Wie das IoT die Sicherheitslandschaft verändert

Mit dem Internet der Dinge (IoT) bricht eine neue Ära der Datenübertragung an. Jeden Tag nimmt die Anzahl der neuen Geräte zu, die sich an verschiedene Netzwerkinfrastrukturen anschließen und riesige Datenmengen austauschen. Weltweit gibt es über 15 Milliarden vernetzte IoT-Geräte und diese Zahl wird sich bis 2030 voraussichtlich verdoppeln.

Die Aussicht, dass diese Geräte miteinander kommunizieren, um das Leben der Menschen nahtloser zu gestalten, scheint ein aufregendes neues Abenteuer zu sein. Doch IoT-Geräte sind anfällig für Security-Angriffe unterschiedlicher Art. Aktuellen Daten zufolge war die verarbeitende Industrie mit 54,5 Prozent aller Angriffe und durchschnittlich 6.000 Angriffen pro Woche das Hauptziel für IoT-Malware-Angriffe.

Es besteht eine zunehmende Notwendigkeit, dass die Hersteller die Verbraucher und die Gesellschaft insgesamt schützen, indem sie die Sicherheit in die Gestaltung ihrer Produkte einbeziehen. Um dies zu erreichen, müssen die Hersteller in die Sicherheit ihrer Kunden investieren und über das bloße Abhaken gesetzlicher Vorschriften hinausgehen, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen. In Britannien wurde dafür extra ein neues Gesetz, der Product Security and Telecommunications Infrastructure Act (PSTIA), verabschiedet, das Hersteller verpflichtet, beim Verkauf von intelligenten Geräten die Verantwortung zu übernehmen und während der Bauphase strengere Regeln anzuwenden.

Was machen die Hersteller falsch?

In diesem Jahr kam es zu einem Anstieg raffinierter Angriffe auf die Lieferkette. Im ersten Quartal 2024wurden wir Zeuge eines fortgeschrittenen Bedrohungsakteurs, der sich ein Softwarepaket zunutze machte, das vom Linux-Projekt XZ verwendet wird. Dies ist nicht nur wegen des weit verbreiteten Einsatzes von XZ in globalen Systemen von Bedeutung, sondern auch, weil der Angriff seit 2021 aktiv und unentdeckt lief.

Leider mangelt es immer noch an Fertigungsstandards, es wird an allen Ecken und Enden gespart, um die Preise auf Kosten der Sicherheit niedrig zu halten. Und es gibt Schwierigkeiten, IoT-Geräte richtig zu verschlüsseln. Diese Hindernisse schaffen zusammengenommen verwundbare Zugangspunkte in vernetzten Lieferketten und machen sie für Hacker zu einem leichten Ziel.

Cyberbedrohungen dieses Ausmaßes können die Lieferkette unterbrechen und zu Engpässen, Lieferverzögerungen und finanziellen Verlusten führen. Der Ruf der Partner in der Lieferkette wird langfristig geschädigt, und die Geschäftsbeziehungen werden beeinträchtigt. Aus diesem Grund ist die Cybersicherheit für die Aufrechterhaltung der betrieblichen Integrität so wichtig und es liegt an den Herstellern, die Verantwortung dafür zu übernehmen.

API-Sicherheit gewährleisten

Die besondere digitale Umgebung von Lieferketten, die durch komplexe Netzwerke und Datenaustausch gekennzeichnet ist, erfordert spezielle Cybersicherheitsmaßnahmen zum Schutz vor neuen Bedrohungen. APIs sind eine kritisch unzureichend geschützte und unzureichend überwachte Angriffsfläche, was sie zu einem Hauptziel für Angreifer und zu einem erheblichen Risiko beim IoT-Einsatz macht. Böswillige Akteure können Zero-Day-Schwachstellen, Schwachstellen in Authentifizierungsmechanismen und Gateway-Schutz ausnutzen, um auf die wertvollen Informationen zuzugreifen, die APIs enthalten. Dazu gehören auch persönlich identifizierbare Informationen, die reale Konsequenzen haben können. APIs sind aber auch für die Kommunikation zwischen Geräten, Anwendungen und Systemen erforderlich.

