Sicherheitsstandards

IoT-Sicherheitsstandard ist Gebot der Stunde

| Autor / Redakteur: Christian Koch / Sebastian Human

Für Angreifer sind IoT-Geräte mit veralteter Software ein offenes Tor.
Für Angreifer sind IoT-Geräte mit veralteter Software ein offenes Tor. (Bild: Photo by Jose Fontano on Unsplash / CC0)

Die zunehmende IoT-Verbreitung bringt erhebliche Sicherheitsgefahren mit sich. Neben funktionalen Aspekten muss deshalb auch die Sicherheit in den Mittelpunkt rücken: sowohl Hersteller als auch Anwender sind gefordert.

Unter den Begriff Internet of Things (IoT) lassen sich im Unternehmensumfeld unterschiedlichste Bereiche subsumieren. Es gibt einerseits die Operational Technology (OT) – etwa aus der Produktionssteuerung und Gebäudetechnik – und andererseits die klassischen IoT-Geräte wie Kameras und Smart-Home-Komponenten. Letztere konzipieren Hersteller primär unter Low-Cost-Gesichtspunkten, das heißt, bei der Entwicklung heben sie auf funktionale Aspekte ab, vernachlässigen die Sicherheit und unterlassen aus Kostengründen auch die Maintenance. So ist es keine Seltenheit, dass sie nach dem erstmaligen Roll-out der Geräte keine weiteren Updates bereitstellen. Für Angreifer sind die zahlreichen IoT-Geräte mit veralteter, ungepatchter Software natürlich ein einfaches Ziel: Etliche gut dokumentierte Sicherheitsvorfälle belegen die reale Gefahr, etwa DDoS-Angriffe über Botnetze unter Nutzung von Kameras.

Besser ist die Sicherheitslage auch nicht im OT-Umfeld, in dem für Unternehmen noch weitaus größere Gefahren drohen: vom Stilllegen kompletter Anlagen bis zur Manipulation oder zum Diebstahl von Intellectual Property. Dies sind keine fiktiven Szenarien, wie der Global Threat Intelligence Report 2018 von NTT Security ergeben hat. Demnach betrafen 2017 in Deutschland 36 Prozent aller Cyber-Attacken auf Unternehmen die Fertigungsindustrie, also einen Bereich, in dem die OT eine zentrale Rolle einnimmt.

Dass die Sicherheit im OT-Bereich bisher keine große Rolle gespielt hat, ist historisch bedingt. Ein Produktionssystem etwa war in der Vergangenheit primär auf Funktionalität, Stabilität und Verfügbarkeit ausgelegt. Security war nie eine Anforderung – musste es aber früher auch nicht sein, da die Systeme separat vom klassischen Unternehmensnetzwerk betrieben wurden. Mit dem Zusammenwachsen von IT- und OT-Welt im Rahmen von Digitalisierung und Industrie 4.0 hat sich dies allerdings gravierend geändert.

Die Hersteller sind gefordert

Zunächst einmal sind die Hersteller in der Pflicht, wenn es um die Sicherheit ihrer Geräte geht. Wichtig wäre zunächst einen ‘IoT-Security-Standard‘ als Grundschutz, der einen Rahmen vorgibt und etwa von Herstellern eine genaue Bewertung von Risiken verlangt, die aus dem Betrieb ihrer Systeme entstehen. Zudem muss sich ein IoT-Grundschutz auch der Frage nach den unterschiedlichen Lebenszyklen von Standards, Software und Geräten stellen. Und vor allem muss ein Grundschutz Update-Regelungen treffen, etwa wie lange Updates bereitgestellt werden müssen.

Neue IoT-Standards sollten aber keine detaillierten Konzepte vorgeben, sondern allgemeine Anforderungen formulieren, die risikoadäquat umgesetzt werden müssen. Vorgaben wie die Verwendung bestimmter Protokolle wären auch illusorisch angesichts der derzeit im IoT-Umfeld genutzten Vielzahl von Protokollen; es sind über 500. Grundschutz heißt aber andererseits nicht, ein paar unverbindliche Regeln wie „die Nutzung von Lösungen, die dem Stand der Technik entsprechen“ aufzustellen. Für die herkömmliche IT etwa liefert der Standard ISO 27001 mit seinen Vorgehensweisen und Anforderungen einen bewährten Rahmen. Für die speziellen Gegebenheiten des IoT sollten vergleichbare allgemeine Normen existieren, etwa auch initiiert von der ISO. Selbst wenn allgemeingültige IoT-Standards noch nicht vorhanden sind, gibt es doch schon Sicherheitsstandards für industrielle Kommunikationsnetze und Leitsysteme, die unbedingt zu beachten sind, zum Beispiel etablierte Normen wie IEC 62443 (ISA-99), IEC 62264 (ISA-95) oder NIST 800-82. Unternehmen können damit das Risiko von OT-Netzwerken bewerten und passende Sicherheitsmaßnahmen ergreifen.

Auch IoT- und OT-Anwender müssen aktiv werden

Aber nicht nur die Hersteller sind gefordert, die IoT- und OT-Anwender müssen ebenfalls ihre Hausaufgaben machen - sowohl auf organisatorischer als auch auf technischer Ebene. Die fachliche Verantwortung für IoT- und OT-Systeme sollte in den Fachbereichen liegen, aber die Verantwortung für Security sollten Unternehmen zentralisieren.

Die Regelung von Verantwortlichkeiten ist das eine, die noch größere Herausforderung besteht aber in der Umsetzung technischer Maßnahmen zur IoT-Sicherung. Hier zeigt sich schnell, dass eine extrem hohe Komplexität gegeben ist. Zentraler Grund ist die Vielzahl unterschiedlicher Technologien, Protokolle und Übertragungstechniken, die zu berücksichtigen sind. Wenn es um Auswahl, Architekturen, Implementierung und Betrieb von Security-Lösungen für den IoT- und OT-Bereich geht, sollte jedes Unternehmen deshalb genauestens überprüfen, ob es intern in der Lage ist, diese Aufgaben zu übernehmen. Vielfach kann es durchaus sinnvoll sein, auf externe Unterstützung zurückzugreifen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45637318 / Industrial Cyber Security)