Sicherheitsrisiko Internet of Things

bei

Internet der Dinge (IoT)
 / 21. February. 2018

Der große Boom des „Internet der Dinge“ beflügelt auch die Diskussionen über Sicherheitslücken, die mit Internet-fähigen Geräten einhergehen. Wenn sämtliche Maschinen eines Unternehmens, angefangen bei Produktionsanlagen über die Klimaanlage bis hin zum Kopiergerät Daten mit dem Internet austauschen, entstehen neue Einstiegspunkte für Angriffe auf das Unternehmensnetz. Die Abwehr moderner Gefahren gestaltet sich jedoch schwer, da das Thema Sicherheit bisher bei der Herstellung dieser Geräte und Maschinen nicht ausreichend berücksichtigt wurde. Da Hacker-Attacken auf Internet-fähige Geräte und Produktionsanalgen bereits zur Realität geworden sind, tun neue Sicherheitsansätze Not.

Wenn von IoT die Rede ist, sind all jene Geräte im Unternehmenseinsatz gemeint, die intern und extern kommunizieren und aufgrund ihrer IP-Adresse über das Internet erreichbar sind. Die klassischen Bürogeräte wie Drucker, Kopierer, Beamer, das Fernsehgerät im Konferenzraum oder am Empfang zählen dazu ebenso, wie weniger offensichtliche Geräte aus dem Haushaltsumfeld. Darunter fallen Geräte wie Kühlschrank und Kaffeemaschine oder Überwachungskamera, die heutzutage Internet-fähig sind. Zu berücksichtigen sind zunehmend auch Geräte aus dem HVAC-Bereich, wie Heizung, Belüftung und Klimaanlagen, sowie Bewegungsmelder oder Beleuchtungssysteme, die mit Intelligenz versehen und per Fernwartung über das Internet oder die Cloud ansteuerbar sind. Darüber hinaus hat in Produktionsanlagen im Zuge der Industrie 4.0 die Zukunft bereits Einzug gehalten mit IP-basierten Maschinen.

Mangelhafte Nachrüstbarkeit

All diese Geräte in einer modernen Büro- oder Produktionsumgebung sind in der Lage, Daten über das Netzwerk auszutauschen oder über das Internet gesteuert zu werden. Allerdings stellt die Internet-Anbindung auch den potenziellen Angriffsvektor dar, da eine Vielzahl dieser Geräte im Entwicklungsprozess nicht mit einer adäquaten Sicherheitsinfrastruktur gegen Attacken von außen entworfen wurde. Denn in Punkto Cyber-Security hinken die Hardware-Hersteller aus Kostengründen hinter den marktüblichen Sicherheitsstandards im PC-Umfeld hinterher. Sie müssen erst lernen, die Sicherheitsfunktionalität in ihre Geräte zu implementieren, um die Gefahr des unerwünschten Zugriffs auf die Geräte und deren generierten Daten zu unterbinden.

Viele einfache Geräte, wie beispielsweise Überwachungskameras, werden möglichst kostensparend produziert und sind dementsprechend nur mit den Grundfunktionen zur Erfüllung ihrer eigentlichen Bestimmung ausgestattet. Ein nachträgliches Update der Firmware nach Bekanntwerden einer Sicherheitsschwachstelle ist oftmals nicht einmal vorgesehen. Das Sicherheitsbewusstsein bei den IoT-Herstellern sowie bei den Anwendern wächst erst langsam. Immerhin: Die „smarteren“ unter den IoT-Geräten können schon heute durch regelmäßige Firmware-Updates auf einen aktuellen, sicheren Stand gebracht werden.

Damit sind jedoch längst nicht alle Sicherheitsprobleme beseitigt. Denn die Mehrzahl der Internet-fähigen Geräte lässt sich nicht in das herkömmliche IT-Sicherheitskonzept integrieren, das im Unternehmen durch Security-Hardware oder Software-Schutz gegen Internet-basierte Angriffe bieten soll. Im Bereich der Industrieanlagen ist der Herstellungszyklus darüber hinaus so lange, dass diese Geräte nicht mit dem Gedanken der Anbindung an das Firmennetzwerk entwickelt wurden. Der netzwerkbasierte Fernzugriff zu Wartungs- oder Steuerungszwecken wurde oftmals nachträglich implementiert – allerdings ohne dass die Geräte mit der nötigen Sicherheitsinstanz gegen unerwünschte Zugriffe von außen versehen wurden.

