Security

Im Netz der unsicheren Dinge

| Autor / Redakteur: Christian Koch / Sebastian Human

Unternehmen müssen das Internet der Dinge in einer umfassenden Cyber-Defense-Strategie berücksichtigen, um das Angriffsrisiko möglichst gering zu halten.
Unternehmen müssen das Internet der Dinge in einer umfassenden Cyber-Defense-Strategie berücksichtigen, um das Angriffsrisiko möglichst gering zu halten. (Bild: Pixabay / CC0)

Firmen zum Thema

Das Internet der Dinge stellt die IT-Sicherheit vor große Herausforderungen, nicht zuletzt weil die üblichen Verfahren der Branche hier nicht funktionieren. Doch die Risiken, dass Angreifer Daten der IoT-Systeme abgreifen oder gar verändern, sind hoch; vor allem in der industriellen Fertigung, in der Logistik und der Gebäudetechnik.

Das Internet of Things (IoT) ist für Unternehmen mittlerweile zu einer zentralen Komponente der Digitalisierung geworden. Überall wird mit Feuereifer an neuen Anwendungen und Lösungen gearbeitet, werden industrielle Prozesse auf die neuen technischen Möglichkeiten ausgerichtet und neue Geschäftsmodelle konzipiert. Es zeichnet sich ab, dass das IoT im gewerblichen Einsatz, weit mehr als im privaten Bereich, zu einer großen Erfolgsgeschichte werden wird. Dabei sollte man jedoch eines nicht vergessen: IoT als Technologie ist noch ziemlich jung und dementsprechend noch lange nicht ausgereift. Viele der hier zum Einsatz kommenden Verfahren sind noch nicht so erprobt und gesichert, wie man das beispielsweise aus der industriellen Fertigung gewohnt ist. Noch läuft die Phase, in der man Know-how erst aufbaut und es liegt in der Natur der noch immer neuen Sache, dass Erfahrung rar ist.

Dies trifft besonders auf das Thema Sicherheit und IoT zu. Wie bei fast jeder jungen Technologie steht bei der Entwicklung der jeweiligen Komponenten die Funktionalität im Vordergrund und ist oft Herausforderung genug. Sicherheitsaspekte bleiben außen vor oder werden nur am Rande behandelt. Wichtig ist vielmehr, dass das Ding überhaupt zum Laufen kommt. Security by Design ist bei IoT-Komponenten noch die große Ausnahme. Das ist im Laufe einer technologischen Entwicklung keine Besonderheit. ABS und Airbag wurden auch erst entwickelt, als das Auto einen gewissen Reifegrad erreicht hatte und man sich einigermaßen darauf verlassen konnte, dass es fährt – trotzdem haben Fehler auch und gerade in diesem Reifestadium fatale Folgen.

Verfahren aus zwei Welten

Im Falle des Internets der Dinge liegt eine ganz grundsätzliche Problematik vor: IoT bringt zwei bislang getrennte Sphären zusammen, IT einerseits und mit den "Dingen" im weitesten Sinne Technik und Industrie. In beiden Sphären sind – bisher – sehr unterschiedliche Verfahren und Gepflogenheiten üblich. So hat sich in der IT ein recht kurzer Produktzyklus etabliert, nach zwei bis vier Jahren werden Systeme ausgetauscht. Eine längere Lebensdauer ist selten nötig, da die angewandten Technologien schon vorher obsolet werden; ein sieben Jahre altes Notebook oder ein fünf Jahre altes Smartphone sind Auslaufmodelle. Industrielle Komponenten haben dagegen schon mal fünfzehn oder auch zwanzig Jahre Bestand. So ist dann beispielsweise das in einer IoT-gesteuerten Turbine oder in einer Förderanlage verbaute Kommunikationssystem veraltet, lange bevor die Anlage selbst erneuert werden muss und es ist fraglich, ob es innerhalb ihrer technischen Lebensdauer überhaupt noch Sicherheitsupdates oder Patches gibt. Und niemand kann garantieren, dass der Verschlüsselungsalgorithmus, der heute in einer IoT-gesteuerten Maschine implementiert wird, auch noch im Jahr 2035 sicher ist.

In diesem Zusammenhang ist ein weiterer Aspekt wichtig: Die Menschen, die mit der Installation, Wartung und Kontrolle von IoT-Systemen im industriellen und gewerblichen Umfeld befasst sind, sind in der Regel keine IT-Experten. Sie sind vielleicht Wartungs- oder Maschinentechniker, Logistiker, Gebäudetechniker oder Facilitymanager; bei Störungen ist es für sie nur naheliegend, sich um ihre jeweilige Technik zu kümmern: Beim Ausfall einer Klimaanlage sucht der Gebäudetechniker aufgrund seiner bisherigen Erfahrung zunächst nach einem Fehler in der Klimaanlage selbst und geht vermutlich nicht von einem Web-Angriff auf die Anlage aus.

Vor diesem Hintergrund sind die Risiken zu bewerten, die IoT neu ins Unternehmen bringt. Die Technologie verbindet technische (Produktions-)Systeme – mitunter auch Werkstücke oder sogar Rohstoffe – über standardisierte Kommunikationsschnittstellen mit dem Web; das eröffnet die Möglichkeit der Kontrolle und Steuerung. Allerdings nicht nur für berechtigte Nutzer, sondern im Prinzip auch für andere. Diese können entweder Informationen über die jeweiligen Systeme abgreifen – und daraus auch Rückschlüsse weit über dieses hinaus ziehen – sie können aber auch die Steuerung der betreffenden Systeme übernehmen und beispielsweise Fehlfunktionen auslösen. Es ist nicht schwer, sich entsprechende Schadens- oder Schreckensszenarien auszumalen, zumal IoT dabei ist, sich auch in kritischen Infrastrukturen, beispielsweise im Gesundheitswesen oder in der Strom- und Wasserversorgung, zu etablieren. Mittlerweile ist bereits jede vierte Maschine in der Industrie "smart", und man kann davon ausgehen, dass dies auch die Kommunikationsfähigkeit einschließt.

