Sicherheit ist die Achillesferse des IoT
Experten-Gespräch mit Rüdiger Weyrauch von FireEye
Rüdiger Weyrauch ist Director System Engineering Central & Eastern Europe beim Security-Anbieter FireEye. Im Gespräch mit com! professional erklärt er die Sicherheitsherausforderungen im IoT, bedauert den Mangel an Security-Fachkräften und fordert Auflagen für Hersteller.
com! professional: Herr Weyrauch, welche Herausforderungen stellen sich für Hersteller bei der sicheren Entwicklung von IoT-Anwendungen?
Rüdiger Weyrauch: Hier muss man grundsätzlich zwischen B2B und B2C differenzieren. Im Consumer-Bereich, etwa im Smart Home, sind immer die Kosten entscheidend. Nehmen Sie das Beispiel Funksteckdosen: Im Baumarkt gibt es Produkte für 10 Euro, aber auch für 50 Euro. Die teureren Geräte integrieren bereits Sicherheitsfunktionen etwa zur Authentifizierung oder Verschlüsselung, die billigen nur selten. Hier handeln viele Hersteller nach der Devise „Market First“, bringen ihr Produkt also möglichst schnell auf den Markt. Und es steht die Usability im Blickpunkt. Das Gerät soll möglichst einfach zu bedienen sein. Im Zweifel steht Sicherheit dann hinter Kosten, Time-to-Market oder einfacher Bedienung.
com! professional: Wie bringt man diese Hersteller dazu, dass sie der Sicherheit höhere Priorität einräumen?
Weyrauch: Eine grosse Rolle spielen die Anwender. Der wirtschaftliche Schaden für die Hersteller von IoT-Produkten kann erheblich sein, wenn ihre Geräte wegen mangelnder Sicherheit in die Schlagzeilen geraten. Die Nutzer haben hier eine grosse Macht, wenn sie bei der Kaufentscheidung auf höhere Sicherheit Wert legen. Sie können so den Druck auf die Hersteller verstärken. Voraussetzung dafür ist aber eine Awareness bei den Anwendern. Sie sollten die Risiken beim Kauf eines IoT-Geräts kennen. Hier sind auch die Hersteller gefragt. Sie müssen offenlegen, welche Sicherheitsmassnahmen sie ergreifen oder was mit den Daten der Nutzer geschieht. Es geht um Transparenz.
com! professional: Was halten Sie von gesetzlichen Massnahmen?
Weyrauch: Gesetze und Regulierungen sind eine gute Möglichkeit, den Druck auf die Hersteller zu erhöhen, zum Beispiel durch eine erweiterte Produkthaftung. Allerdings müssen die Strafen abschrecken, damit mehr Geld für Sicherheit in die Entwicklungskosten einbudgetiert wird. Firmen reagieren erst, wenn die maximale Geldbusse wie bei der EU-Datenschutz-Grundverordnung bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes beträgt. Das sind andere Hausnummern.
com! professional: Wie kann so eine Regulierung aussehen?
Weyrauch: Wir benötigen auch für die IoT-Welt Mindeststandards zur Erhöhung der Sicherheit. So sollten beispielsweise starke Authentifizierung oder der verschlüsselte Versand von Daten verpflichtend werden. Durch den Regulierungsdruck dürfte die Sicherheit der IoT-Geräte weiter steigen. Vielleicht kommt es sogar soweit, dass die Behörden irgendwann ein Produkt wegen mangelnder Sicherheit aus dem Verkehr ziehen oder – wie derzeit angedacht – über das BSI Schwachstellen gemeldet werden und entsprechend
Warnungen ausgesprochen werden.
Warnungen ausgesprochen werden.
com! professional: Interessant. Apropos aus dem Verkehr ziehen mittlerweile werden auch vernetzte Autos zum Ziel von Hackern.
Weyrauch: Einfache Hacker wie organisierte Profis suchen alle Geräte nach Schwachstellen ab, die mit dem Internet vernetzt sind. Dazu gehören neben Geräten aus dem Smart Home auch Connected Cars und IoT-Anwendungen in der Industrie. Autos und Industrieanlagen sind meist proprietär und wurden ursprünglich nicht für die Verbindung nach aussen gebaut. Durch den Zugang zum IPNetzwerk steigen die Gefahren. Hacker suchen sich die schwächste Stelle, um in das System einzubrechen.
com! professional: Wie können sich Unternehmen und Hersteller gegen diese Gefahren wappnen?
Weyrauch: Sie müssen auf allen Ebenen Sicherheit einbauen, sprich im Endgerät, in der Service-Plattform oder App für die Steuerung sowie im Backend. Es bringt nicht viel, wenn das IoTGerät oder das Auto selbst sicher sind, der Hacker aber beim Service-Portal Log-in-Daten klauen und die Identität der Nutzer
übernehmen kann.
übernehmen kann.
Grundsätzlich gelten hier auch die allgemeinen Prinzipien der sicheren Software-Entwicklung. Ich denke hier etwa an Hardening,also die Freigabe nur derjenigen Funktionen, die für den Betrieb absolut erforderlich sind, Netzwerksegmentierung, regelmässige Updates und Patch-Management.
Eine Studie von FireEye ergab, dass 30 Prozent der in Industriekontrollsystemen entdeckten Schwachstellen zum Zeitpunkt der Veröffentlichung ungepatcht waren und längere Zeit blieben. Das
darf nicht sein.
darf nicht sein.
Sehr wichtig: Die Hersteller sollten während der Entwicklung nicht nur funktionale Tests, sondern auch sicherheitsspezifische Tests durchführen, eventuell auch mit externer Hilfe. Das kostet zwar Zeit und Geld, kann jedoch ein wichtiges Verkaufsargument bilden.
com! professional: Dafür braucht man jedoch auch das passende Personal…
Weyrauch: Ja, da sprechen Sie ein kritisches Thema an. Wir sehen grundsätzlich einen Fachkräftemangel im Bereich IT-Sicherheit. Das gilt natürlich auch für IoT-Security. Die Firmen verfügen meist nicht über eine genügende Anzahl qualifizierter Security-Spezialisten. Und der Markt ist ständig in Bewegung.
Nehmen Sie das Beispiel Connected Cars. Hier entsteht das neue Marktsegment Automotive Security mit einem grossen Bedarf an Fachkräften. Allein eine Stichprobe bei LinkedIn ergab kürzlich 300 offene Stellen in diesem Bereich. Wenn wir Deutschland als Vorbild für IT-Sicherheit entwickeln wollen, sollten wir ähnlich wie Grossbritannien in weiterführenden Schulen und Universitäten „Cybersecurity Guidelines“ in die Lehrpläne aufnehmen. Denn IT-Sicherheit wird auch in Zukunft” extrem wichtig bleiben.