Security im Internet of Things

So lassen sich IoT-Gateways richtig absichern

| Autor / Redakteur: Maria Urban / Peter Schmitz

Um IoT-Risiken besser zu verstehen und daraus Schutzmechanismen zu entwickeln, sollten Unternehmen Bedrohungsszenarien modellieren und Angriffe simulieren.
Um IoT-Risiken besser zu verstehen und daraus Schutzmechanismen zu entwickeln, sollten Unternehmen Bedrohungsszenarien modellieren und Angriffe simulieren. (Bild: Pixabay / CC0)

Kritische Infrastrukturen erfordern besonders sichere IoT-Gateways. UL, ein globales Forschungs- und Prüfunternehmen wurde damit beauftragt, die Cybersecurity von IoT-Gateways für industrielle Steuerungssysteme zu erforschen und gibt jetzt Einblicke in den Prüfprozess und hat Tipps, was deutsche Unternehmen daraus für ihre IoT-Plattformen lernen sollten.

Die Defense Advanced Research Projects Agency (DARPA), schuf Ende der 60er Jahre die Grundlagen für das Internet. Sie entwickelte das ARPANET, aus dem später das Internet hervorging. Die DARPA investiert im Auftrag des US-Verteidigungsministeriums in Forschungsprojekte, die im Interesse der nationalen Sicherheit liegen, und fördert dabei technische Innovationen – von Biologie über Mikroelektronik bis hin zu unbemannten Fluggeräten.

Zu ihren Aufgaben gehört auch, kritische Infrastrukturen wie Krankenhäuser oder Industrieanlagen vor Cyber-Risiken zu sichern. Daher hat die DARPA Ende 2016 mit UL (Underwriters Laboratories) ein globales Forschungs- und Prüfunternehmen damit beauftragt, die Cybersecurity von IoT-Gateways für industrielle Steuerungssysteme zu erforschen. Diese Gateways verbinden IoT-Komponenten mit dem Internet und sind ein kritisches Element in IoT-Umgebungen.

Internet of Things – neue Strategien für die IoT-Sicherheit

Mehr Sicherheit im Internet der Dinge

Internet of Things – neue Strategien für die IoT-Sicherheit

16.04.18 - Das Internet der Dinge braucht einen besseren Schutz, daran besteht kein Zweifel. Die Frage ist jedoch, wie die IoT-Sicherheit wirklich verbessert werden kann. Wir stellen neue Lösungen und Konzepte vor. lesen

Den ganzen IoT-Stack im Blick

„Das Projekt ging über neun Monate“, berichtet Ingo Rübenach, Vice President DACH & Eastern Europe bei UL. Um alle Anforderungen zu überblicken, hatte das Cybersecurity-Team die gesamte IoT-Architektur im Fokus, also sämtliche Software von Micro-Chips, den Komponenten und Systemen. „Wir haben strukturierte Penetration-Tests durchgeführt und untersucht, wie Systeme auf ferngesteuerte Geräte zugreifen und Software-Updates durchführen“, erzählt Ingo Rübenach. Aus diesen Untersuchungen leiten die Ingenieure wissenschaftlich basierte, reproduzierbare Testkriterien ab und entwickeln Prüfmethoden für IoT-Gateways. Ziel ist es, daraus einen Cybersecurity-Standard spezifisch für die Software von industriellen IoT-Gateways zu entwickeln.

Basis der Prüfung ist eine Inventarliste des Herstellers, die einen Überblick über alle verbauten Hardware- und Software-Komponenten schafft, inklusive aller Protokolle für Connectivity. Daraus lassen sich Tests ableiten, etwa wenn eine bestimmte Datenbankversion mit bekannten Schwachstellen im Einsatz ist. In einem Penetrationstest wird geprüft, ob diese Schwachstelle geschlossen ist. Wenn nein, fällt das Gerät durch.

Doch die Technikprüfung ist nur der erste Schritt: Für eine erfolgreiche Zertifizierung müssen die Hersteller auch beispielsweise Prozesse für das Schließen von Sicherheitslücken und Ausbringen von Aktualisierungen nachweisen können. Darüber hinaus gehört zu einem zertifizierten Gerät auch eine umfassende Dokumentation inklusive Checklisten für Cybersicherheit. Aus ihnen sollte hervorgehen, welche Konfigurationsschritte unternommen werden müssen, um das Gerät abzusichern.

Schifffahrt in der IoT-Falle

Schadprogramme als Steuermann

Schifffahrt in der IoT-Falle

09.04.18 - Schiffe sind die größten Komponenten des Internets der Dings (IoT), und sie sind oft nicht besser geschützt als eine Webcam für 20 Euro. Ein deutscher Sicherheitsexperte knackte die IT einer Millionen-Euro Jacht binnen kürzester Zeit. lesen

Strategische Empfehlungen aus dem DARPA-Projekt

Viele deutsche Unternehmen planen, ihre Produktion mit einer IoT-Plattform zu vernetzen, oder bauen sie schon. „Und viele haben Bedenken, ihre IoT-Projekte würden durch steigende Sicherheitsanforderungen zu komplex“, berichtet Ingo Rübenach. „Wer sich jedoch durch Standards darauf verlassen kann, dass seine Komponenten eine hohe Cybersicherheit besitzen, kann sich auf umfassendere Sicherheitskonzepte konzentrieren wie beispielsweise Network Behavior Analysis, Honeypots oder zentrale Protokollierung – und so eine Defense-in-Depth-Sicherheitsstrategie entwickeln.“

Mit der Sicherung von cyberphysischen Systemen beschäftigt sich UL schon seit zehn Jahren. Um diese Anstrengungen zu bündeln, hat UL vor vier Jahren sein Cyber Assurance Program (CAP) initiiert. Es untersucht Risiken von Industrie-4.0-Systemen in den Bereichen Automobil, Fabrikautomation, Medizin und Beleuchtungsindustrie und setzt auf die UL 2900-Normenreihe auf. Derzeit wird Cybersecurity auf der Komponenten-Ebene stark diskutiert. „Es ist eine große Herausforderung, die unterschiedlichen Anwendungsbereiche und geographische Diversität der Komponenten zu überblicken“, erläutert Ingo Rübenach. „Sind die Komponenten auf Cybersicherheit zertifiziert, reduziert das deutlich die Komplexität.“

„Wir empfehlen Unternehmen, ihre vorhandenen Sicherheitsrichtlinien und Best Practices in den Produktlebenszyklus einzubinden, um auch Wartung und Support in die Security-Bemühungen zu integrieren“, erläutert Ingo Rübenach. In der Praxis bewährt hat sich, auszuarbeiten, wie Angriffe auf IoT-Systeme aussehen können, indem man Bedrohungsszenarien modelliert und simuliert. So lassen sich Risiken besser verstehen und daraus Schutzmechanismen entwickeln.

Solche Forschungsprojekte dokumentieren nicht nur den Stand der Dinge. Vielmehr weisen sie darauf hin, welche Entwicklungen – vor allem im Cybersecurity-Bereich – noch notwendig sind, um das Thema “Industrie 4.0” mit Leben zu füllen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45262540 / Internet of Things)