Smart Everything Security by Design fürs Internet der Dinge

Autor / Redakteur: Thomas Hemker* / Stephan Augsten

Auch wenn alle Welt von der Smart City und vom Smart Home spricht, so kommen die ersten Pilotprojekte noch nicht über diesen Status hinaus. Das ist aber nicht verkehrt, denn so kann die Sicherheit noch von Grund auf bedacht und mitgedacht werden.

Firmen zum Thema

Smart Home und Smart City erfordern, dass Sicherheit von Grund auf zur Infrastruktur gehört.
Smart Home und Smart City erfordern, dass Sicherheit von Grund auf zur Infrastruktur gehört.
(Bild: Pixabay)

Für BITKOM und Gartner stehen Smart-Home-Technologien vor dem Durchbruch. Die Analysten von Gartner sehen ein Wachstum auf 500 bis 700 Millionen der intelligenten Häuser bis 2020 – von heute 100 bis 200 Millionen. Deloitte Consulting zählte im Auftrag des deutschen Branchenverbandes BITKOM im Jahr 2013 hingegen gerade einmal 315.000 vernetzte Heime in Deutschland. Eine Zahl die sich mit rund 1,5 Millionen erwarteten vernetzten Haushalten bis 2020 rasant steigern soll.

Vernetzte Städte, Wohnungen und Häuser sollen vor allem das Leben der Menschen komfortabler, effizienter und sicherer gestalten. Doch im Rennen darum, dass das Energienetz mit dem Haushaltszähler kommuniziert oder der Kühlschrank automatisch die Milch bestellt, vergessen Hersteller wie Verbraucher oftmals einen zentralen Aspekt: die Sicherheit.

Effizienter Schutz vor Missbrauch ist nur dann gewährleistet, wenn bereits in der Planungsphase von Projekten und Produkten der Sicherheitsaspekt bedacht wird. Das Bewusstsein, dass ein vernetzter Fernseher oder Wasserzähler ein Computer ist, der Daten sendet, muss erst geschaffen werden – genauso wie bei Smart Grids oder einer vernetzten Produktion. Dies sollte möglichst schnell geschehen, denn auf der anderen Seite stehen Profis, die genau diese Bewusstseinslücke ausnutzen und aus dem Internet of Things schnell ein Netz voller Sicherheitsrisiken machen.

Smart Cities und Smart Home: attraktive Ziele für Cyber-Kriminelle

Für Cyber-Kriminelle sind ihre Hacks ein Geschäftsmodell. Das heißt, sie wollen davon profierten. Daher werden Attacken nicht nur sehr gezielt und professionell geplant und durchgeführt, sondern vor allem auch mit einem finanziellen Nutzen im Hinterkopf. Mit einer konzertierten Aktion ließe sich das gesamte Leben in einer Smart City lahmlegen – von Energienetzen über den öffentlichen Nahverkehr bis hin zu Behörden und Banken.

Nicht umsonst hat die Bundesregierung ihre „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ (KRITIS) entwickelt. Zu den kritischen Infrastrukturen gehören neben den Sektoren Gesundheit, Wasserversorgung und Ernährung auch Information & Telekommunikation, Energie, Transport & Verkehr sowie das Finanz- & Versicherungswesen – also alle Branchen, die das tägliche Leben am Laufen erhalten.

Diese Industrien müssen besondere Vorkehrungen treffen, um ihre Technologien abzusichern, und Angriffe dem Bundesinnenministerium (BMI) melden. Dass das BMI mit seiner Strategie richtig liegt, bestätigt auch der jährliche Symantec-Sicherheitsreport : Angreifer fokussieren sich primär auf die Bau-, Transport- und Kommunikationsbranche, Behörden sowie auf Energieversorger.

Doch worauf sollten die Planer einer Smart City oder eines intelligenten Heimes sowie die Produzenten vernetzter Geräte besonders achten? Und wie können Verbraucher sich schützen?

Sicherheit als Bestandteil der Planung

Wie auch bei der Planung einer IT-Infrastruktur, bei der Security von Beginn an integraler Bestandteil ist, muss auch bei einer intelligenten Stadt oder einem Gebäude die technologische Sicherheit bereits im Planungs- und Design-Stadium berücksichtigt werden.

Einige Security-Pakete zum Schluss – quasi als Nachgedanke – zu implementieren, wird nur wenig gegen motivierte Hacker ausrichten. Daher sollten sich Unternehmen wie Verbraucher, Städteplaner wie Behörden von Beginn an Gedanken machen und mit Entwicklern von Security-Lösungen zusammenarbeiten, um das für sie passende Gesamtkonzept zu entwickeln und zu implementieren.

Offene aber gleichzeitig sichere Strukturen

Alle ITK-Strategien für Smart Cities sollten demzufolge in die Pläne für die gesamte Entwicklung der Stadt integriert sein. Der Austausch und die gemeinsame Nutzung von Prozessen und Informationen müssen kontextualisiert und verknüpft auf einer gemeinsamen Middleware gespeichert und zugänglich sein.

