ICT & Technik

IT-Sicherheit II

Die Bedrohungen im Internet of Things

Mit dem Internet der Dinge kommen neue Gefahren für die IT-Sicherheit auf die Unternehmen zu. Viele Techniken und Verfahren, mit denen die IT sonst ihre Systeme schützt, sind im Internet der Dinge nicht anwendbar.
PDF Kaufen

Das Internet der Dinge (Internet of Things, IoT) kommt allmählich in Fahrt. Bis zum Jahr 2020 sollen 50 Milliarden Objekte am Netz hängen, und der Umsatz in diesem Bereich soll dann, einer Schätzung von Gartner zufolge, bei 300 Milliarden US-Dollar liegen. Sensoren und Aktoren werden immer kleiner und billiger, und sie finden heute fast überall eine Verbindung zum Netz, was zu einer Flut von Anwendungsszenarien führt. Beispiele aus dem Smart-Home-Bereich sind oft diskutiert: der vernetzte Kühlschrank, die autonome Heizungsanlage oder die selbsttätige Jalousie. Solche Privatanwendungen bilden die Möglichkeiten zwar sehr anschaulich ab, stellen aber doch nur einen kleinen Ausschnitt dar.

Der eigentliche Einsatzbereich von IoT sind die gewerblichen Anwendungen, etwa in Produktion oder Logistik, wenn – wie im Konzept der Industrie 4.0 – einzelne Werkstücke mit Maschinen kommunizieren, Anlagen autonom Betriebs- und Wartungszustände analysieren und Lieferketten je nach Verkehrsfluss automatisch optimiert werden; im Handel, wenn Warenautomaten oder Regaletiketten automatisch Nachschub bestellen; in der Landwirtschaft, wenn Sensoren den Zustand des Bodens erfassen und autonom Bewässerungsanlagen steuern; im Gesundheitswesen, wenn Patienten mit entsprechenden Sensoren aus der Ferne betreut werden.

Grosse Sicherheitslücken

Die bunte Wunderwelt des Internets der Dinge hat allerdings auch eine Schattenseite. Das IoT ist alles andere als sicher. Die Protagonisten der IoT-Revolution haben sich bisher mehr mit Anwendungsmöglichkeiten beschäftigt, und den Unternehmen ist primär daran gelegen, möglichst schnell marktfähige Produkte zu präsentieren. Die Sicherheit des Internets der Dinge wird dagegen generell eher stiefmütterlich hehandelt.

Dabei ist die Bedrohung gewaltig. Es geht ja nicht nur darum, dass ein manipulierter autonomer Kühlschrank Bier statt Milch bestellt – haben ihn Angreifer einmal gekapert, dann könnten sie über seine integrierte Zahlungsfunktion zum Beispiel auch Finanztransaktionen vornehmen. Im gewerblichen Bereich könnten Mitbewerber die Betriebsdaten au­tonomer Anlagen auslesen oder sogar bestimmte Betriebszustände bewusst herbeiführen. Der Computerwurm Stuxnet hat vor einigen Jahren eindrucksvoll gezeigt, wie tief Angreifer in ein industrielles System eingreifen können, wie gross der dabei angerichtete Schaden sein kann – und wie hilflos letztlich die Angegriffenen einer derartigen Aktion gegenüberstehen.

Bewährtes oft unbrauchbar

Dabei sind viele Sicherheitsverfahren, die die IT in den Jahrzehnten der Auseinandersetzung mit Cyberkriminalität entwickelt hat, in der Welt des IoT nicht oder nur mit grossen Einschränkungen anwendbar. So lässt sich schon mal die «Air Gap», also die physische Abkopplung kritischer Systeme von der Kommunikation mit anderen, nicht realisieren. Das Internet der Dinge heisst ja nicht umsonst Internet der Dinge.

