich Geräten, Standards und Problemen auf dem neuesten Stand der Technik sind. Die Teams müssen die Schwachstellen der Geräte zumindest kennen;
- Wachsamkeit: Das IoT ermöglicht neue Angriffsmuster. Ein Unternehmen sollte Daten absichern und verschlüsseln, wo immer diese gespeichert sind. Nötig ist ein ganzheitlicher Sicherheitsansatz, der Aspekte wie Endpunktsicherheit, Netzwerksicherheit, Identity und Access Management sowie mobile Sicherheit abdeckt. Unternehmen sollten dabei ebenfalls im Auge behalten, welche Daten von den Geräteherstellern gesammelt werden.
Bei allen Massnahmen sollten sich Unternehmen aber auch bewusst sein, dass in der modernen IT ein vollständiger Schutz eine Illusion ist. Das gilt erst recht für das IoT. Natürlich ist das kein Freibrief fürs Nichtstun, im Gegenteil: Keine einzelne Massnahme wird ausreichend sein. Anwender sollten daher pragmatisch vorgehen und beispielsweise immer mehrere Verteidigungslinien vorbereiten.