IoT-Sicherheit braucht Prozesssicherheit
In seinem Vortrag "Beyond The Toaster Oven - Building A Secure Future For The IoT" auf den ISD 2015 wies Paul Vixie auf die besonderen Herausforderungen im Internet of Things hin. Dazu gehören (zu) optimistische Vorstellungen zu den vorhandenen IT-Sicherheitsrisiken, die Geschwindigkeit der Time-to-Market-Prozesse bei der Entwicklung, die oftmals niedrigen Produktpreise, die häufig lange Lebensdauer der Produkte, die geringen Möglichkeiten für eine Interaktion zwischen Produkt und Nutzer sowie der mangelnde Wille des Nutzers, die IoT-Lösungen zu warten.
Die Sicherheitsarchitektur müsse zu dem initialen und finalen Produktdesign gehören und auf zahlreiche Fragen eine Antwort liefern können, darunter
die Gewährleistung eines sicheren Betriebs außerhalb einer durch Firewalls geschützten Umgebung,
eine Minimierung der Angriffsflächen durch Härtung des Systems (Verzicht auf unnötige Funktionen, zumindest aber Deaktivierung),
die Klärung des Identitäts- und Zugriffsmanagements,
ein Prozess zur Fehlersuche und zur Reaktion auf entdeckte Fehler und Schwachstellen sowie
die Schaffung der (Hardware-)Voraussetzungen für eine starke Verschlüsselung.
Ohne ein Security und Privacy Assessment innerhalb des Design-Prozesses und ohne Sicherheitstests vor der Freigabe solle keine IoT-Lösung auf den Markt kommen.
Entwickler und IT-Sicherheitsexperten müssen stärker kooperieren
Security by Design wird generell gefordert, um den steigenden IT-Sicherheitsrisiken zu begegnen. Für das Internet of Things ist Security by Design allerdings unumgänglich, da mögliche Fehler in der Entwicklung später durch Patches kaum noch behoben werden können.
Foto: Google
Eine Umfrage von Progress Software unter Entwicklern für IoT-Apps zeigt, dass Entwickler den Schutz der Privatsphäre (20 Prozent) als die größte Herausforderung bei der Erstellung und dem Einsatz von IoT-Apps sehen. Knapp dahinter bewerten sie offene und interoperable Standards sowie den Schutz der Daten vor Cyber-Angriffen als größte Knackpunkte (jeweils 19 Prozent).
IoT-Lösungen und IoT-Entwickler brauchen somit dringend Unterstützung durch die IT-Sicherheit, allerdings nicht nur in Form von spezialisierten Security-Angeboten, sondern auch in Form einer Kooperation zwischen IT-Sicherheitsexperten und Entwicklungsexperten direkt in der Design- und Konzeptionsphase für IoT-Lösungen.
"Sicherheit im Internet der Dinge, und in der IT überhaupt, ist keine reine Technologiefrage. Vielmehr kommt es darauf an, effektive und dynamische Strategien zu definieren, die präventive Kontrollen, investigative Prozesse und eine schnelle Reaktion auf Sicherheitsvorfälle miteinander kombinieren", so Bob Griffin, Chief Security Architect bei RSA, anlässlich der IT-Security-Messe it-sa 2015.
Der G DATA Sicherheitsexperte Eddy Willems sieht allerdings einen Engpass bei den IT-Sicherheitsexperten: "Zweifelhaft ist, wie Sicherheitsexperten die Fülle der IoT-Unternehmen unterstützen können, da dieser Markt exponentiell wächst. Schon heute haben IT-Security-Fachleute alle Hände voll zu tun: Sie arbeiten kontinuierlich daran, das Internet sowie die Betriebssysteme und Geräte, die wir als Anwender nutzen, sicherer zu machen. Die beste Methode, mit diesen Gefahren des Internets der Dinge umzugehen, ist folglich ein ganzheitliches und systemisches Konzept."
