Werden Industrie-Anlagen nativ ans Internet angebunden sind auch Werkzeugmaschinen & Co. nicht vor Hacker-Angriffen gefeit. Die Stichworte lauten hier Industrie 4.0 und Internet of Things (IoT). Darauf sollten Sie in IoT-Projekten unbedingt achten.
IoT: Risiken vom Sensor bis ins Data Center
Smart Homes, Smart Cities, Connected Cars, intelligente Fabriken, das Internet of Things kennt viele Ausprägungen und verspricht für IT-Dienstleister und Systemhäuser ein spannendes Geschäftsfeld. In IoT-Projekten wurden bisher in fast jedem zweiten Fall (46 Prozent) Systemintegratoren beauftragt. Die intelligente Vernetzung von Geräten und Maschinen über das Internet kann laut einer McKinsey-Studie einen weltweiten wirtschaftlichen Mehrwert von bis zu elf Billionen Dollar im Jahr 2025 schaffen.
Doch nicht nur die Chancen im Internet der Dinge sind gewaltig, auch die Risiken sind enorm. So betont zum Beispiel die EU-Agentur für Netz- und Informationssicherheit (ENISA) die großen Herausforderungen in der IoT-Sicherheit. Ein wesentlicher Grund dafür liegt in der Komplexität eines IoT-Projektes, mit einer Vielzahl an Schnittstellen und Kommunikationsverbindungen und einer Vielfalt an verschiedenen Gerätetypen. Die Bandbreite der beteiligten IT-Komponenten reicht von einzelnen Sensoren bis hin zu Cloud und Rechenzentrum, jeweils mit eigenen Risiken verknüpft.
Bevor Sie in ein IoT-Projekt einsteigen, sollten Sie deshalb eine passende Risikoanalyse starten. Damit der Aufwand dabei nicht zu groß wird, empfiehlt sich ein strukturiertes Vorgehen. Möglich ist zum Beispiel eine Risikoanalyse entlang der geplanten IT-Komponenten, mit Blick auf die notwendigen IT-Sicherheitsmaßnahmen und auf Basis der denkbaren Angriffe. Dieses Vorgehen ersetzt zwar keine vollumfängliche Risiko-Analyse, ist aber praktikabel und zielführend.
Schritt 1: Inventur im IoT-Projekt
Eine Risikoanalyse beginnt bekanntlich mit der Aufnahme der Ist-Situation, man könnte hier sagen mit einer IT-Inventur. Geklärt werden sollte,
• welche Sensoren und lokal betriebenen Endgeräte zum Einsatz kommen,
• wie die Vernetzung stattfindet,
• welche Schnittstellen und Kommunikationsprotokolle vorgesehen sind,
• wohin die Daten übermittelt werden,
• wo die Daten gespeichert und verarbeitet werden,
• wie die Datenanalysen gemacht werden,
• wohin die Ergebnisse geschickt werden und
• welche Anwendungen und Geräte die Reaktionen ausführen.
In den meisten Fällen werden Sie bei Ihrer IT-Inventur auf mobile Endgeräte, Clouds und Big-Data-Analysen stoßen. Damit verbunden sind auch all die Risiken, die von Smartphones, Tablets, Clouds und Big Data ausgehen. IoT nutzt nicht nur die neuen Technologien, sondern bündelt auch deren Risiken.
In Zukunft werden neben (bekannten) mobilen Endgeräten auch Geräte vernetzt werden, zu denen Sie kaum Erfahrungswerte haben. Die EU-Sicherheitsagentur ENISA ist dabei, verschiedene IoT-Anwendungsszenarien zu untersuchen und die Risiken sowie notwendigen Sicherheitsmaßnahmen zu ermitteln, bisher zum Beispiel für Smart-Home-Projekte und intelligente Flughäfen. Es lohnt sich, diese Studien im Auge zu behalten und bei eigenen Projekten zu berücksichtigen.
Schritt 2: Sicherheitsmängel im IoT-Projekt
Aus der Ermittlung der Bestandteile des geplanten IoT-Projektes kennen Sie nun die IT-Komponenten und können entsprechende Schwachstellen recherchieren. Die Schwachstellen alleine sind aber nicht das Risiko. Tatsächlich gefährlich ist es, wenn die Schwachstellen nicht beseitigt oder zumindest abgeschirmt werden. Dann können Angreifer die Schwachstellen ausnutzen und Schaden anrichten.
