Sicherheit im Internet der Dinge

Grundlagen der IoT-Sicherheit

| Autor / Redakteur: Jörg Vollmer / Peter Schmitz

Das IoT spielt eine wichtige Rolle bei der digitalen Integration und stellt wichtige Weichen für den wirtschaftlichen Erfolg; es bedarf aber der richtigen Sicherheitsgrundlagen.
Das IoT spielt eine wichtige Rolle bei der digitalen Integration und stellt wichtige Weichen für den wirtschaftlichen Erfolg; es bedarf aber der richtigen Sicherheitsgrundlagen. (Bild: Pixabay / CC0)

Das Internet of Things (IoT) kann der Wirtschaft große Vorteile bieten, allerdings werden bei der Umsetzung wichtige Sicherheitsmechanismen häufig vernachlässigt. Das kann schnell zum Stolperstein der Digitalisierung werden. Um wirksame Security-Konzepte für das Internet der Dinge und eine damit verbundene, erfolgreiche Modernisierung zu entwickeln, muss man aber zunächst die Grundlagen des heutigen Begriffs IoT verstehen.

Aktuell erlebt man eine Phase, bei welcher Unternehmen durch intelligente Geräte versuchen, die größtmögliche Kommunikation einzelner Geräte untereinander immer und überall zu erreichen, um die Informationen permanent und überall verfügbar zu haben. Das können zum einen einfache Anwendungen sein, wie zum Beispiel intelligente Stromzähler, welche den aktuellen Stromverbrauch dem Energielieferanten übermitteln, aber auch komplexe Installationen, wie Autoelektronik, welche Daten zur Erhöhung der Sicherheit und zur Verbesserung des Verkehrsflusses über das Internet übermittelt und somit ein intelligentes Netzwerk schafft, von welchem alle Teilnehmer profitieren können. Allerdings sind gerade deutsche Unternehmen skeptisch, da IoT als unsicher gilt oder häufig in Bezug mit Botnets wie Mirai genannt werden.

Dabei muss man verstehen, dass IoT an sich kein neues Phänomen ist, sondern einen Prozess beschreibt, der sich seit Jahren abgezeichnet hat. Durch das breite Angebot und zahlreiche Schlagzeilen ist das Internet der Dinge aber erst in den letzten Jahren sehr populär geworden. Vor allem in Bezug auf Sicherheitsrisiken. Das BSI schreibt in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2017 (pdf) dazu: „Die IT-Sicherheit spielt bei IoT-Geräten bisher jedoch keine oder nur eine untergeordnete Rolle. Für eine Kaufentscheidung des Kunden sind in der Regel die Gerätefunktionalität und der damit verbundene Komfortgewinn sowie der Kaufpreis ausschlaggebend. Dies führt dazu, dass ein neuer Bereich der Gefährdung entsteht, eine größere Angriffsfläche, die von Cyber-Kriminellen für ihre Zwecke genutzt werden kann.“

Schifffahrt in der IoT-Falle

Schadprogramme als Steuermann

Schifffahrt in der IoT-Falle

09.04.18 - Schiffe sind die größten Komponenten des Internets der Dings (IoT), und sie sind oft nicht besser geschützt als eine Webcam für 20 Euro. Ein deutscher Sicherheitsexperte knackte die IT einer Millionen-Euro Jacht binnen kürzester Zeit. lesen

Es besteht kein Zweifel, dass IoT große Vorteile für die Wirtschaft liefert, allerdings werden bei Integration der neuen Innovation Sicherheitsmechanismen häufig vernachlässigt. Die meisten IoT Geräte werden vor dem Hintergrund der Funktionalität und nicht in Bezug auf Sicherheit entwickelt. Diese Erkenntnis des BSI kann schnell zum Stolperstein der Digitalisierung werden. Um wirksame Konzepte für eine erfolgreiche Modernisierung zu entwickeln, muss man die Grundlagen des heutigen Begriffs IoT verstehen.

Grundbausteine der digitalen Integration verstehen

Im engeren Sinne benennt der Begriff IoT die neuartigen Endpunkte, die sich nicht den klassischen Device-Kategorien wie Desktopcomputer, Server oder Mobilgeräte zuordnen lassen. Allerdings gibt es intelligente Produktionsmaschinen oder digitale Telefonanlagen, die schon wesentlich älter sind als der Begriff „Internet der Dinge““. Auch die drastische Zunahme von Endpunkten in Netzwerken an sich ist nicht neu.

