Expertenbeitrag

Dipl.-Inf. Klaus Mochalski

Dipl.-Inf. Klaus Mochalski

Geschäftsführer Rhebo GmbH

Trend-Dossier 2021 Kritische IoT-Netze vor Ausfällen und Angriffen schützen

Autor / Redakteur: Klaus Mochalski / Lea Täufer

Die Cybersicherheit und Stabilität von kritischen IoT-Geräten birgt neue Herausforderungen. Betreiber von IoT-Netzwerken werden neue Wege gehen, die lokale Abwehr mit globalem Gerätemanagement verbinden und Signatur- mit Anomalieerkennung kombinieren.

Firmen zum Thema

Die Entwicklung des Internet of Things ist und bleibt unaufhaltsam. Welche Trends stehen im Jahr 2021 an?
Die Entwicklung des Internet of Things ist und bleibt unaufhaltsam. Welche Trends stehen im Jahr 2021 an?
(Bild: pixabay)

Experten für Cybersicherheit warnen seit langem vor den Sicherheitslücken in IoT-Geräten. Mit den als Ripple20 bekannt gewordenen Schwachstellen zeigte sich Anfang 2020 erstmals das ganze Ausmaß. Die betroffene Softwarebibliothek der Firma Treck bildet das Fundament für die Netzwerkkommunikation unzähliger IoT-Geräte und wird seit über 20 Jahren weltweit veräußert. Käufer können die Softwarebibliothek nach ihren eigenen Anforderungen anpassen, weiterentwickeln und unter eigenem Namen weiterverkaufen. Die Spuren der Bibliothek sind größtenteils verwischt. Kurz: Die Ripple20-Schwachstellen in IoT-Geräten können sehr wahrscheinlich nicht vollständig gepatcht werden.

Besondere Herausforderungen in IoT-Netzen

Schwachstellen sind nichts Neues in unserer vernetzten, digitalen Welt. IoT-Netze sind jedoch ganz besonders betroffen:

  • Innerhalb einer Geräteflotte herrscht maximale Homogenität. Nach dem Motto “Kennst du eins, kennst du alle” kann ein Angreifer von einem initialen Gerät ohne weiteres den Rest der Flotte übernehmen und auch die Zentrale schädigen. Erfolgt die Angriffserkennung und Identifikation technischer Fehlerzustände ausschließlich zentral, kann es bereits zu spät sein, wenn die Zentrale den Angriff bemerkt.
  • IoT-Geräte sind in der Regel über mehrere Standorte oder weltweit verteilt. Das erschwert ein schnelles Beheben von Störungen. Einer unserer Kunden verkauft und betreibt beispielsweise smarte Energiespeicher, die in teils unzugänglichen Gegenden zum Einsatz kommen.
  • Es muss davon ausgegangen werden, dass Ripple20 nur eine kleine Welle im Meer der Abermillionen IoT-Geräte ist. IoT-Geräte sind berüchtigt für ihre fehlenden Cybersicherheitsfunktionen und eklatanten Sicherheitslücken. Viele davon sind tief in der Code-Basis einprogrammiert. Hersteller und Betreiber von IoT-Geräten stehen somit einer großen Legacy gegenüber, die nicht komplett neu konzipiert werden kann.

Lokale Angriffserkennung und Abwehr für globale IoT-Cybersicherheit

Da die Schwachstellen-Exploits und Angriffsmuster, denen IoT-Geräte zum Opfer fallen können, bislang noch mehrheitlich unbekannt sind, reicht keine normale Firewall-Funktion. Ein Großteil der durch Ripple20 ausführbaren Angriffstaktiken gleichen beispielsweise Kommunikationsvorgängen, die für Firewalls legitim wirken. Die Funktionen der IoT-Geräte müssen deshalb durch ein lokales Monitoring der Gerätekommunikation mit einer Anomalieerkennung ergänzt werden. So werden auch alle Verhaltensmuster erfasst, die von der zu erwartenden Kommunikation abweichen. Der bestehende blinde Fleck rein signaturbasierter Analyse wird lückenlos ausgeleuchtet.

Cybersicherheitsfunktionen sollten aufgrund der starken Verteilung der Geräte direkt auf den IoT-Devices integriert und auf die jeweiligen Rahmenbedingungen angepasst werden. Die lokale Angriffserkennung und Abwehr verhindert die Ausbreitung der schadhaften Aktivitäten direkt am Einstiegspunkt.

Beispielsweise kann als Direktmaßnahme das betroffene Gerät vom Netz genommen werden, um ein Ausbreiten auf weitere Geräte zu verhindern. Gleichzeitig werden alle Vorfälle an die Zentrale gemeldet, um die Auswertung der globalen Risikolage und Abstimmung weiterer Maßnahmen zu ermöglichen.

Das betrifft nicht nur Meldungen zu sicherheitsrelevanten Vorfällen. Eine Anomalieerkennung erkennt auch technische Fehlerzustände, die auf Verschleiß oder Netzwerkprobleme hinweisen. Betreiber der IoT-Geräte können so zusätzlich ein zuverlässiges Gerätemanagement und eine vorausschauende Wartungsplanung aufbauen.

Die Lösung hierfür muss aus Kapazitätsgründen schlank und ressourcenschonend arbeiten sowie einfach und ohne Vorortbesuch installier- und aktualisierbar sein. In Betracht kommen hier vor allem rein software-basierte Agenten, die global auf den verteilten IoT-Geräten installiert werden. Um die Anpassung an die spezifischen Rahmenbedingungen und Kommunikationsmuster der jeweiligen IoT-Geräte zu ermöglichen, sollte die Lösung herstellerunabhängig funktionieren und gängige Hardware-Plattformen unterstützen.

Fazit

Das Thema der Cybersicherheit und Stabilität von IoT-Geräten wird die nächsten Jahre einen zunehmenden Stellenwert erlangen. Aufgrund der Diversität der verfügbaren IoT-Geräte und ihrer Funktionen müssen Angriffs- und Fehlererkennung breit aufgestellt sein. Zugleich bedingt die interne Homogenität der jeweiligen Infrastruktur, dass Erkennung und Abwehr lokal erfolgen, um die Flotte effektiv schützen zu können. Als zielführend hat sich in ersten Projekten eine Verbindung aus Signatur- und verhaltensbasierter Analyse gezeigt, die lokal agiert, um global zu schützen.

(ID:47079764)

Über den Autor

Dipl.-Inf. Klaus Mochalski

Dipl.-Inf. Klaus Mochalski

Geschäftsführer Rhebo GmbH