Das „Internet of Things“ (Internet der Dinge, IoT) ist ein Netzwerk, in dem alltägliche physische Geräte und Gegenstände über das Internet miteinander verbunden sind und Daten austauschen können, ohne dass menschliche Interaktion erforderlich ist. Für Industrieunternehmen ist das Internet der Dinge daher ein großer Schritt in Richtung Industrie 4.0. Allerdings nicht ohne Sicherheitsbedenken!
Sollen verschiedene Maschinen, Anlagen und Geräte über das Internet miteinander kommunizieren, hat das immer Einfluss auf das Security-Konzept des Unternehmens. Schließlich werden Hackern so an verschiedenen Stellen im Unternehmen Angriffsflächen geboten, die gerne ausgenutzt werden. Um die Sicherheitslücken in IoT-Projekten zu schließen, sollte man daher an drei Stellen ansetzen: Bei den IoT-Geräten (Devices), bei der Cloud-Architektur und bei der Verbindung der Devices mit der Cloud. Das Device muss sicher sein und den aktuellen Standards entsprechen.
Schwache Standard-Sicherheit bei IOT-Geräten
So verfügen viele IoT-Geräte beispielsweise über schwache oder standardmäßige Zugangsdaten, die von Hackern leicht erraten werden können. Auch kann es vorkommen, dass die Geräte über unverschlüsselte Kanäle kommunizieren. Dies ermöglicht es potenziellen Angreifern, den Datenverkehr abzufangen und zu manipulieren. Ein strukturierter Auswahlprozess ist hier hilfreich.
Security-Konzept für die Cloud-Architektur
Die Cloud-Architektur spielt eine wesentliche Rolle bei der Implementierung von IoT-Lösungen, da sie die zentrale Plattform für die Datenverarbeitung, Speicherung und Bereitstellung von IoT-Diensten darstellt. Die Cloud bietet eine skalierbare und flexible Umgebung, die es Unternehmen ermöglicht, große Mengen an Daten von vernetzten IoT-Geräten zu verarbeiten und zu analysieren. Hier muss man sich mit Fragen zur Art der Cloud (Private, Public oder Hybrid) und zum Provider auseinandersetzen. Auch die Sicherheitsprobleme, die mit dem Cloud-Betrieb einhergehen müssen von Anfang an im Security-Konzept des Unternehmens berücksichtigt werden: Neben Datenverlusten über unverschlüsselte Verbindungen kann z.B. auch eine fehlerhafte Konfiguration von Cloud-Diensten zu Sicherheitslücken führen. Standardpasswörter, öffentlich zugängliche Dienste oder unzureichende Firewall-Einstellungen könnten potenzielle Schwachstellen darstellen, die es auszuschalten gilt. Auch die unzureichende oder fehlerhafte Implementierung von Identitäts- und Zugriffskontrollen kann bewirken, dass unbefugte Benutzer oder Dienste auf sensible Daten und Ressourcen zugreifen können. Daher sollte die Sicherheit von Anfang an in die Cloud-Architektur einbezogen werden. Regelmäßige Sicherheitsaudits und Penetrationstests helfen dabei, Schwachstellen zu identifizieren und zu beheben.
Verbindung zur Cloud absichern
Die Verbindung von Geräten mit der Cloud im Internet of Things erfolgt in der Regel über verschiedene Kommunikationstechnologien. Diese Technologien ermöglichen es den vernetzten Geräten, Daten zu sammeln, mit der Cloud zu kommunizieren und von den dortigen Diensten zu profitieren. Bluetooth und Zigbee sind beispielsweise Kurzstrecken-Kommunikationstechnologien, die häufig in Smart-Home- und Industrie-IoT-Anwendungen eingesetzt werden. Diese Technologien ermöglichen es den Geräten, direkt miteinander zu kommunizieren oder über sogenannte „Gateways“ eine Verbindung zur Cloud herzustellen. Ungünstig kann sich hier auswirken, wenn man beispielsweise versucht, die Verbindung der Devices zur Cloud mit unkontrolliert eingekauften Komponenten wie GSM-Sticks herzustellen. Diese verknüpfen etwa Maschinen aus der Produktion über nicht standardisierte Protokolle mit der Cloud, was ein enormes Sicherheitsrisiko darstellt.
IT-Sicherheit ist nicht gleich IoT-Sicherheit
Was viele Unternehmen nicht wissen: Es ist schwierig ein vorhandenes Konzept der IT-Sicherheit auf den IoT-Bereich zu erweitern. Sind nur wenige IoT-Devices im Einsatz, kann der IT-Leiter darauf achten, dass der gesamte Datenverkehr über eine Firewall läuft. Wächst das Szenario, ist das kaum noch möglich. Geht es um das Internet der Dinge, sind andere Akteure als in der IT aktiv. Klassische IT-Anwendungen betreibt meist die IT-Abteilung, oder sie organisiert zumindest das Hosting bei einem Provider. IoT-Devices hingegen betreibt die Fachabteilung, weil etwa der Produktionsleiter Daten aus einer Maschine herausziehen will. Steigt die Zahl der IoT-Devices, wächst nicht nur die Angriffsfläche, sondern auch die Zahl der eingesetzten Protokolle und damit die Komplexität. Zudem steigt das Volumen des Datenaustausches und bringt manch altgediente Firewall an ihre Grenzen. Das Internet der Dinge hat hier die Funktion einer Schnittstelle, da greifen die klassischen Ansätze der IT-Sicherheit zu kurz.
Mit einer Security-Roadmap auf der sicheren Seite
Um die Sicherheit in IoT-Projekten zu gewährleisten ist daher ein ausgefeiltes Security Konzept in Form einer Roadmap zu empfehlen. Diese kann in drei Schritten angelegt werden: Zunächst ist es wichtig, sich einen Überblick über die zu schützenden Assets zu verschaffen. Zu den Assets gehören nicht nur die IoT-Geräte, sie können sowohl Hardware- als auch Software-Komponenten umfassen. Das können Daten sein, Maschinen und Anlagen oder Produktionsprozesse. Sämtliche Assets durchlaufen verschiedene Prüfkategorien. Am Ende hält man einen Katalog an Maßnahmen in der Hand, die nötig sind, um die IoT-Sicherheit zu gewährleisten. Anhand dessen lässt sich eine Roadmap, erstellen, die festlegt, wann welcher Schritt umgesetzt wird.
Beim Absichern der Infrastruktur können sich Unternehmen an Leitlinien und Standards wie beispielsweise den ISO-Normen oder dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik orientieren. Hier sollten die Verantwortlichen jedoch stets die eigene Situation im Blick haben, denn solche Leitlinien orientieren sich grundsätzlich an der Größe der vorhandenen IT-Landschaft.
Organisation und Technologie schließen Lücken
Eine wichtige Komponente der IT- und IoT-Sicherheit, die man auf keinen Fall außer Acht lassen sollte, ist die ‚Human Firewall‘ in Form der Mitarbeiter. Diese sollten Unternehmen regelmäßig in Sachen Security-Awareness schulen lassen und zwar idealerweise bei einem spezialisierten Unternehmen in der Nähe. Die organisatorische Komponente schließlich umfasst Prozesse und Verantwortlichkeiten. In der passenden Kombination aus organisatorischen und technischen Maßnahmen schließen Unternehmen den größten Teil der Angriffsvektoren.
Der Autor
Rolf Kipp ist Leiter des Competence-Centers MES bei der Trovarit AG