Industrie 4.0 öffnet Sicherheitslücken

Werden nun gerade die Industrieanlagen in das Unternehmensnetz eingebunden, kann das mit gravierenden Sicherheitslücken einhergehen. Denn ein Remote Zugriff öffnet vielfach das gesamte Netzwerk für den Zugriff von außerhalb und nicht nur den Zugang auf die Applikation zur Ansteuerung der einzelnen, benötigten Maschine. Die Angriffsfläche auf alle Daten und Anwendungen im Unternehmensnetz erhöht sich deutlich und ist nur durch großen Mehraufwand und Komplexität mit zusätzlichen Sicherheitsvorkehrungen in den Griff zu bekommen. Der von einer Vereinfachung getriebene Wunsch nach Öffnung in Richtung Industrie 4.0 bleibt auf der Strecke, wenn an anderer Stelle der manuelle Verwaltungsaufwand für die IT-Abteilung exponentiell ansteigt.

Ein Umdenken hinsichtlich der Sicherheit ist gefordert. Einerseits hinken die Produktionszyklen gerade im Anlagenbau den modernen Anforderungen hinterher, denn der Sicherheitsaspekt wird bisher nur unzureichend in der Designphase berücksichtigt. Andererseits wächst das Bewusstsein nach erforderlicher Sicherheit beim Zugriff auf die Maschine oder das IoT-Gerät. Um diesen Widerspruch aufzulösen, sind neuartige Ansätze gefragt. Denn gerade in Bereichen, in denen Nachbesserungen in Bezug auf Zugriffsschutz dringend angeraten sind, kann die Cloud wiederum ihre Stärken ausspielen. Ein Cloud-basierter Security-Ansatz kommt eben ohne komplexe Sicherheitsinfrastruktur vor Ort aus, sondern verlagert diese in die Cloud. Im wahrsten Sinne muss dabei vollumfänglich „Outside the Box“ gedacht werden, denn halbgare Lösungen mit „ein bisschen Sicherheit“ verschlimmern die Situation nur und würden neue Angriffspunkte bieten.

Ein möglicher Lösungsweg für IoT-Security

Der Fernzugriff auf Industrieanlagen beispielsweise zu Wartungszwecken sollte aus Sicherheitsgründen nicht mehr von dem mit dem Service betrauten Anwender zur Maschine aufgebaut werden. Er muss vielmehr durch die entgegengesetzte Richtung in die Wege geleitet werden und dementsprechend als ausgehende IP-Verbindung von der Maschine aufgebaut. Da die Anlage bei einem solchen Ansatz nicht im Internet mit geöffneten Ports sichtbar wird, minimiert sich die Angriffsfläche für Angreifer von außerhalb. Lediglich dem autorisierten Anwender oder Dienstleistungsunternehmen wird bei einem solchen Reverse Tunnel-Modell der sichere und granulare Zugriff auf Ebene der einzelnen Anwendung eingeräumt. Eine Ende-zu-Ende Verschlüsselung sorgt für die erforderliche Sicherheit bei der Datenübertragung zur Wartung von Industrieanlagen. Die Policies der Zugriffsrechte werden dabei durch ein zentrales Portal verwaltet und nur genau der eine Anwender erhält den nötigen Schüssel zum Zugriff. Ein Konnektor, der vor die Anlage oder Maschine geschaltet wird, sorgt bei einem solchen Modell für die sichere Verbindung zwischen der Maschine und dem Anwender, der für die Fernwartung verantwortlich ist.

Unternehmen, die auf das Internet of Things oder auch Industrie 4.0-Vorteile setzen wollen haben also die Wahl: Sie warten ab, bis die Sicherheit bereits vom Hersteller der Geräte und Anlagen im Designzyklus berücksichtigt wird, was allerdings je nach Lebensdauer einen nicht unerheblichen Vorlauf bedeutet. Oder die Organisationen rüsten ihre bestehenden Anlagen mit einem modernen Cloud-basierten Sicherheitsansatz nach und profitieren wesentlich schneller von den Vorzügen der Digitalisierung. Denn auch wenn auf Herstellerseite ein Umdenken bereits eingesetzt hat, werden noch Jahre vergehen, bis Internet-fähige Geräte moderne Sicherheit bereits in der Designphase implementiert haben.

Claus Vaupel, Autor des Artikel über IoT im Unternehmensnetz.

Der Autor: Claus Vaupel unterstützt Unternehmen in Europa bei digitalen Transformationsprozessen. Er baut auf langjährige Expertise in den Bereichen Netzwerke, Sicherheit, Mobilität und Unified Communications und nimmt Kunden an die Hand beim Aufbau zukunftsträchtiger Sicherheitsinfrastrukturen. Zero IT-Branch Office, ein Anwender-zentrierter Ansatz und Cloud-ready Netzwerke sind kritische Erfolgsfaktoren dabei. Er hat einen Abschluss in Computerwissenschaften und betreut bei Zscaler die Solution Consultants in Zentraleuropa.

Vorheriger ArtikelInternet of Things (IoT) – Von der Zukunft von Endgeräten bis hin zu ihren Sicherheitsproblemen
Nächster ArtikelI(di)oT – Wie Smart Devices unserer Gesellschaft Innovation vorgaukeln und unseren Alltag komplexer machen