IT-Sicherheit für den Mittelstand 2017

IoT und Industrie 4.0 torpedieren die IT-Sicherheit

| Autor / Redakteur: Stefan Mutschler / Peter Schmitz

Nicht nur bisher isoliert betriebene Maschinen und Roboter bekommen nun eine intelligente Steuerung via Internet, sondern auch Dinge des täglichen Gebrauchs.
Nicht nur bisher isoliert betriebene Maschinen und Roboter bekommen nun eine intelligente Steuerung via Internet, sondern auch Dinge des täglichen Gebrauchs. (© red150770 - stock.adobe.com)

Mit dem Internet der Dinge (IoT) und der vielbeschworenen Industrie 4.0 drängen Geräte ins Firmennetz, bei denen Security Fehlanzeige ist. Entweder, weil bei deren Entwicklung noch niemand an eine ständige Internetverbindung gedacht hat, oder — im Falle von IoT-Devices — weil deren Implementierung dem Hersteller schlicht zu teuer war. Damit ist auch der Mittelstand gezwungen, vorhandene Security-Architekturen zu überdenken.

Noch vor wenigen Jahren war das Internet der Dinge nichts als die Vision einiger technologischer Vordenker. Einschlägige Veranstaltungen, in Deutschland beispielsweise die CeBIT und die Hannover Messe Industrie, machen aber spätestens seit diesem Jahr deutlich: das IoT kommt schnell und gewaltig.

In allen Lebenslagen versprechen das Internet der Dinge und die Industrie 4.0 massive Verbesserungen, im privaten und auch industriellen Umfeld, beispielsweise die komplett automatisierte Fertigung individuell gestalteter Produkte. Beim neuen Auto konfiguriert der Kunde sein Wunschmodell per Webinterface, einige Wochen später läuft es ohne manuelle Eingriffe genauso vom Band. Ähnlich bei Maßanzügen und vielen anderen Produkten.

Security am IoT-Gerät: Fehlanzeige

Ein Schlüsselproblem mit IoT aus der Sicht der IT Sicherheit liegt in der extremen Vielfalt: Nicht nur bisher isoliert betriebene Maschinen und Roboter bekommen nun eine intelligente Steuerung via Internet, sondern auch Dinge des täglichen Gebrauchs aus Büro und Haushalt, des Straßenverkehrs, der Überwachungssysteme etc. – im Grunde alles, was sich elektrisch betreiben lässt. Allen Dingen gemein ist, dass der permanente Internetanschluss bei ihrer Entwicklung noch kein Thema war. Damit gab es auch keinen Grund, ihnen Schutzmechanismen gegen Angriffe aus dem Internet mitzugeben – nicht einmal rudimentär. Dieser Sachverhalt wurde auch kürzlich von der European Union Agency for Network and Information Security (ENISA) festgestellt, die daraufhin mit den europäischen Halbleiterfabrikanten Infineon, NXP und STMicroelectronics ein gemeinsames Positionspapier ausgearbeitet hat. Darin geht es unter anderem um grundlegende Anforderungen an Sicherheit und Datenschutz in IoT-Geräten vor dem Hintergrund geltender EU-Standards und -Richtlinien.

Updates oft nicht möglich

Im Produktionsumfeld haben die Herausforderungen in Sachen IT Sicherheit im IoT ihr ganz eigenes Gesicht. Anders als ein Kühlschrank oder eine Lichtinstallation werden Maschinen für die Fertigung seit langem durch Software gesteuert. Die Einrichtung und Abstimmung mit der Maschine ist ein sehr komplizierter Prozess. Sobald das System ordnungsgemäß läuft, wird es in der Regel von niemandem mehr verändert. Dafür gab es bisher auch keine Notwendigkeit denn es handelte sich um ein geschlossenes System ohne Anbindung nach außen. Aus diesem Grund findet man bei solchen Maschinen oft sehr alte Betriebssysteme und Softwaresteuerungen, die seit einem Jahrzehnt oder noch deutlich länger ihren Dienst tun. Werden diese nun mit dem Internet verbunden, sind sie sofort allen von dort drohenden Gefahren ausgeliefert - ohne den geringsten Schutz. Und da sie auch noch mit der IT verbunden sind, geben sie ein hervorragendes Einfallstor auch für Angriffe dorthin ab. Es bleibt also nichts anderes übrig, als auch bei den Maschinen moderne Software einzusetzen, die regelmäßig aktualisiert wird.