Es macht deshalb Sinn, im nächsten Schritt die verfügbaren IT-Sicherheitsmaßnahmen zu untersuchen, um die Risikoanalyse voranzutreiben. Auch hier sollten Sie jeweils alle beteiligten IT-Komponenten und deren Vernetzung und Kommunikation betrachten. IoT-Sicherheit kann nur entstehen, wenn alle beteiligten Geräte und Verbindungen abgesichert sind.
Fehlen bestimmte IT-Sicherheitsmaßnahmen, gibt es also IT-Sicherheitsmängel, sind damit Risiken verbunden. Wo IT-Sicherheitsmaßnahmen für IoT-Projekte besonders häufig fehlen, zeigt unter anderem die Studie "Security in the Internet of Things Survey" von Capgemini Consulting und Sogeti High Tech. Die größten IT-Sicherheitsprobleme liegen demnach in
• der Absicherung der Endpunkte (60 Prozent),
• der Sicherheit der Datenverbindung (55 Prozent) und
• dem Einspielen von Sicherheitspatches (50 Prozent).
Schritt 3: Angriffswege im IoT
Nachdem Sie die vorhandene IT-Sicherheit im IoT-Projekt betrachtet haben, kommt der dritte Schritt. Die Bedrohung wird bekanntlich dann real, wenn die Schwachstellen in den IoT-Komponenten und die IT-Sicherheitsmängel durch Angreifer ausgenutzt werden. Es geht nun also darum, dass Sie die möglichen Angriffswege in dem IoT-Projekt näher untersuchen.
Auch hier gilt: Nutzen Sie die Erfahrungen aus den IT-Sicherheitsstudien, lernen Sie aus den bereits bekannten Attacken auf vernetzte Systeme. Datendiebe und Internetkriminelle sind zwar erfinderisch, aber solange bereits erprobte Angriffe funktionieren, greifen die Datendiebe auf diese zurück. Selbst Kriminelle scheuen unnötigen Aufwand.
Welche Angriffswege besonders wahrscheinlich sind, zeigt Ihnen zum Beispiel die sogenannte Threat Landscape von ENISA. Die Bedrohungslandschaft für das Internet of Things wird dabei gegenwärtig so gezeichnet: Im IoT muss mit
• Malware-Attacken,
• webbasierten Angriffen,
• Attacken auf Applikationen,
• Denial-of-Service,
• Phishing,
• physischem Diebstahl und Verlust
gerechnet werden, um nur einige Resultate von ENISA zu nennen.
IoT-Security - was zu beachten ist
Es stellt sich nun die Frage, ob alle im Projekt vorgesehenen Komponenten gegen solche Angriffe geschützt werden können. Suchen Sie gedanklich die Lücken in der Absicherung, Angreifer machen es genauso.
Tipp: Besser eine einfache Risiko-Analyse als gar keine
Wenn Sie nun die Schwachstellen der IoT-Komponenten, die IT-Sicherheitsmängel und die bevorzugten Angriffswege in Gedanken überlagern, finden Sie insbesondere die Schwachstellen, die schlecht abgesichert sind und die bevorzugt angegriffen werden. Genau mit diesen Schwachstellen sollten Sie beginnen, denn hier lauern deutliche IoT-Risiken.
Zum Video: Bedrohungen im Internet of Things aufspüren
Diese relativ einfache IoT-Risiko-Analyse macht unbedingt Sinn, auch wenn es formal noch viele Schritte zu tun gäbe. IoT-Sicherheit ist so komplex, die IoT-Risiken sind so vielfältig, dass die Gefahr besteht, dass man über eine umfangreiche Risikoanalyse gar nicht hinaus kommt und deshalb kaum etwas für die IoT-Sicherheit tut.
Nutzen Sie die einfache Herangehensweise und die Erfahrung aus Studien und Umfragen, um Ihre eigene Risiko-Analyse für Ihr IoT-Projekt zu starten. Erfahrungsgemäß können Sie mit solchen Ansätzen bereits sehr viel für einen Basisschutz tun, und bereits dieser Basisschutz fehlt bislang in vielen IoT-Anwendungen. (rw)