Auch das Einspielen von Patches und Updates, das PC-Systeme vor aktuellen Bedrohungen schützt, lässt sich beispielsweise bei einem in einem Aufzug oder in einem Windrad verbauten Sensor nicht so ohne Weiteres durchführen. Auch der beliebte weil simple Neustart, der auf dem PC so manches Problem ausräumt, ist hier nicht möglich. Viele dieser Komponenten sind betriebsbedingt in ihrer Speicherkapazität oder Rechenleistung beschränkt und könnten mit einem Viren- Scanner schon rein technisch nicht viel anfangen. Die IT muss sich einer unan­genehmen Wahrheit stellen. Bewährte Techniken wie Firewalls, VPNs oder Verschlüsselung sind ebenso wie Verfahren zur Identifikation und Authentifizierung nicht ohne Weiteres auf die IoT-Welt übertragbar. IoT-spezifische Techniken und Verfahren, mit denen sich beispielsweise Objekte auch untereinander (Maschine-zu-Maschine-Kommunikation) identifizieren oder auch Manipulationen erkennen können, sind nicht oder nur rudimentär verfügbar.

Das nachträgliche Sichern von IoT-Systemen, etwa nach dem Motto: Zuerst bringen wir das IoT zum Laufen und dann machen wir es sicher, wäre aber der falsche Ansatz. Zum einen haben die industriellen Systeme eine viel längere Einsatzzeit als IT-Systeme, und zum anderen wäre damit vor allem sichergestellt, dass die Gegenseite von Anfang an immer drei Schritte voraus ist. An «Security by Design» führt daher kein Weg vorbei: Alle Komponenten im IoT müssen von Anbeginn auf höchste Sicherheit hin konstruiert werden.

Sicherheitsmassnahmen

Darüber hinaus können Unternehmen ihre IoT-Umgebungen durch folgende Massnahmen sicherer machen:

  • Assessment: Alle IoT-Geräte, die auf IT-Systeme zugreifen können, müssen genau untersucht werden; es muss bekannt sein, was sie tun, welche Daten sie sammeln und kommunizieren, wohin diese Daten gehen, wo mögliche Schwachstellen oder auch welche Zertifizierungen vorhanden oder nötig sind;
  • Audit: Für all diese Aspekte ist ein regelmässiges Auditing durchzuführen, so dass auch alle Änderungen laufend geprüft und wissentlich oder unwissentlich hinzugefügte oder entfernte Systeme berücksichtigt werden;
  • Abschottung: Bezüglich IoT-Systemen empfiehlt sich eine Politik des Misstrauens; Anwender sollten sicherstellen, dass das IoT in separaten Netzwerksegmenten oder Virtual Local Area Networks (VLAN) stattfindet, so dass sie möglichst wenig Durchgriff auf unternehmenskritische Daten haben;
  • Bildung: Das IoT wird sich weiter ausbreiten und in immer neue Bereiche vordringen: Daher ist es von entscheidender Bedeutung, dass Sicherheits- und Netzwerk-Teams hinsichtlich Geräten, Standards und Problemen auf dem neuesten Stand der Technik sind. Die Teams müssen die Schwachstellen der Geräte zumindest kennen;
  • Wachsamkeit: Das IoT ermöglicht neue Angriffsmuster. Ein Unternehmen sollte Daten absichern und verschlüsseln, wo immer diese gespeichert sind. Nötig ist ein ganzheitlicher Sicherheitsansatz, der Aspekte wie Endpunktsicherheit, Netzwerksicherheit, Identity und Access Management sowie mobile Sicherheit abdeckt. Unternehmen sollten dabei ebenfalls im Auge behalten, welche Daten von den Geräte­herstel­lern gesammelt werden.

Bei allen Massnahmen sollten sich Unternehmen aber auch bewusst sein, dass in der modernen IT ein vollständiger Schutz eine Illusion ist. Das gilt erst recht für das IoT. Natürlich ist das kein Freibrief fürs Nichtstun, im Gegenteil: Keine einzelne Massnahme wird ausreichend sein. Anwender sollten daher pragmatisch vorgehen und beispielsweise immer mehrere Verteidigungslinien vorbereiten.