Immer wieder gab es durch Innovation Digitalisierungsschübe: Mitte der 90er-Jahre veränderten die PCs die Büroarbeit und stationäre Desktop-Computer wurden üblich; 1995 waren rund 200 Millionen Endgeräte im Netz. Der nächste Schritt folgte 2005 mit den tragbaren Laptops, die die Zahl der vernetzten Geräte auf eine Milliarde erhöhten. Nicht lange danach, ab ungefähr 2010, führten die Smartphones zu einer erneuten Ausweitung der Netzwerke, und heute sind 10 Milliarden Geräte online. Durch IoT wird sich laut diese Zahl laut Gartner bis 2020 nochmals verdoppeln.

Im Rahmen dieser Entwicklung gab es mehr als eine wichtige Innovation, die den heutigen Grad der Vernetzung erst ermöglichen. Einerseits sind die Preise für Sensortechnologien deutlich gesunken, so dass es überhaupt erst kosteneffizient möglich ist, unterschiedliche Geräte zu digitalen Ökosystemen verbinden zu können. Zudem erlaubte die Umstellung von IPv4 auf IPv6 erst die Verwaltung auch von sehr vielen IP-Adressen in einem Netzwerk. Zudem wurden Mobil- und Breitbandnetzwerke ausgebaut, sodass große Datenmengen jederzeit von nahezu überall austauschbar sind.

Dies sind nur einige Beispiele, die Grundlagen für Maschine-zu-Maschine-Kommunikation (M2M), Big Data-Analysen und Cloud-Computing schaffen – all das sind wichtige Faktoren, die zu einer massiven Zunahme der IoT-Geräte führen und bei dem Aufbau einer passenden Sicherheitsstrategie bedacht werden müssen.

16 Security-Lösungen für eine sichere Industrie

Hannover Messe 2018

16 Security-Lösungen für eine sichere Industrie

30.04.18 - Mit der zunehmenden Vernetzung in der Industrie wird auch das Thema Sicherheit immer relevanter und mitunter auch immer präsenter. Auf der Hannover Messe 2018, die nächste Woche ihre Pforten öffnet, spielt Cybersecurity daher eine Kernrolle: Wir stellen in diesem Beitrag einige Aussteller und deren Sicherheitslösungen vor. lesen

Schlüssel für sicheres IoT: Schwachstellen und Patch-Management

Die Verbindung solcher Innovationsmeilensteine ergibt ein IoT-Mosaik, leider mit den benannten Sicherheitsproblemen. Egal, ob IoT, klassische Software oder Hardware: Endgeräte-Hersteller und Nutzer müssen akzeptieren, dass jedes Gerät, dass auf Basis von Internetprotokollen kommuniziert, zum Angriffsvektor werden und Schwachstellen enthalten kann. Daher sollten alle Geräte regelmäßig geprüft werden und grundsätzlich Updates unterstützen. Die Fähigkeit, Schwachstellen zu erkennen und zu patchen ist die wichtigste Herausforderung. Es wird immer Endgeräte geben, die unsicher sind, daher ist es wichtig, dass auch nach dem Verkauf Updates auf Geräte eingespielt werden und Patches zeitnah verfügbar sind. Genau hier hapert es aktuell. In der Tat gibt es viele smarte Geräte, die keine Softwareupdates unterstützen. Allerdings ist unzureichendes Patch-Management und mangelhafte Prüfung auf Schwachstellen ebenfalls nicht neu, sondern so alt wie die IP-Technologie selbst. Immer wieder bleiben bekannte Schwachstellen ungepatched, obwohl passende Updates verfügbar sind. Speziell, wenn Unternehmen ihr Angebot digitalisieren, verzögert sich oft das Ausrollen von wichtigen Updates, oder einzelne Subsysteme werden einfach übersehen und erhalten nicht die nötigen Updates. Cyberkriminellen fällt es dann relativ leicht, das schwächste Glied in der Kette zu finden. Aktuelle Daten hierzu liefert der Annual Cybersecurity Report von Cisco. Dort hat man IoT-Geräte auf die Anfälligkeit auf bekannte Schwachstellen geprüft und stellte fest, dass 83 Prozent aller IoT-Endpunkte immer noch verwundbar waren.

Das Wichtigste ist daher zuerst, einen Überblick über die gesamte IT Infrastruktur zu haben, d.h. jedes Gerät, welches mit dem Netzwerk verbunden ist, muss bekannt sein. Nur was bekannt ist, kann man auch prüfen und absichern. Genau hier beginnen die Probleme: viele Unternehmen haben keine aktuelle Übersicht, da sie keine Technologien zur Inventarisierung einsetzen und diese oftmals noch von Hand durchführen und daher oftmals mit veralteten Daten arbeiten. Als nächstes sollte eine permanente Prüfung auf eventuelle Schwachstellen durchgeführt werden und die Geräte, sofern möglich, auf den aktuellsten Stand durch das Einspielen von Updates gebracht werden.