Das PTSIA erinnert an den kürzlich verabschiedeten EU Cyber Resilience Act (CRA), der einen wichtigen Schritt in der europäischen Cybersicherheitspolitik darstellt. Er zielt darauf ab, die Bedingungen für die Entwicklung sicherer Produkte zu verbessern, indem er einen proaktiven Ansatz für die Cybersicherheit verfolgt. Interessanterweise geht der PSTIA über den Hersteller hinaus und nimmt auch Händler, Importeure und Vermarkter in die Pflicht, die alle ihren Teil zur Stärkung der Compliance-Standards in der gesamten Lieferkette beitragen müssen. Im Grunde genommen reicht es den Herstellern nicht mehr aus, Daten zu sammeln und dabei die Sicherheit und den Datenschutz zu vernachlässigen.

PTSIA und CRA sind zwar beachtliche Schritte nach vorn, aber die Hersteller müssen über die Mindestanforderungen am Rande der Gesetzgebung hinausgehen, bevor sie wirklich etwas verändern können.

Mehr als nur das Kontrollkästchen

Unternehmen sollten die Lehren aus den Unzulänglichkeiten der Datenschutz-Grundverordnung ziehen und die neuen Gesetze nicht als einfaches Kontrollkästchen für die Einhaltung der Vorschriften betrachten. Es reicht nicht aus, die Einhaltung der Vorschriften nur zu befolgen. Es müssen echte Sicherheitsmaßnahmen ergriffen werden, um die wachsende Bedrohung durch IoT-Mängel zu bekämpfen.

Die Datenschutz-Grundverordnung sollte die Privatsphäre der Nutzer verbessern, indem sie das Tracking von Cookies einschränkt. Doch anstatt das Tracking abzuschaffen, wurden die Nutzer lediglich gezwungen, dem Tracking ausdrücklich zuzustimmen, was das Surferlebnis beeinträchtigt und die Unternehmen Millionen kostet. Die Unternehmen haben das Tracking nicht abgeschafft, sondern Geld ausgegeben, um die Nutzer darüber zu informieren. Auf diese Weise können die Unternehmen die Verordnung nur oberflächlich einhalten, indem sie Sicherheitsmaßnahmen in den Bereichen Design, Entwicklung, Bereitstellung und Support ergreifen, ohne das Problem vollständig anzugehen.

IoT-Sicherheitsmaßnahmen priorisieren

Es ist klar, dass die Hersteller IoT-Sicherheitsmaßnahmen priorisieren und vertiefen müssen, was bedeutet, dass sie robuste Authentifizierungsmechanismen – wie kryptografische Schlüssel, Zertifikate oder biometrische Authentifizierung – integrieren müssen, um unbefugten Zugriff auf Geräte und Funktionen zu verhindern. Die Einführung von Authentifizierungsprotokollen wie rollenbasierten Zugriffskontrollen während der Designphase von IoT-Geräten ist empfehlenswert. Außerdem ist es wichtig, die Betriebssoftware auf dem neuesten Stand zu halten, um Schwachstellen zu beheben und Zero-Day-Exploits zu verhindern.

Angesichts der zunehmenden Raffinesse der Bedrohungsakteure reicht es nicht mehr aus, sich nur auf den Schutz der Umgebung zu verlassen. Hersteller sollten ihren Zugang zu Benutzeraktivitätsprotokollen nutzen, um bösartiges Verhalten zu überwachen und zu identifizieren, bevor es sich auf die Produktionsumgebung auswirkt. Durch die Verfolgung von API-Aufrufen können Hersteller beispielsweise wertvolle Einblicke in die Datenbewegungen innerhalb ihrer Netzwerke gewinnen und so physische Schäden durch kompromittierte IoT-Geräte verhindern.

Sich proaktiv um ausreichende Sicherheit kümmern

Dieser proaktive Ansatz ist entscheidend, um die Integrität und Sicherheit moderner Fertigungsprozesse zu gewährleisten. Über die Geräte hinaus sollten Hersteller auch die Verbesserung der Sicherheit ihrer Umgebungen in Betracht ziehen. Die zunehmende Bedrohung macht es notwendig, verdächtige Aktivitäten abzuschwächen. Durch die Korrelation von Ereignissen in einer IT-Umgebung können Hersteller proaktiv Bedrohungen frühzeitig erkennen und dann Vorfälle schnell untersuchen, darauf reagieren und abmildern, bevor sie sich negativ auf die Lieferkette auswirken.

Allerdings wird nichts von alledem zum Tragen kommen, wenn die Entwickler weiterhin um die Sicherheit herumschleichen. Lassen Sie uns die Lehren aus der DSGVO ziehen und sie auf die nächste Generation der digitalen Konnektivität anwenden, um zu vermeiden, dass die kostspieligen Fehler der Vergangenheit wiederholt werden.