Kommentar von S. Banerjee, HCL Technologies

Sicherheit im IoT muss von Anfang an mitbedacht werden!

| Autor / Redakteur: Sukamal Banerjee / Nico Litzel

Der Autor: Sukamal Banerjee ist Executive Vice President von HCL Technologies
Der Autor: Sukamal Banerjee ist Executive Vice President von HCL Technologies (Bild: HCL Technologies)

Die Revolution des Internets der Dinge (Internet of Things, IoT) gewinnt an Fahrt und bewirkt immer raschere Veränderungen in unterschiedlichsten Branchen wie Fertigung, Gesundheitswesen, Energie und Transport, die zusammen fast zwei Drittel des globalen BIP ausmachen. Tatsache ist, dass immer mehr Organisationen – vom Start-up bis hin zu großen Unternehmen – die zunehmende Reife der Technologie erkennen und sich zunutze machen.

Hier in Europa, insbesondere in Deutschland, ist das Umfeld durchaus positiv, da die europäische IoT-Initiative, Industrie 4.0, zunehmend Zugkraft entwickelt. So hat die Bundesregierung zuletzt mehrere „Kompetenzzentren“ benannt, um die Akzeptanz bei kleineren und mittleren Herstellern zu fördern. Und mit der kürzlich vorgestellten „Digitalen Strategie 2025“ des Bundesministeriums für Wirtschaft und Energie ist durchaus mit einer stärkeren Dynamik bei der Modernisierung der Fertigung durch Industrie 4.0 zu rechnen.

Während diese Entwicklung völlig neue Möglichkeiten für Unternehmen und Gesellschaft verspricht, werden jedoch auch zahlreiche Schwachstellen und Sicherheitsrisiken deutlich. Insbesondere das Thema Sicherheit des IoT ist eine Herausforderung, die schnell und fokussiert bewältigt werden muss, damit sich sein Potenzial voll entfalten kann.

Leider verlaufen Innovationen jedoch häufig mit solcher Geschwindigkeit, dass die Sicherheit erst im Nachhinein zum Thema wird, statt von Anfang an integriert zu werden. Die Folge sind Schwachstellen, die Hacker missbrauchen können. Ein wichtiger Aspekt beim IoT ist daher, nicht nur Sensoren zu entwickeln und Systeme zu verbinden, sondern auch die Fülle der ausgetauschten Daten zuverlässig zu sichern.

26 Milliarden mögliche Angriffsziele

Laut Gartner werden bis zum Jahr 2020 etwa 26 Milliarden Geräte vernetzt sein. Verglichen mit etwa 4,9 Milliarden vernetzten Geräten im Jahr 2015 ist das eine phänomenale Steigerung. Damit sind jedoch nicht nur aufregende Möglichkeiten verbunden, sondern das bedeutet auch 26 Milliarden mögliche Ziele, über die Hacker das Netz infiltrieren können. Wenn mehr und mehr Geräte vernetzt sind, wird auch das Internet immer zerbrechlicher. Wichtig ist also zu klären, woher die Bedrohungen kommen und wer die möglichen Angreifer sind:

Zunächst sollten sich Unternehmen Sorgen wegen passiver Angreifer machen, die Sicherheitslücken in IoT-Geräten und Netzwerken ausnutzen, um vertrauliche Daten zu stehlen. Diese Angriffe sind unter Umständen schwer zu erkennen, da sie meist auf Insider-Aktivitäten zurückzuführen sind. Unternehmen sollten daher auf der Hut vor der Gefahr von innen sein.

Eine weitere Bedrohung dürften aktive Angreifer sein, die IoT-Geräte mit Fernzugriffsversuchen oder IoT-Netzwerke zum Beispiel mit Sybil- oder DDoS-Attacken angreifen, um Betriebsstörungen und Unterbrechungen zu verursachen. Diese Angriffe könnten äußerst schwere Folgen haben, wie zum Beispiel das Herunterfahren medizinischer Geräte in einem OP-Saal im Krankenhaus. In der Regel dürften diese Angriffe aber auf Unternehmensnetzwerke zielen, wo Unterbrechungen ebenfalls fatale Folgen haben können.

Angriff auf ein Stahlwerk

Ein Beispiel für einen solchen Angriff ist der auf ein deutsches Stahlwerk, bei dem Hacker ausgefeilte Phishing-Taktiken nutzten, um sich in das Netzwerk des Werks einzuklinken. Weil sie auf diesem Weg die Kontrolle über einzelne industrielle Steuerungskomponenten erlangten, konnte der Hochofen nicht heruntergefahren werden. Dies wiederum führte zu massiven Schäden in der Gießerei. Es ist daher für IoT-Projekte zwingend notwendig, von Anfang eine sichere Infrastruktur aufzubauen, regelmäßige Penetrationstests bei einzelnen Komponenten durchzuführen, Branchenrichtlinien zu befolgen usw.