Mehr QS-Zeit für längeres Produktleben
Das Internet of Things braucht ein integriertes Security Management, das von der ersten Lösungsidee bis zum Ende des Produktlebenszyklus reicht und nicht nur auf den Schultern der IT-Sicherheit ruht. Dazu gehört auch ein Notfallmanagement, das auf Sicherheitsprobleme bei den IoT-Lösungen umgehend reagiert.
- Sechs Baustellen beim Internet of Things
Das Internet der Dinge beflügelt die Phantasien von Anwendern, Unternehmen und Technikanbietern. Bevor die schöne neue Welt des Internet of Things (IoT) Wirklichkeit wird, müssen zunächst einige Baustellen abgearbeitet werden. - Technik
Die meisten für das Internet der Dinge notwendigen Techniken gibt es bereits. Allerdings sind gerade im Umfeld von Analytics und Datenvisualisierungssoftware noch weitere Entwicklungen notwendig. Auch hinsichtlich der Energieversorgung beispielsweise von Sensoren in Containern, die über lange Perioden hinweg ohne ständige Wartungszyklen funktionieren sollten, gibt es noch einige Probleme zu lösen. - Interoperabilität
In vielen Fällen basiert der Mehrwert von IoT darauf, dass verschiedene Systeme zusammenarbeiten und Daten austauschen. Daher sind Standards und die darauf basierende Interoperabilität eine Grundvoraussetzung für das IoT. - Sicherheit
Im IoT geht es primär um Daten – oft um sensible Daten, die aus dem Privatbereich kommen oder geschäftskritisch für Unternehmen sind. Privacy und Security müssen daher gewährleistet sein. Darüber hinaus müssen die IoT-Systeme selbst abgesichert werden, gerade wenn es sich um kritische Infrastrukturen wie beispielsweise die Energieversorgung oder Verkehrsleitsysteme handelt. - Mitarbeiter müssen fit gemacht werden für das IoT.
Das reicht vom Verkaufspersonal, das mit smarten CRM-Systemen umgehen muss, über die Mitarbeiter im Büro bis hin zu den IT-Abteilungen. Mit dem IoT infiltriert IT ein deutlich breiteres Spektrum an Geräten. - Regeln und Gesetze
Für den IoT-Einsatz braucht es in einigen Bereichen neue Regeln. Das betrifft beispielsweise den Gesundheitsbereich, aber auch den Verkehr. Hier muss der Gesetzgeber aktiv werden und den Märkten einen neuen Rahmen geben. Gleichzeitig kann die öffentliche Hand dem IoT auch selbst zusätzliche Impulse geben, beispielsweise durch die Adaption der neuen Techniken.
Sind keine Fehlerbehebungen möglich und reicht der Schutz durch abschirmende Security-Lösungen gegen mögliche Angriffe nicht aus, muss das Ende des Produktlebenszyklus eingeläutet werden, die IoT-Lösung muss bei entsprechender Gefahr für Nutzer oder Nutzerdaten vom Markt genommen werden.
Wenn eine IoT-Lösung lange auf dem Markt verfügbar sein soll, geht dies nur bei ausreichend langer Zeit für Qualitätssicherung und IT-Sicherheitsmanagement. Dr. Paul Vixie zum Beispiel empfiehlt als zusätzliche QS-Maßnahme, verschiedene Red Teams (Sicherheitstester, die nicht zum Entwicklungskernteam gehören) einzuladen, am Prozess der Produktentwicklung teilzunehmen, diesen Teams Anreize und Kompensation zu bieten, wenn sie die ersten sind, die einen Fehler finden, sowie gemeinsame Pressemeldungen anlässlich der Produkteinführung vorzusehen, in denen die Redteams ihre Fähigkeiten herausstellen dürfen. IT-Sicherheit und Qualitätssicherung gelangen so in den Fokus des Internet of Things. Andernfalls gerät das Internet of Things zunehmend in den Fokus der Angreifer. (sh)