Das Internet of Things ist ein gutes Beispiel dafür, wie der Wunsch nach schnellen Markterfolgen immer wieder die Augen vor potenziellen Risiken verschließen lässt.

Viele Hersteller setzen zurecht auf das IoT als Zukunftsträger. Die Lieferanten von IoT-Komponenten übertreffen sich gegenseitig mit Ankündigungen von neuen Features und Vorteilen. Wie so oft werden Innovationszyklen immer kürzer. Ein Ergebnis aus diesem Hype ist, dass Funktionen, die im versteckten Hintergrund der Komponenten stecken, also nicht so plakativ sichtbar – und somit vermarktbar – sind, eine geringere Aufmerksamkeit erfahren. Security ist so ein Thema – komplex, aufwendig und niemand will etwas dafür extra bezahlen.

Aber Sorglosigkeit wird bestraft. Es ist nicht die Frage, ob jemand in eine unsichere Industrieanlage eindringen kann, sondern nur wann das geschehen wird. Der dann entstehende Schaden kann immens sein! Weit über jenen Kosten einer frühzeitigen Sicherheitslösung.

packman

Es ist wie so oft im geschäftlichen Leben. Die Technologien sind da, können eingesetzt werden. Wo es aber mangelt ist das Bewusstsein der Verantwortlichen. Wenn ein Einbrecher einen Safe entwendet, ist das ein Schaden den jeder begreift. Man investiert also in eine teure Alarmanlage. Wenn ein Hacker in die Steuerung der Infrastruktur eindringt und dort etwas zerstört, dann kann er damit durchaus einen viel höheren Schaden anrichten. Aber diese virtuelle Gefahr ist nicht greifbar. Also wird sie oft verdrängt, beiseite geschoben, ignoriert. Das ermöglicht ein Schadenspotenzial, dem man in erster Linie durch Bewusstseinsbildung entgegen wirken muss. Security gehört fest in die Kultur und Prozesse einer Organisation verankert. Egal ob es sich um ein Industrieunternehmen, ein Krankenhaus, eine Baumaschine oder Kraftwerk handelt.

Nicht nur die Betreiber von Infrastrukturen sind gefordert. Es liegt auch bei den Zulieferern von Systemen und (Teil)Komponenten, hier aktiv zu werden. Denn sie sind es, welche jene Steuerungen, Sensoren oder Aktuatoren liefern, die Ziele von Angriffen sein können. Je kleiner diese Teile werden – was beim IoT ja Ziel ist – desto höher integriert werden die Schaltkreise und umso mobiler werden die Anwendungen. In diesen „Kleinzellen“ werden direkte Anbindungen an das Internet realisiert. Sei es über GSM oder WLAN. Man kann sich also nicht (mehr) darauf verlassen, dass irgendwo eine Firewall alle Angriffe abwendet, man befindet sich vielmehr direkt in der angreifbaren Zone. Jede Steuerung ist gefordert, ein Sicherheitskonzept zu verfolgen und ihre eigene Firewall zu implementieren.

Eine weitere Baustelle bei der Sicherheit des IoT tut sich zunehmend auf. Es werden nämlich immer mehr ältere Systeme durch Gateways and das Internet angebunden. Systeme, die einen Lebenszyklus von 20 Jahren und mehr haben, finden sich plötzlich in einer Welt wo Innovationszyklen in Monaten gerechnet werden. Es ist klar, dass ältere Komponenten den Sicherheitsanforderungen unserer Gegenwart nicht gewachsen sind. Sie stammen oft noch aus einer Zeit wo es kein Internet gab. Umso wichtiger ist an diesen Stellen, dass Gateways, Router und Modems auf die damit einher gehenden Schwachstellen Rücksicht nehmen (müssen).

Würde es einem IT-Verantwortlichen einfallen, die PCs seines Unternehmens niemals mit Security-Updates zu patchen? Bei Industrieanlagen ist genau das die Regel, nicht die Ausnahme. Einmal installiert und 20 Jahre keine Updates…

Aktualisierung vom 17.11.2016

Das US-Ministerium für Heimatschutz (DHS) hat strategische Empfehlungen für die Absicherung von Geräten und Software für das Internet of Thingsherausgegeben. In dem Dokument wird das Ausmaß der Gefahr unterstrichen, es enthält zudem Empfehlungen in sechs Bereichen.

Die sechs Grundregeln laut DHS sind:

  • IT-Sicherheit schon in der Designphase berücksichtigen
    Das gilt sowohl für Software als auch Hardware. Eines der Beispiele sind schwer zu erratende, individuelle Passwörter in ausgelieferten Geräten.
  • Aktive Förderung von Sicherheitsupdates und des Managements von Sicherheitslücken
    Dazu gehört auch ein Plan für das Lebensende des Produkts, der Herstellern und Verbrauchern vermittelt wird.
  • Aufbau auf bewährte Sicherheitsregeln
    Die meisten Prinzipien der IT- und Netzwerksicherheit gelten auch für IoT.
  • Prioritätensetzung orientiert am möglichen Schadensausmaß
    Entwickler und Hersteller sollten das Einsatzgebiet ihres Produkts kennen, die Kunden sollten alle Geräte in ihrem Netz kennen und authentifizieren.
  • Transparenz
    Die Lieferkette aller Produktteile zu kennen, eine komplette Liste der installierten Software herauszugeben und ein Verfahren zur Mitteilung von Sicherheitslücken anzubieten gehört zum guten Ton.
  • Bewusst und mit Bedacht vernetzen
    Andauernd eine Internetverbindung offen zu halten ist oft unnötig. Anbieter sollten ihre Kunden offen legen, welche Übertragungen welchem Zweck dienen.
Tagged on:                                     

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.