Denn eines ist sicher: Unternehmen die das IoT nutzen wollen, können es sich nicht leisten, unaufmerksam zu sein. Sie müssen beginnen, neue Sicherheitsstrukturen zu entwickeln, die sämtliche virtuellen und physischen Elemente abdecken, von der Authentifizierung auf Geräteebene bis hin zur Anwendungssicherheit und robusten Datenschutzmaßnahmen. Die Schwierigkeit besteht darin, dass jedes Unternehmen anders ist. Daher gibt es auch keine Universallösung für die IoT-Sicherheit.

Diese Punkte sollten Unternehmen beachten, wollen sie Sicherheit im Internet der Dinge erzielen.
Diese Punkte sollten Unternehmen beachten, wollen sie Sicherheit im Internet der Dinge erzielen. (Bild: HCL Technologies)

IoT-Sicherheit aus der Sicht von HCL

Während einige der Sicherheitsherausforderungen für IT und Betrieb getrennt schon sehr gut gelöst werden, gibt es hier noch keine integrierte Lösung. HCL empfiehlt daher den Aufbau eines integrierten Frameworks, das folgende Aspekte einbezieht:

  • Integriertes Security Threat Modeling: Auch wenn es unterschiedliche Bedrohungen für einzelne Ebenen gibt, sollte es ein integriertes Bedrohungsmodell für das gesamte System geben und einen Sicherheitsverantwortlichen, um eine übergreifende Sicherheitslösung zu gewährleisten.
  • Spezielles Sicherheitskonzept für einzelne Ebenen: Sobald das übergreifende Bedrohungsmodell definiert ist, sollte eine spezielle Sicherheitsstrategie für jede einzelne Architekturebene entwickelt werden – auf Geräteebene sollte sich diese zum Beispiel auf Bereiche wie sicheres Hochfahren, Geräteidentität, Geräteauthentifizierung, sichere Kommunikation, Firewall, Manipulationserkennung, Ereignismeldung, Fernsteuerbefehle usw. fokussieren.
  • Integrierte Sicherheitsüberwachung und Analysen: Das Sicherheitsmanagement sollte integriert werden und Sicherheitswarnungen über das ganze System hinweg vom Gerät über das Netzwerk bis hin zur Cloud überwachen. Dies würde bedeuten, dass alle Sicherheitsereignisse an einem zentralen Ort zur Verfügung stehen, um integrierte Bedrohungsüberwachung zu verwirklichen und Analysen durchzuführen.

In einer IoT-Umgebung sollte das Thema Sicherheit nicht nur durch reaktive Maßnahmen adressiert werden. Proaktive Sicherheitsmaßnahmen sollten vielmehr in allen Ebenen in das System-Design integriert werden. Es ist wichtig, ein sicheres Design aufzubauen und alle Schwachstellen oder Bedrohungen zu erkennen, die in jedem ungeschützten Gerät im Netzwerk auftreten können, indem diese regelmäßig überwacht und aktualisiert werden. Außerdem sollten Sicherheitskontrollen identifiziert und implementiert werden, um sensible Daten und IoT-Einrichtungen zu schützen. Außerdem ist die Identifikation von Geräten, Netzwerken und Menschen wichtig sowie die Verwaltung und Überwachung der IoT-Lösung und eine Analyse der Sicherheitsvorfälle durch die Implementierung einer Security Analytics-Plattform.

Zusammenfassung

IoT birgt sowohl für Verbraucher als auch für Unternehmen großes Potenzial, ist aber nicht ohne Risiko. Organisationen der Informationssicherheit müssen beginnen, sich auf die Verwaltung einer viel breiteren Gruppe von miteinander verbundenen Elementen zu konzentrieren. Dazu zählen tragbare Geräte, Sensoren und Technologien, die wir aktuell noch gar nicht abschätzen können. Unternehmen sollten die Sicherheit früh einbeziehen und das Sicherheitsteam sollte Best Practices beachten, um diese neuen Geräte zu schützen.

Außerdem sollte es darauf vorbereitet sein, Risikomatrizen und Sicherheitsrichtlinien zu aktualisieren, wenn diese Geräte in Unternehmensnetzwerke eingebunden werden, um Maschine-zu-Maschine-Kommunikation, die Sammlung riesiger Datenmengen und zahlreiche andere Einsatzszenarien zu ermöglichen. Die potenziellen Vorteile der raschen Expansion des IoT überwiegen bei weitem die Sicherheitsrisiken. Während also die Sicherheitsanforderungen verbessert werden müssen, sollte die nachhaltige und schnelle Einführung des IoT nicht vernachlässigt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44115921 / Recht & Sicherheit)