:quality(80)/p7i.vogel.de/wcms/58/a9/58a99f4fba2171dc85f3544414c5ec0c/0115493278.jpeg "Blick auf die Umgebung des Industrial-Edge-Marktplatz von Siemens. Diese Plattform ist nun die Basis, von der man ab jetzt auch die Funktionen von IoT Sitewise Edge von Amazon Web Services (AWS) nutzen kann. Erfahren Sie hier, welche Vorteile das für Anwender hat ... (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/05/48/05487482c0f079fe15af84683717c14b/0115489579.jpeg "Dieser Schreitbagger hat es in sich. Denn er greift und scannt jeden Steinbrocken, um ihn an die richtige Stelle zu setzen, wobei nach und nach eine zig Meter lange und sechs Meter hohe Trockenbaumauer entsteht. Forscher aus Zürich haben ihn nämlich „intelligent“ gemacht. (Bild: Eberhard AG / M. Schneider)")
:quality(80)/p7i.vogel.de/wcms/3e/16/3e16af38de3a62f12a7be370407bbac1/0115525732.jpeg "Die Cyber-Security-Anforderungen wachsen. Bei Hilscher begegnet man dem mit der neuen Net-X-Familie, die zunächst aus zwei Chips bestehen wird – dem Net-X 902 und Net-X 912. Damit sei man bereits gut für die Herausforderungen der Zukunft gerüstet. (Bild: Hilscher)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b50764dc881f744102b9e9aa4fda7/0114414633.jpeg "Dank der fehlenden Abhängigkeit von der Hardware erleichtert und beschleunigt SDS die Adaption neuer Technologien. (Bild: spainter_vfx - stock.adobe.com/ Western Digital Corporation)")
:quality(80)/p7i.vogel.de/wcms/39/28/3928479c781fd094dd193f7bf17d5661/0115596513.jpeg "Benedikt Hofmann, Chefredakteur der Medienmarken Blechnet, ETMM, Industry of Things, MM Logistik und MM Maschinenmarkt. (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/b4/a3/b4a3906e00fdab4ea3002425811e7f91/0115464434.jpeg "Im UniMelt-Prozess wird gebrauchtes Pulver in Premium-Pulver für die additive Fertigung umgewandelt. (Bild: 6K)")
:quality(80)/p7i.vogel.de/wcms/54/41/54419e2615d111173263d0641edcfc6e/0115435975.jpeg "Im Reallabor der BAM wird der gesamte 3D-Druckprozess digitalisiert. Drei Metalllegierungen wurden jetzt mittels der Dynamischen Resonanz Methode (DRM) charakterisiert. (Bild: Bundesanstalt fuer Materialforschung u.-pruefung (BAM))")
:quality(80)/p7i.vogel.de/wcms/c1/92/c192faf294760188551a251a50a706a2/0115421140.jpeg "Neben Antennen, Ventilen und Steckern ist diese komplexe Wärmetauscher-Komponente ein typisches Kupferbauteil, das FKM im Laserstrahlschmelzen additiv fertigt. (Bild: FKM Sintertechnik)")
:quality(80)/p7i.vogel.de/wcms/b6/f6/b6f65916586f2f0c1d8c9f5c867e1a70/0115525464.jpeg "XR-Anwendungen, also der Mix aus Augmented Reality (AR) und Virtual Reality (VR), gehören zu den Spezialitäten von Hololight aus Innsbruck. Dabei ist man so erfolgreich, dass man sich nun eine weitere Finanzspritze in Höhe von 11,4 Millionen Euro sichern konnte. (Bild: Hololight)")
:quality(80)/p7i.vogel.de/wcms/8f/d2/8fd22e3afa16eab2d027135fed098bbd/0115495459.jpeg "Das Statistische Bundesamt hat zigtausend Unternehmen mit über zehn Mitarbeitern in Deutschland befragt, wie es um die Nutzung von künstlicher Intelligenz bestellt ist. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/YxHwl4mtx0JuZwv28xV81W6g9pg=/500x500/wcms/24/db/24dbb70f397d44/profile-image.png "Dipl.-Phys. Oliver Schonschek")
Worauf man bei der Zertifizierung von IoT-Produkten achten muss