Sämtliche Systeme sollten standardisiert, interoperabel und offen, aber gleichzeitig sicher funktionieren. Denn je komplexer und heterogen diese Umgebungen sind, desto anfälliger sind die System und desto ausgefeilter müssen andererseits die Sicherheitsstrategien sein.

Dennoch ist es relativ unmöglich, in einem so umfassenden System alle Elemente gleichermaßen zu schützen. Daher gilt es, die kritischsten Elemente zu identifizieren, zu analysieren und für diese Schutzmechanismen zu entwickeln, um die Daten der Bürger nachhaltig zu schützen – vor allem dann, wenn Bereiche mit extrem hohen Datenmengen (Big Data) bzw. sehr sensiblen Informationen eingebunden werden.

Dazu gehören beispielsweise Patientendaten im Gesundheitswesen, Informationen aus intelligenten Energienetzen, über das sich Nutzerprofile erstellen lassen, oder Daten, die auf Rechnern der Strafverfolgungsbehörden abgelegt sind.

Im privaten Bereich mag auf den ersten Blick zwar eine geringere Menge sensibler Informationen gespeichert sein, aber Bankdaten, Passwörter oder die Steuerungs-App für das smarte Heim sind ebenfalls attraktive Ziele, zum Beispiel für Ransomware. Per gehackter App ließe sich die Haustür beispielsweise verschließen und erst wieder freigeben, wenn ein Lösegeld gezahlt wurde.

Solche Beispiele verdeutlichen, dass Security bei Projekten von Anfang an, bereits ab der Planungsphase, und auf allen Ebenen eine Rolle spielen muss – von Sensoren als den kleinsten Bauteilen über Wifi-Hotspots und gesicherte medizinische Geräte bis hin zu Wasser- und Energienetzen.

Strukturiertes Vorgehen und klare Verantwortlichkeiten

Bei Smart Cities ebenso wie in den eigenen vier Wänden ist daher eine strukturierte Vorgehensweise ebenso Pflicht wie klar definierte Verantwortlichkeiten. Dazu gehört zu wissen bzw. zu definieren, wer die wichtigsten Stakeholder sind: Politiker, das Kabinett, die entsprechenden Berater, aber auch der Chief Information Officer (CIO) und der Chief Information Security Officer (CISO) – beide sollte es in einer Smart City geben – sowie weitere IT-Experten.

Darüber hinaus sollten Städte Compliance-Richtlinien umsetzen und dabei auch auf eine entsprechende Authentifizierung von Anwendern setzen. Der Schutz vor allem von Endpoints, Servern mit kritischen Daten sowie von Messaging- und Web-Umgebungen hat höchste Priorität. Städte benötigen außerdem Informationen über aktuelle Sicherheitsbedrohungen, um in Ernstfall schnell reagieren zu können.

Auf Basis des World Economic Forum Cyber Resilience Maturity Model können Städte ihre Widerstandsfähigkeit gegen Cyber-Angriffe anhand von fünf unterschiedlichen Stufen identifizieren und entsprechende Maßnahmen ergreifen. Die höchste Stufe erreicht eine Stadt, in der nicht nur alle Systeme durch entsprechende Software-Lösungen abgesichert sind, sondern alle Anwender ob der Cyber-Risiken sensibilisiert sind und sich entsprechend verhalten.

Dieser Prozess ist allerdings kontinuierlich: Auch wenn eine Smart City die höchste Stufe erreicht, muss sie ihre Sicherheitsstrategie weiterhin verfeinern und aktuellen Gegebenheiten anpassen.

Smarte Infrastrukturen: Nur clever, wenn sie auch geschützt sind

Das intelligenteste Heim oder die smarteste Stadt sind nur so gut wie das Sicherheitssystem, das sie schützt. Das war schon in Zeiten des rein physischen Schutzes so – zum Beispiel wenn Mitarbeiter oder Hausbewohner die Büro- oder Haustür abschließen und die Alarmanlage einschalten.

In der Cyber-Welt sollte dies nicht anders sein. Smart Cities sollten direkt bei der Planung nicht nur das Thema physische Sicherheit berücksichtigen, sondern auch Cyber-Security mit Aspekten wie Datenschutz, Zuverlässigkeit und Robustheit der ITK-Lösungen – und vor allem deren Widerstandsfähigkeit.

Intelligente Städte und clevere Wohnungen benötigen somit ein Security-Konzept und Anwendungen, die ebenso „smart“ sind wie sie – und damit flexibel genug sind, um auf kommende Cyber-Herausforderungen vorbereitet zu sein.

Dieser Beitrag ist zuerst auf unserem Schwesterportal Security-Insider erschienen.

* Thomas Hemker ist Sicherheitsstratege bei Symantec.

(ID:43942229)