Vernetzte Geräte im Internet der Dinge werden nach und nach zum Ziel von Hackerangriffen. Der Sicherheitsspezialist Kudelski Security zeigt auf, mit welchen Maßnahmen Unternehmen ihre Systeme schützen.
Das Internet der Dinge verknüpft Anlagen, Maschinen und Fahrzeuge, um beispielsweise Produktionsprozesse intelligenter zu machen. Um effektiv zu arbeiten, sind derartige Lösungen auf ein lückenloses Kommunikationsnetz und auf die Cloud angewiesen. Ohne einen Secure by Design-Ansatz entstehen Angriffspunkte, über die Hacker Anlagen und ganze Unternehmen kapern können. Die IT-Architekten von Kudelski Security zeigen in vier Schritten, wie Unternehmen die Infrastruktur für das Internet der Dinge absichern.
1. Planung
Um die Infrastruktur für das Internet der Dinge sicher zu gestalten, sind gute Planung und vor allem Transparenz wichtig. Verantwortliche sollten zunächst die Bereiche identifizieren, die geschäfts- beziehungsweise produktionskritisch sind. Da diese besonders häufig ins Fadenkreuz der Hacker geraten, sollten sie schnell geschützt werden. Im nächsten Schritt sind alle anderen Bereiche auf Bedrohungspotenziale hin zu untersuchen. Bei diesem Assessment empfiehlt es sich, einen Top-Down- und einen Bottom-Up-Ansatz zu kombinieren. Dabei zeigt sich, welche Systeme ergänzt werden müssen, welche bereits sicher sind und wie die einzelnen Komponenten der komplexen Systeme ineinandergreifen, um die gesamte Infrastruktur abzusichern.
Bei der Planung sollten Verantwortliche potenzielle Angriffe kategorisieren und auf ihren Einfluss auf kritische Geschäftsprozesse hin untersuchen. So können sie bestehende Abläufe und Compliance-Richtlinien anpassen und verbessern.
2. Umsetzung
Wurden alle Assets gründlich geprüft, müssen die Schwachstellen oder Lücken im Design der Sicherheitsarchitektur berücksichtigt werden. Das Ziel ist eine sichere Infrastruktur, die auf die Prozesse im Unternehmen zugeschnitten ist und mit den genutzten Assets harmoniert. Das gilt für Hardware und für die Software.
Eine Schlüsseltechnologie beim Design einer geschützten Architektur für das Internet der Dinge ist die Root-of-Trust-Funktionalität. Hierbei bekommt jedes Gerät eine kryptographisch gesicherte Identität, anhand derer es als vertrauenswürdig gilt. So lässt sich fremde Hardware zuverlässig erkennen. Mit Security-Software wie White-Box-Cryptography lässt sich dieser Ansatz auch auf Software übertragen.
3. Evaluation
Nach der Implementierung eines Konzeptes sollte dieses kontinuierlich auf den Prüfstand gestellt werden. Da sich die Sicherheitslage und Angriffsmethoden ständig verändern, sind wiederholte Evaluierungen und Anpassungen unerlässlich. Es geht dabei stets um die Frage, wann das eigene System sicher genug ist. Unternehmen können sich der Antwort aus zwei Richtungen nähern – quantitativ und qualitativ. Aktuell arbeiten viele IT-Architekten mit quantitativen Methoden, um die Sicherheit ihrer Infrastruktur für das Internet der Dinge zu evaluieren. Dies geschieht meist in zwei Schritten: Zunächst wird versucht, alle Angriffsvektoren mittels Testing zu identifizieren, um sie anschließend zu bewerten. Insbesondere bei größeren Infrastrukturen gestaltet sich dieses Verfahren zeitaufwändig und kostspielig. Die günstigere und für die Evaluierung von Infrastrukturen möglicherweise ausreichende Variante kann eine qualitative Bewertung der Sicherheitslage sein.
Sowohl das Entwickeln eines Sicherheitskonzepts wie auch die Wahl der passenden Hardware und Software erfordern tiefes Fachwissen. Idealerweise setzen Unternehmen Komponenten und Verfahren ein, die sich in anderen Projekte und Assessments bewährt haben.
4. Inbetriebnahme und Anpassung
Um den anvisierten Return of Investment zu erzielen, müssen die Lösungen schnell in Betrieb genommen und über den gesamten Produktlebenszyklus hinweg angepasst werden. Unerlässlich ist es zudem, die auf den einzelnen Geräten anfallenden Daten auszuwerten. Für den Schutz geschäftskritischer Abläufe, ist es notwendig, jedem Gerät in der Infrastruktur eine individuelle Identität zu geben. Einige Dienstleister und Hersteller bieten eine vereinfachte Integration, indem sie Root-of-Trust-Funktionen in jedes Modul einbetten.
Derzeit findet sich in IT-Abteilungen von Betrieben nur selten IT-Security-Fachpersonal, das sich mit den Herausforderungen im Internet der Dinge auskennt. Um Projekte nach dem Prinzip Secure by Design umsetzen zu können, sollten sich Unternehmensentscheider nach einem Dienstleister umsehen, der sie vom Design des Sicherheitskonzeptes bis hin zur Umsetzung über alle Ebenen der Infrastruktur hinweg berät und praktisch unterstützt. Jürgen Frisch
Anzeige | Expertenbeitrag | Trovarit-MES-Center
Artikel
Organisation und Technik sichern IoT-Projekte ab |
Autor: | Jürgen Frisch | Redakteur der IT-Matchmaker®.news | |
Erschienen: | 2021-03-30 | |
Schlagworte: | IT-Sicherheit, Industrie 4.0, Internet of Things | |
Für viele Unternehmen ist das Internet der Dinge ein Schritt in Richtung Industrie 4.0. Mit der Absicherung hakt es aber vielerorts. Als Abhilfe empfehlen Projektmanager des FIR an der RWTH Aachen ein Bündel aus organisatorischen und technischen Maßnahmen. | ||
Download |