Gerade im Bereich Sicherheit fehlen Anwendern viele Informationen bei Lösungen im Internet of Things. Doch es gibt bereits eine Reihe von Standards und Zertifizierungen für das IoT, weitere werden hinzukommen. Wir geben einen Überblick und sagen, worauf es ankommt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/0a/610a823781562/o2-telefonica-logo-dualbranding-06-2021-1280x720-blue--1-.jpeg "o2-telefonica-logo-dualbranding-06-2021-1280x720-blue--1- (Telefonica)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Fast die Hälfte aller Unternehmen ist immer noch nicht in der Lage, Sicherheitsverletzungen an IoT-Geräten zu erkennen, meldete Gemalto im Januar 2019. Würde man die Umfrage heute wiederholen, wäre das Resultat sicher nicht besser. „Angesichts der steigenden Anzahl von smarten Geräten ist es äußerst beunruhigend zu sehen, dass Unternehmen immer noch nicht erkennen können, ob ein Verstoß vorliegt“, sagte Jason Hart, CTO, Datenschutz bei Gemalto. „Da es keine einheitliche Regulierung gibt, ist es nicht verwunderlich, dass die Bedrohung – und damit die Verletzlichkeit von Unternehmen – zunimmt. Dies wird auch so bleiben, wenn die Regierungen nicht sofort eingreifen, um der Branche zu helfen, die Kontrolle nicht zu verlieren.“
Schwachstellen in der IoT-Security
Zu den Top IoT-Sicherheitsbedenken zählen schwache Standard-Anmeldeinformationen, Klartext-HTTP-Kommunikation zu einem Server für Firmware- oder Paket-Updates, Klartext HTTP-Authentifizierung und die Nutzung veralteter Bibliotheken, wie Zscaler berichtete.
„Wir haben beobachtet, dass über 90 Prozent der IoT-Prozesse über Klartext erfolgen, was diese Geräte und die Unternehmen unserer Meinung nach anfällig für spezifische Angriffe macht“, so Deepen Desai, Vice President of Security Research bei Zscaler. „Unternehmen müssen ihren IoT-Footprint bewerten, da sie durch weitere Expansion das Risiko von Cyberangriffen erhöhen werden. Von der Änderung der Standard-Anmeldeinformationen bis hin zur Beschränkung des Zugriffs auf IoT-Geräte aus externen Netzwerken gibt es eine Vielzahl von Schritten, um die IoT-Sicherheit zu erhöhen.“
Anwenderunternehmen und Nutzern wäre zweifellos geholfen, wenn es mehr Informationen zur Sicherheit von IoT-Lösungen gäbe, nicht nur über Risiken und Schwachstellen, sondern auch über die tatsächlich vorhandenen Sicherheitseigenschaften. Zusätzlich wäre es nicht nur für den normalen Anwender wichtig, einen Hinweis zu bekommen, ob die verfügbaren Sicherheitsfunktionen bei einem IoT-Produkt ausreichen, und wenn ja, für welchen Schutzbedarf.
Dabei genügt es nicht, die eigenen IoT-Lösungen im Blick zu haben, wie eine Studie des Ponemon Institutes zum Risiko Dritter für das Internet der Dinge zeigt. Ponemon meldet eine dramatische Zunahme von IoT-bezogenen Datenschutzverletzungen, insbesondere aufgrund eines ungesicherten IoT-Geräts oder einer ungesicherten IoT-Anwendung. Waren es 2017 noch 15 Prozent sind es jetzt bereits 26 Prozent. Die wirklichen Ergebnisse sind möglicherweise sogar höher, da die meisten Unternehmen nicht über jedes ungesicherte IoT-Gerät oder jede ungesicherte IoT-Anwendung in ihrer Umgebung oder von Drittanbietern informiert sind.
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/5f/b3/5fb3a536bf2cb/playout.jpg "playout")
Viele IoT-Risiken, aber auch viele IoT-Sicherheitsstandards
Neben den vielen Risiken, die es rund um das Internet der Dinge zu beachten gilt, gibt es auch eine Vielzahl an Empfehlungen und sogar Standards im Bereich IoT-Sicherheit. Einigee Beispiele sind:
- Das Deutsche Institut für Normung (DIN) hat mit der DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Konkret fordert die DIN SPEC 27072 u.a. eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle und verbietet die Nutzung von Standardpassworten im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptographischer Verfahren nach dem Stand der Technik.
- Zudem gibt es den Code of Practice for consumer IoT security, sowie die Technische Spezifikation „Cyber Security for Consumer Internet of Things“ von der Standardorganisation ETSI.
