Suchen

Security im Internet of Things So lassen sich IoT-Gateways richtig absichern

| Autor / Redakteur: Maria Urban / Peter Schmitz

Kritische Infrastrukturen erfordern besonders sichere IoT-Gateways. UL, ein globales Forschungs- und Prüfunternehmen wurde damit beauftragt, die Cybersecurity von IoT-Gateways für industrielle Steuerungssysteme zu erforschen und gibt jetzt Einblicke in den Prüfprozess und hat Tipps, was deutsche Unternehmen daraus für ihre IoT-Plattformen lernen sollten.

Firmen zum Thema

Um IoT-Risiken besser zu verstehen und daraus Schutzmechanismen zu entwickeln, sollten Unternehmen Bedrohungsszenarien modellieren und Angriffe simulieren.
Um IoT-Risiken besser zu verstehen und daraus Schutzmechanismen zu entwickeln, sollten Unternehmen Bedrohungsszenarien modellieren und Angriffe simulieren.
(Bild: Pixabay / CC0 )

Die Defense Advanced Research Projects Agency (DARPA), schuf Ende der 60er Jahre die Grundlagen für das Internet. Sie entwickelte das ARPANET, aus dem später das Internet hervorging. Die DARPA investiert im Auftrag des US-Verteidigungsministeriums in Forschungsprojekte, die im Interesse der nationalen Sicherheit liegen, und fördert dabei technische Innovationen – von Biologie über Mikroelektronik bis hin zu unbemannten Fluggeräten.

Zu ihren Aufgaben gehört auch, kritische Infrastrukturen wie Krankenhäuser oder Industrieanlagen vor Cyber-Risiken zu sichern. Daher hat die DARPA Ende 2016 mit UL (Underwriters Laboratories) ein globales Forschungs- und Prüfunternehmen damit beauftragt, die Cybersecurity von IoT-Gateways für industrielle Steuerungssysteme zu erforschen. Diese Gateways verbinden IoT-Komponenten mit dem Internet und sind ein kritisches Element in IoT-Umgebungen.

Den ganzen IoT-Stack im Blick

„Das Projekt ging über neun Monate“, berichtet Ingo Rübenach, Vice President DACH & Eastern Europe bei UL. Um alle Anforderungen zu überblicken, hatte das Cybersecurity-Team die gesamte IoT-Architektur im Fokus, also sämtliche Software von Micro-Chips, den Komponenten und Systemen. „Wir haben strukturierte Penetration-Tests durchgeführt und untersucht, wie Systeme auf ferngesteuerte Geräte zugreifen und Software-Updates durchführen“, erzählt Ingo Rübenach. Aus diesen Untersuchungen leiten die Ingenieure wissenschaftlich basierte, reproduzierbare Testkriterien ab und entwickeln Prüfmethoden für IoT-Gateways. Ziel ist es, daraus einen Cybersecurity-Standard spezifisch für die Software von industriellen IoT-Gateways zu entwickeln.

Basis der Prüfung ist eine Inventarliste des Herstellers, die einen Überblick über alle verbauten Hardware- und Software-Komponenten schafft, inklusive aller Protokolle für Connectivity. Daraus lassen sich Tests ableiten, etwa wenn eine bestimmte Datenbankversion mit bekannten Schwachstellen im Einsatz ist. In einem Penetrationstest wird geprüft, ob diese Schwachstelle geschlossen ist. Wenn nein, fällt das Gerät durch.

Doch die Technikprüfung ist nur der erste Schritt: Für eine erfolgreiche Zertifizierung müssen die Hersteller auch beispielsweise Prozesse für das Schließen von Sicherheitslücken und Ausbringen von Aktualisierungen nachweisen können. Darüber hinaus gehört zu einem zertifizierten Gerät auch eine umfassende Dokumentation inklusive Checklisten für Cybersicherheit. Aus ihnen sollte hervorgehen, welche Konfigurationsschritte unternommen werden müssen, um das Gerät abzusichern.

Strategische Empfehlungen aus dem DARPA-Projekt

Viele deutsche Unternehmen planen, ihre Produktion mit einer IoT-Plattform zu vernetzen, oder bauen sie schon. „Und viele haben Bedenken, ihre IoT-Projekte würden durch steigende Sicherheitsanforderungen zu komplex“, berichtet Ingo Rübenach. „Wer sich jedoch durch Standards darauf verlassen kann, dass seine Komponenten eine hohe Cybersicherheit besitzen, kann sich auf umfassendere Sicherheitskonzepte konzentrieren wie beispielsweise Network Behavior Analysis, Honeypots oder zentrale Protokollierung – und so eine Defense-in-Depth-Sicherheitsstrategie entwickeln.“

Mit der Sicherung von cyberphysischen Systemen beschäftigt sich UL schon seit zehn Jahren. Um diese Anstrengungen zu bündeln, hat UL vor vier Jahren sein Cyber Assurance Program (CAP) initiiert. Es untersucht Risiken von Industrie-4.0-Systemen in den Bereichen Automobil, Fabrikautomation, Medizin und Beleuchtungsindustrie und setzt auf die UL 2900-Normenreihe auf. Derzeit wird Cybersecurity auf der Komponenten-Ebene stark diskutiert. „Es ist eine große Herausforderung, die unterschiedlichen Anwendungsbereiche und geographische Diversität der Komponenten zu überblicken“, erläutert Ingo Rübenach. „Sind die Komponenten auf Cybersicherheit zertifiziert, reduziert das deutlich die Komplexität.“

„Wir empfehlen Unternehmen, ihre vorhandenen Sicherheitsrichtlinien und Best Practices in den Produktlebenszyklus einzubinden, um auch Wartung und Support in die Security-Bemühungen zu integrieren“, erläutert Ingo Rübenach. In der Praxis bewährt hat sich, auszuarbeiten, wie Angriffe auf IoT-Systeme aussehen können, indem man Bedrohungsszenarien modelliert und simuliert. So lassen sich Risiken besser verstehen und daraus Schutzmechanismen entwickeln.

Solche Forschungsprojekte dokumentieren nicht nur den Stand der Dinge. Vielmehr weisen sie darauf hin, welche Entwicklungen – vor allem im Cybersecurity-Bereich – noch notwendig sind, um das Thema “Industrie 4.0” mit Leben zu füllen.

(ID:45262540)