Auf diese Weise können Unternehmen globale Risiken im Zusammenhang mit neuen Zero-Day-Bedrohungen und anderen Schwachstellen, die aktiv ausgenutzt werden, schnell bewerten und priorisieren. Sollten sich IoT-Geräte mit bekannten Schwachstellen, aber ohne Möglichkeit,diese zu patchen, im Netzwerk befinden, so sollten diese erkannt und entsprechend segmentiert und von dem Produktionsnetzwerk abgetrennt werden. In jedem Fall macht es dabei Sinn, auf automatisierte Tools zurückzugreifen, welche regelmäßig die Inventarisierung und Analyse des Netzwerks vornehmen, um die IT-Abteilungen entlasten, sonst geraten diese durch die wachsende Anzahl an Endpunkte unter starken Druck. Passende Lösungen sollten in der Lage sein, IoT-Devices neben anderen Netzwerkkomponenten zu erfassen, um diese in Gesamtkontext der gesamten Infrastruktur zu bewerten.

Bug-Bounty-Programme erfolgreich nutzen

Vulnerability Reward Programs

Bug-Bounty-Programme erfolgreich nutzen

10.01.18 - Bug-Bounty-Programme verwandeln Hacker vom Feind zum Freund. Das bringt massive Vorteile für Unternehmen, die in einem sich ständig wandelnden Sicherheitsumfeld agieren. Gut durchdachte Programme zum Auffinden von Schwachstellen können Software-Anbietern helfen, den Netzwerkeffekt zu nutzen, um ihre Nutzer besser zu schützen. lesen

Hersteller in der Pflicht

Gleichzeitig müssen Vertreiber und Hersteller von IoT aktiv werden und sich stärker auf das Thema Sicherheit fokussieren. Microsoft hat für seine Geräte den monatlichen „Patch Tuesday“ etabliert und IoT-Vendors sollten ähnliche Mechanismen einführen. Die Einspielung und Prüfung der Updates muss über alle Systeme und Netzwerksegmente erfolgen – inklusive aller Endpunkte und involvierten Partner wie Dienstleister und Cloudapplikationen.

Außerdem macht es Sinn, durch Bug Bounty-Programme im Rahmen von Responsible Disclosure Agreements durch Kommunikation und Transparenz andere Akteure aktiv beim Ausmerzen von Vulnerabilities mit einzubeziehen. Das BSI spricht von einer Veröffentlichungsfrist von 90 Tagen, bevor man eine Schwachstelle öffentlich kommuniziert. Auch für Medien und Entdecker außerhalb des betroffenen Unternehmens gilt diese Vorgabe, ansonsten droht Gefahr für die Nutzer.

Internet of Things – neue Strategien für die IoT-Sicherheit

Mehr Sicherheit im Internet der Dinge

Internet of Things – neue Strategien für die IoT-Sicherheit

16.04.18 - Das Internet der Dinge braucht einen besseren Schutz, daran besteht kein Zweifel. Die Frage ist jedoch, wie die IoT-Sicherheit wirklich verbessert werden kann. Wir stellen neue Lösungen und Konzepte vor. lesen

Fazit

IoT bis zu einem gewissen Grad ein Hype-Thema gewesen; die Veränderung ist bisher weniger spürbar, als man vor einigen Jahren gedacht hat. Gerade bei Themen wie der Industrie 4.0 ist die Vernetzung über die Unternehmensfirewalls hinaus weniger stark vorangeschritten, als man angenommen hat. Trotzdem spielt IoT eine wichtige Rolle bei der digitalen Integration und stellt wichtige Weichen für den wirtschaftlichen Erfolg.

Damit die erhofften Vorteile von IoT genutzt werden können, braucht es die richtigen Sicherheitsgrundlagen. Nur mit den richtigen Schutzmechanismen kann die Innovation von smarter Technologie nachhaltig genutzt werden. Daher müssen Anbieter und Nutzer dafür Sorge tragen, dass IoT genau wie jedes andere IP-Gerät regelmäßig auf Schwachstellen geprüft und entsprechend aktualisiert werden.

Über den Autor: Jörg Vollmer ist Country Manager DACH bei Qualys.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45286193 / Internet of Things)