Neue Angriffspunkte

Der einfachste konkrete Angriffspunkt ist der direkte Zugriff auf Anlagen. Vielfach erhalten externe Service-Unternehmen für Wartungsarbeiten einen unkontrollierten Zugriff auf die Steuerung von Anlagen, mitunter verschaffen sie ihn sich auch selbst, indem entsprechende Bauteile implementiert werden, die bei Bedarf dann "mit zuhause telefonieren". Einmal im Firmen-Netz heimisch, lässt sich von diesen Bauteilen natürlich auch ein "Hopping" zu anderen Systemen betreiben, sodass dem Service-Dienstleister schließlich das gesamte Netz offensteht. Solange die Kommunikation althergebracht per Modem erfolgt, ist das durch die IT noch einigermaßen kontrollierbar, wird aber eine LTE-Komponente im IoT-Gerät verbaut, hat das Unternehmen kaum eine Möglichkeit, die Kommunikation nach außen zu unterbinden. Das gezielte Scannen und Stören von Funkverbindungen ist jedenfalls klar verboten.

Smarte Produktionsanlagen sicher betreiben

Das 1x1 für sichere Industrieanlagen

Smarte Produktionsanlagen sicher betreiben

Sowohl Safety als auch Security sind für den Betrieb moderner Produktionen unabdingbar. Inzwischen gibt es gemeinsame Normen und Best-Practices sowie technologische Lösungen und Produkte, die eine sinnvolle Verzahnung beider Schutzziele ermöglichen. weiter...

Die rasante Entwicklung der Drohnentechnologie erweitert die Möglichkeiten von Angriffen auf firmeninterne Funknetze. Angreifer können Drohnen stundenlang in Höhen positionieren, in denen sie kaum mehr zu erkennen sind; von dort können sie dann zum Beispiel die Kommunikation zwischen IoT-Systemen und dem jeweiligen MES (Manufacturing Execution System) mitschneiden oder auch beeinflussen – ein Angriffsvektor, den derzeit noch die wenigsten Unternehmen auf dem Schirm haben. Abwehrmöglichkeiten gegen das Ausspähen durch Drohnen sind begrenzt, denn auch hier ist das Stören von Frequenzen ebenso wenig erlaubt wie das Abschießen.

Neben Industrieanlagen bilden bisher besonders Logistik und Gebäudetechnik Angriffsziele. Es liegt in der Natur der Sache, dass in der Logistik bevorzugt mobile Verbindungen eingesetzt werden; mittlerweile werden nicht nur LKWs mit entsprechenden Systemen ausgestattet, sondern auch Container oder sogar einzelne Paletten. Die Logistiker können auf diese Weise eine Lieferkette sehr genau automatisiert verfolgen, eröffnen damit aber Angreifern auch die Möglichkeit, Daten abzufangen und zu verändern. Im Unterschied zu Industrieanlagen befinden sich LKWs oder Container nicht in einem gesicherten Umfeld; man benötigt also nicht einmal eine Drohne, sondern muss nur mit einem Lesegerät am richtigen Ort spazieren gehen. Auf diese Weise kann man nicht nur detaillierte Informationen über Lieferketten erhalten, sondern kann sie bei Bedarf auch lahmlegen.

Auch die Möglichkeiten von Angriffen auf die Gebäudetechnik werden von Unternehmen meist unterschätzt. Die relevanten Bauteile, beispielsweise Klimatechnik oder Brandmeldeanlagen, sind meist nicht geschützt, lassen sich nur selten updaten und bieten Angreifern vielfältige Betätigungsmöglichkeiten: das kann vom Verändern der Raumtemperatur – was in einem Rechenzentrum katastrophale Folgen haben kann – bis zum Auslösen einer Sprinkleranlage reichen. Drohnen, die die Kommunikation etwa eines Rauchmelders abfangen, sind ein überaus effizientes Angriffsmittel – Angreifer können hier mit sehr überschaubarem Aufwand in kurzer Zeit ganze Unternehmen ruinieren.

Die direkten Abwehrmöglichkeiten gegen derartige Angriffe sind, wie erwähnt, begrenzt und die meisten Unternehmen können sich ja auch nicht in Hochsicherheitszonen verwandeln. Wichtig ist aber vor allem, sich der durch IoT-Systeme entstehenden Risiken überhaupt erst einmal bewusst zu werden und sich nicht nur an deren Funktionalität zu erfreuen. Unternehmen sollten dabei folgende Fragen beantworten können:

  • Welche IoT-Komponenten werden im eigenen Netz verwendet?
  • Welche Verbindungen gib es nach außen? Welche davon sind nicht erforderlich?
  • Gibt es (unkontrollierte) Wartungszugänge?
  • Sind von einzelnen Systemen andere zu erreichen? Lässt sich das beispielsweise durch Mikro-Segmentierung unterbinden?
  • Lassen sich Funkverbindungen reduzieren oder verschlüsseln?
  • Wer im Unternehmen ist für die Sicherung der IoT-Systeme verantwortlich? Verfügen die Verantwortlichen über Know-how für IT-Sicherheit?

Die Sicherung der IoT-Welt ist keine einmalige Aufgabe, erst recht nicht angesichts einer Technologie, die selbst noch im Werden ist. Umso wichtiger ist es, dass IoT das Internet of Things fester Bestandteil einer unternehmensweiten Cyber-Defense-Strategie wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45522748 / Security)