- Weiterhin haben die Mitglieder des Industrial Internet Consortium (IIC) den „Security Maturity Model (SMM) Practioner’s Guide“ entwickelt. Der Leitfaden unterstützt IoT-Betreiber bei der Einschätzung ihres aktuellen und anvisierten Security-Reifegrads.
Sowohl für die Anbieter von IoT-Lösungen als auch für die Anwender ist es entscheidend, dass sich mehr Transparenz im IoT bildet, aber auch bei den Standards und Empfehlungen. Viele verschiedene Spezifikationen erschweren die Vergleichbarkeit und Interpretation der IoT-Sicherheit.
Die EU-Agentur für Cyber-Sicherheit ENISA hat sich IoT-Sicherheitsstandards angesehen und kam zu dem Schluss:
- Eine ENISA-Analyse, bei der die bestehenden Standards mit den Anforderungen an Sicherheit und Datenschutz im Bereich des Internet der Dinge abgeglichen wurde, ergab, dass keine signifikante Standardlücke besteht - jede Anforderung kann von einem bestehenden Standard erfüllt werden. Während Standards für viele verschiedene Elemente existieren, um ein Gerät oder einen Dienst sicher zu machen, bezieht sich der Begriff IoT auf ein Ökosystem, das nicht nur Geräte und Dienste umfasst. Darüber hinaus erfordern der Anwendungskontext von IoT, seine hohe Skalierbarkeit und andere Merkmale weitere flexible Ansätze.
- Die Sicherheitslücke bei IoT-Gerätestandards besteht darin, dass die Standards nicht ganzheitlich behandelt werden. Daher ist es möglich, ein Gerät auf den Markt zu bringen, das seinen Benutzer authentifizieren, gesendete und empfangene Daten verschlüsseln und entschlüsseln, den Integritätsnachweis liefern oder verifizieren kann, das jedoch weiterhin unsicher ist und bleibt.
:quality(80)/images.vogel.de/vogelonline/bdb/1493900/1493996/original.jpg "Für Angreifer sind IoT-Geräte mit veralteter Software ein offenes Tor. (Photo by Jose Fontano on Unsplash)")
Sicherheitsstandards
IoT-Sicherheitsstandard ist Gebot der Stunde
Worauf es bei IoT-Sicherheitszertifizierungen ankommt
Die Sicherung des Internets der Dinge ist mit einem einheitlichen Ansatz nicht möglich - und jede Art von vernetztem Objekt muss individuell bewertet werden, erklärte ein Vertreter der Trusted Computing Group (TCG).
Das IoT erscheint also als zu komplex und vielschichtig für eine einheitliche Sicherheitsempfehlung und Sicherheitszertifizierung. Dann aber wäre es wichtig, einen Basisschutz für IoT-Geräte zu definieren, was bereits mehrfach erfolgt ist, diesen Basisschutz aber auch auf alle IoT-Geräte anzuwenden, die Einhaltung zu zertifizieren und ganz deutlich zu machen, dass weitere Sicherheitsmaßnahmen je nach IoT-Lösung erforderlich sein können.
Betrachtet man nämlich die Schwachstellen und Mängel in der IoT-Sicherheit, sind dies oftmals Punkte, die unter das Thema Basisschutz fallen. Mit Zertifikaten, die diesen nachweisen, wäre also der Transparenz im Internet of Things deutlich geholfen, die IoT-Sicherheit braucht allerdings je nach Schutzbedarf und konkretem Anwendungsgebiet noch weitere Maßnahmen, also zum Beispiel auch weitere Zertifizierungsstufen.
:quality(80)/images.vogel.de/vogelonline/bdb/1552700/1552768/original.jpg "Gerade im Umgang mit Passwörtern herrscht viel Risikopotenzial. (gemeinfrei)")
Cybersecurity-Serie Teil 3
Designprinzipien: Sicherheit ab Werk integrieren
(ID:46031100)
:quality(80)/p7i.vogel.de/wcms/0f/84/0f843414e455ffdb9af1d7055c05032a/0109026627.jpeg "Das Risiko von Cyberangriffen steigt mit der Zahl der vernetzten Geräte – Netzdrucker sind dafür ein Beispiel. (Bild: Gemeinfrei // Pixabay)")
:quality(80)/p7i.vogel.de/wcms/09/08/090807fbe7f9d3e9f2caad5a74b24e91/0113385890.jpeg "Während Cyberangriffe immer raffinierter und zahlreicher werden, stellen auch Mitarbeiter eine Sicherheitsbedrohung dar – oft unbeabsichtigt. (Bild: frei lizenziert)")