Genau das führt aber zum nächsten gravierenden Problem: auch heute müssen die Installationen noch sehr fein mit der Maschine abgestimmt werden. Daher führt ein Update von Betriebssystem, Steuerungssoftware und Malware-Schutz mit sehr großer Wahrscheinlichkeit zum vorübergehenden Stillstand der Maschine. Nach jedem Update einer der drei genannten Softwarekomponenten muss das System also wieder neu eingestellt werden. Und die Ausfallzeiten sind in keiner Weise kalkulierbar. Gerade einem Mittelständler kann das leicht das Genick brechen.

Vor der voreiligen Einführung einer IoT Installation an vorhandenen Maschinen muss also dringend gewarnt werden. Eine nachhaltige Lösung des Problems ist nur realisierbar, wenn die IT Komponenten einer Maschine speziell für den Einsatz im IoT designed und entwickelt werden. Wie das genau auszusehen hat, darüber gibt es noch keine verbindliche Richtlinie. Als wahrscheinlich gilt, dass Betriebssysteme für IoT-Geräte auf genau das Notwendige reduziert (gehärtet), und dass für die Zugangskontrolle Hardware-Chips eingesetzt werden. Das dürfte auch die Abstimmung mit der Maschine deutlich vereinfachen, ein Update würde also nicht mehr mit hoher Wahrscheinlichkeit zum vorübergehenden Stillstand der Maschine führen.

Security aus dem Netzwerk

Das IoT strebt nach ubiquitärer Präsenz - das bedeutet, auch in Unternehmen werden Produktionsmaschinen nicht die einzige Begegnung mit vernetzten Dingen bleiben. Schon heute sind beispielsweise oft Teile der Haustechnik wie Heizung, Rollos, Licht etc. über das Internet steuerbar. Künftig kommen eben noch Drucker und Kopierer sowie – nicht zu vergessen – diverse Geräte aus der Küche und möglicherweise privat mitgebrachte Gadgets hinzu. Die Bemühungen der ENISA für IoT-Geräte der Zukunft in allen Ehren, im Moment aber haben mindestens 90 Prozent aller IoT-Geräte nicht einmal theoretisch die Möglichkeit, dort irgendwelche Security Agenten aufzuspielen. Deswegen gibt es in der IT inzwischen auch einen völlig neuen Ansatz, der ohne Security-Komponenten am Endpoint auskommt.

Dabei geht es darum, Security aus dem Netzwerk heraus zur Verfügung zu stellen. Die Idee: Alles, was mit einer IP-Adresse sendet, lässt sich über ein geeignetes IT-Monitoring sichtbar machen. Und wenn es sichtbar ist, lässt es sich mit geeigneten Tools identifizieren, klassifizieren, kontrollieren und steuern. Das ist zumindest der Grundgedanke. Entsprechende Lösungen sind noch rar, dürften aber mit zunehmender Verbreitung des IoT schnell weitere Unterstützer finden. Das Problem mit den Ausfällen bei der Maschinensteuerung lässt sich damit freilich nicht lösen, aber immerhin lässt sich mit hoher Wahrscheinlichkeit verhindern, dass Angreifer über Maschinen und andere IoT-Geräte im IT-Netz Schaden anrichten oder, ebenfalls eine große Gefahr im Zusammenhang mit dem IoT, für mächtige Bot-Netze missbraucht werden.

Dieser Beitrag stammt aus dem Kompendium „IT-Sicherheit für den Mittelstand 2017“ von Security-Insider.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44926520 / Recht & Sicherheit)