Internet der Dinge 31.07.2018, 11:01 Uhr

IoT-Security: Im Netz der unsicheren Dinge

Das Internet der Dinge stellt die IT-Sicherheit vor grosse Herausforderungen, nicht zuletzt weil die üblichen Verfahren der IT-Sicherheit hier nicht funktionieren. Vor allem in der industriellen Fertigung, in der Logistik und der Gebäudetechnik herrscht in Sachen Cyber Defense Handlungsbedarf.
(Quelle: Fotolia / Mimi Potter)
Dieser Beitrag stammt von Christian Koch, Senior Manager GRC & IoT/OT bei NTT Security
Das Internet der Dinge ist für Unternehmen mittlerweile zu einer zentralen Komponente der Digitalisierung geworden. Überall wird mit Feuereifer an neuen Anwendungen und Lösungen gearbeitet, werden industrielle Prozesse auf die neuen technischen Möglichkeiten ausgerichtet und neue Geschäftsmodelle konzipiert. Es zeichnet sich ab, dass das IoT im gewerblichen Einsatz, weit mehr als im privaten Bereich, zu einer grossen Erfolgsgeschichte wird.
Christian Koch ist Senior Manager GRC & IoT/OT bei NTT Security
Quelle: NTT Security
Dabei sollte man jedoch eines nicht vergessen: IoT als Technologie ist noch ziemlich jung und dementsprechend noch lange nicht ausgereift. Viele der hier zum Einsatz kommenden Verfahren sind noch nicht so erprobt und gesichert, wie man das beispielsweise aus der industriellen Fertigung gewohnt ist. Noch läuft die Phase, in der man Know-how erst aufbaut, und es liegt in der Natur der noch immer neuen Sache, dass Erfahrung rar ist.

Keine Security by Design

Dies trifft besonders auf das Thema Sicherheit und IoT zu. Wie bei fast jeder jungen Technologie steht bei der Entwicklung der jeweiligen Komponenten die Funktionalität im Vordergrund und ist oft Herausforderung genug. Sicherheitsaspekte bleiben aussen vor oder werden nur am Rande behandelt; wichtig ist vielmehr, dass das Ding überhaupt zum Laufen kommt. Security by Design ist bei IoT-Komponenten noch die grosse Ausnahme. Das ist im Laufe einer technologischen Entwicklung keine Besonderheit von IoT. ABS und Airbag wurden auch erst entwickelt, als das Auto einen gewissen Reifegrad erreicht hatte und man sich einigermassen darauf verlassen konnte, dass es fährt - trotzdem haben Fehler auch und gerade in diesem Reifestadium fatale Folgen, die frühe Technikgeschichte ist ja auch voll von Katastrophen.

Lang- vs. Kurzlebigkeit

Im Falle des Internets der Dinge liegt eine ganz grundsätzliche Problematik vor: IoT bringt zwei bislang getrennte Sphären zusammen, IT einerseits und mit den "Dingen" im weitesten Sinne Technik und Industrie. In beiden Sphären sind - bisher - sehr unterschiedliche Verfahren und Gepflogenheiten üblich. So hat sich in der IT ein recht kurzer Produktzyklus etabliert, nach zwei bis vier Jahren werden Systeme ausgetauscht, längere Lebensdauer ist selten nötig, weil die angewandten Technologien schon vorher obsolet werden. Ein sieben Jahre altes Notebook oder ein fünf Jahre altes Smartphone sind Auslaufmodelle.
Industrielle Komponenten haben dagegen schon mal fünfzehn oder auch zwanzig Jahre Bestand. So ist dann beispielsweise das in einer IoT-gesteuerten Turbine oder in einer Förderanlage verbaute Kommunikationssystem veraltet, lange bevor die Anlage selbst erneuert werden muss, und es ist fraglich, ob es innerhalb ihrer technischen Lebensdauer überhaupt noch Sicherheitsupdates oder Patches gibt. Und niemand kann garantieren, dass der Verschlüsselungsalgorithmus, der heute in einer IoT-gesteuerten Maschine implementiert wird, auch noch im Jahr 2035 sicher ist.

Personal sind keine IT-Spezialisten

In diesem Zusammenhang ist ein weiterer Aspekt wichtig: Die Menschen, die mit der Installation, Wartung und Kontrolle von IoT-Systemen im industriellen und gewerblichen Umfeld befasst sind, sind in der Regel keine IT-Experten. Sie sind vielleicht Wartungs- oder Maschinentechniker, Logistiker, Gebäudetechniker oder Facilitymanager. Bei Störungen ist es für sie nur naheliegend, sich um ihre jeweilige Technik zu kümmern: Beim Ausfall einer Klimaanlage sucht der Gebäudetechniker aufgrund seiner bisherigen Erfahrung zunächst nach einem Fehler in der Klimaanlage selbst, und geht nicht von einem Web-Angriff auf die Anlage aus.
Vor diesem Hintergrund sind die Risiken zu bewerten, die IoT neu ins Unternehmen bringt. IoT verbindet technische (Produktions-)Systeme - mitunter auch Werkstücke oder sogar Rohstoffe - über standardisierte Kommunikationsschnittstellen mit dem Web; das eröffnet die Möglichkeit der Kontrolle und Steuerung. Allerdings nicht nur für berechtigte Nutzer, sondern im Prinzip auch für andere. Diese können entweder Informationen über die jeweiligen Systeme abgreifen - und daraus auch Rückschlüsse weit darüber hinaus ziehen - sie können aber auch die Steuerung der betreffenden Systeme übernehmen und beispielsweise Fehlfunktionen auslösen.
Es ist nicht schwer, sich entsprechende Schadens- oder Schreckensszenarien auszumalen, zumal IoT dabei ist, sich auch in kritischen Infrastrukturen, beispielsweise im Gesundheitswesen oder in der Strom- und Wasserversorgung, zu etablieren. Mittlerweile ist bereits jede vierte Maschine in der Industrie "smart", und man kann davon ausgehen, dass Smart auch die Kommunikationsfähigkeit einschliesst.




Das könnte Sie auch interessieren