IoT: Risikomanagement nur mit Security by Design

bei

Internet der Dinge (IoT)
 / 21. February. 2018

Das Internet der Dinge bildet den Kern aller Anstrengungen zur Digitalisierung der Industrie. Die beiden entscheidenden Wesensmerkmale sind dabei die Vernetzung von Maschinen und die Verarbeitung von Laufzeitdaten in Echtzeit in der Cloud. So werden Innovationen wie Predictive Maintainance oder Continous Production Optimization möglich, die eine wesentliche Verbesserung der Produktivität bei gleichzeitig sinkendem Personalaufwand versprechen. Doch die Digitalisierung erhöht auch die Anforderungen an die IT-Infrastruktur, die durch die neuen Schnittstellen mit der Außenwelt potenziell verwundbarer wird. Bestehende IT-Infrastrukturen wurden oft nicht im Hinblick auf eine Erreichbarkeit vom Internet ausgelegt, und die bestehenden Sicherheitsmaßnahmen sind aufgrund widerstrebender Anforderungen an die Ausfallsicherheit oft nur unzureichend. Spätestens mit der Vernetzung der Maschinen muss also mit einem aktiven Risikomanagement begonnen werden.

Risikomanagment und IT-Sicherheit

Ein bewährtes Mittel, um Risiken zu begegnen, sind Versicherungen. Cyberversicherungen werden mittlerweile von verschiedenen Anbietern angeboten. Allerdings sind das Leistungsportfolio und die maximalen abgedeckten Schadenssummen noch recht eingeschränkt. Folglich führt an Maßnahmen zur IT-Sicherheit kein Weg vorbei. Denn ein Verzicht auf technische Maßnahmen und eine ausschließliche Nutzung von Versicherungen würde zwangsläufig zu einem allgemeinen Anstieg an Sicherheitsvorfällen und somit Schadensfällen führen. Eine Versicherungspolice ist jedoch nur günstig, wenn die Anzahl der Schadensfälle gering ist. Steigt die Zahl der Sicherheitsvorfälle, wird auch die Cyberversicherung teurer. Cyberversicherungen sind somit allenfalls eine ergänzende Maßnahme auf dem Weg zur Industrie 4.0, können die eigentliche IT-Sicherheit aber nicht ersetzen. Immaterielle Schäden durch Cyber-Attacken wie belastete Kundenbeziehungen oder ein verschlechtertes Unternehmensimage – die oft schwerwiegender sind als die materiellen Einbußen – können mit Versicherungen zudem nicht oder nur unzureichend abgedeckt werden.

Cybersicherheit im IoT

Was also sind nun die größten Herausforderungen bezüglich der Sicherheit von industriellem IoT? Zunächst einmal die langen Investitionszyklen. So ist man sich unter Sicherheitsexperten weitgehend einig, dass eine Versorgung von Geräten mit aktuellen Sicherheitsupdates den höchsten Beitrag zur Sicherheit liefert. Die gelebte Praxis in vielen Unternehmen ist jedoch eine völlig andere. So werden nämlich bei laufenden Systeme keine Updates durchgeführt, obwohl Sicherheitslücken allgemein bekannt sind. Das liegt zum einen daran, dass viele Hersteller ihre Produkte nicht mit Updates versorgen. Aber auch die Sorge vor Störungen des Produktionsprozesses durch Updates ist groß, so dass diese gar nicht oder stark zeitverzögert eingespielt werden. An dieser Stelle können wiederum Versicherungen helfen, die Auswirkungen eines Produktionsausfalls im Zuge fehlerhafter Sicherheitsupdates zu minimieren.

Die zweite zentrale Herausforderung besteht darin, wie man Security by Design im IoT realisieren kann, um eine nachträgliche, teure Absicherung zu vermeiden. Der zur Zeit vielversprechendste Ansatz sind IoT-Plattformen, welche den IoT-Anwendungen eine sichere und dennoch funktionale Basis bieten können. Datenbasierte IoT-Anwendungen bestehen typischerweise aus zwei Teilen. Zum einen werden die Maschinendaten bereits in den Produktionsanlagen vorberarbeitet und diese Zwischenergebnisse dann zur finalen Verarbeitung in die Cloud geschickt.

IoT-Gateway und Cloud-Gateway

Viele IoT-Plattformen folgen dieser Aufteilung in dem sie zwei Bestandteile zur Verfügung stellen: IoT-Gateways und das Cloud-Gateway. Die IoT-Gateways sind Geräte, die am Perimeter zwischen den Maschinen und dem Internet platziert werden. Sie stellen Basisfunktionen wie beispielsweise verschlüsselte Kommunikation oder sicheres Management zur Verfügung und bieten eine Laufzeitumgebung für IoT-Anwendungen, die eine Vorverarbeitung von Laufzeitdaten durchführen. Durch die strikte Trennung von Sicherheitssystemen und Anwendung kann ein hohes Maß an IT-Sicherheit bei größtmöglicher Flexibilität erreicht werden. Die Plattform bietet also Security by Design. Die eigentliche Datenverarbeitung führen die Anwendungen jedoch in der Cloud durch. Damit diese Daten dann vom zugehörigen IoT-Service in der Cloud verarbeitet werden können, werden sie verschlüsselt vom IoT-Gateway zu einem Cloud-Gateway geschickt.

Auch Anwendungen wie die sichere Fernwartung sind mittels IoT-Plattformen möglich. So kann ein Fernwarter sich mit einem Cloudservice verbinden, der wiederum mit einer korrespondierende Fernwartungsanwendung auf dem IoT-Gateway kommuniziert. Die Durchsetzung der Sicherheit durch Verschlüsselung, Zugriffskontrolle und Monitoring wird durch die IoT-Plattform erbracht. Zugleich ermöglicht ihre Flexibilität ein Höchstmaß an Innovationsfähigkeit bei der Umsetzung neuer Anwendungen, welche die Industrie 4.0 ausmachen.

Fazit

Das IoT bietet die herausragende Chance, das Innovationspotenzial der Cloud in die Industrie zu tragen. Um den einhergehenden Risiken der Vernetzung zu begegnen, bieten sich Lösungen mit Security by Design als solide Basis und Cyberversicherungen als ergänzende Maßnahmen an.

Insbesondere sichere IoT-Plattformen haben das Potenzial, eine größtmögliche Flexibilät auf einem hohen Sicherheitsniveau zu erbringen.

Claas Lorenz, Autor des Artikels über IoT-Plattformen.

Der Autor: Claas Lorenz ist IT-Sicherheitsforscher und Technologieanalyst bei der genua gmbh (www.genua.de). Er befasst sich unter anderem mit sicheren Netzarchitekturen sowie technologische nTrends wie das Internet der Dinge und Cloud-Computing. Die genua GmbH ist ein deutscher Spezialist für IT-Sicherheitsinfrastruktur. Das Produktportfolio umfasst Firewall- und VPN-Lösungen aber auch Lösungen für die Absicherung von Industrieanlagen wie das [GS.Gate](www.genua.de/loesungen/industrial-gateway-gsgate.html).

Vorheriger ArtikelMit Blockchain-Technologie bereit für das Internet of Things
Nächster ArtikelHackers Paradise – Sicherheit im Internet of Things