IoT als Herausforderung für die Sicherheit
Eine Strategie für Internet of Things (IoT) ist für Unternehmen unumgänglich. Denn IoT zählt zu einer der am meist unterschätzten und vernachlässigten Bedrohungen der Cybersecurity. Der Einsatz digitaler Technologien bietet immenses Potenzial – birgt aber auch erhebliche Risiken. Schwachstellen in Geräten sind (leider) allgegenwärtig und die Zahl der Malware steigt kontinuierlich. Es braucht ganzheitliche Ansätze und ein systematisches Vorgehen, um Cybersecurity im schnell wachsenden IoT zu etablieren.
Zunehmende Mobilität und die Nutzung von Connected Devices führen dazu, dass Access Points allgegenwärtig sind. Es wird geschätzt, dass bis ins Jahr 2019 rund 85 Prozent der Schweizer Unternehmen IoT-Komponenten im Einsatz haben werden. Damit dringt die Konnektivität in Business-Bereiche vor, welche bislang unabhängig waren. Auch die industrielle Produktion wird durch die fortschreitende Digitalisierung transformiert. Der vermehrte Einsatz digitaler Technologien wird in den kommenden Jahren eine grosse Veränderung in der Arbeitswelt bewirken. Computer, Roboter, intelligente Geräte etc. führen immer anspruchsvollere Aufgaben aus und kommunizieren dabei nicht nur mit Menschen, sondern auch untereinander und mit den gefertigten Produkten. Durch diese enge Verzahnung von Elementen der künstlichen Intelligenz, Maschine und Mitarbeitenden entsteht eine neue, vernetzte Arbeitskraft in der Fertigungsindustrie. Gegenüber herkömmlichen, isolierten Geräten haben solche mit IoT-Technologie viele Vorteile, wie beispielsweise höhere Effizienz und Automatisierung.
Sicherheitsrisiko steigt durch Vernetzung
Unternehmen werden deshalb immer abhängiger von Vernetzung, Kommunikation, IoT und Industrie 4.0. Damit steigt auch die Gefahr, dass solche Systeme manipuliert oder gestört werden. Das Potenzial steigt äquivalent zu den Möglichkeiten: Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Mit dem Einsatz von Kryptowährungen wie Ethereum, Bitcoin oder Litecoin (nicht abschliessende Liste) als Micro-Payment-System wird das Angriffsrisiko zusätzlich erhöht – ohne, dass der User direkt involviert ist. Angriffe auf die Klimatisierungs-, Lüftungs- und Kontroll-Systeme bei einem US-Discounthändler, die «WannaCry»-Attacke auf den britischen National Health Service oder IoT-Botnets haben dies sehr deutlich gezeigt. Eigentlich tragisch, denn Studien weisen laufend auf unzählige Schwachstellen hin. Gleichzeitig finden grundlegende Sicherheitsprinzipien, die man schon seit Jahren als Best Practice erachtet, oft den Weg nicht in den Entwicklungszyklus von IoT-Komponenten. Das Haar in der Suppe ist – einmal mehr – die Sicherheit. Dies hat auch die Politik bemerkt. Daher hat der Nationalrat in der Schlusssitzung der Frühjahrssession ein Postulat 17.4295 gutgeheissen. Der Bundesrat soll nun aufzeigen, wie die Sicherheit von IoT-Geräten erhöht und der Missbrauch für Cyberkriminalität erschwert werden soll.
Agieren statt reagieren
Cybersecurity sollte auf jeder Agenda weit oben stehen – und das nicht erst, wenn etwas schiefgegangen ist. Wer sich mit IoT und Industrie 4.0 beschäftigt, muss sich zwingend auch mit dem Thema Sicherheit auseinandersetzen. Es empfiehlt sich, auf einen systematischen Ansatz zu setzen und der Sicherheit das nötige Gewicht beizumessen. Internationale Standards (beispielsweise die ISO/IEC 270xx-Familie oder das Cyber-Security-Framework vom NIST; IoT-spezifischere Security Standards sind in Erarbeitung) bieten anerkannte Modelle für die Einrichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung auf Basis eines Informationssicherheits-Management-Systems (ISMS).
Technologisch liegt der Schlüssel zur Sicherheit in einer geeigneten Architektur und der entsprechenden Zonierung bei IoT und Industrie-4.0-Netzwerken. Einen der wichtigsten Aspekte stellt dabei die Authentisierung und der Schutz der Daten dar sowie im Backend die optimale Segmentierung der Umgebungen, Datenströme, Betriebsprozesse und Überwachung der so geschaffenen Zonenübergänge und Datenströme. So gilt es, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen. Dabei muss jede Zone und jeder Zonenübergang mit entsprechenden Sicherheitsmassnahmen versehen werden. Hier gilt es, sich an den bewährten Best-Practice-Ansätzen zu orientieren. Zudem sollte man nicht das regelmässige Update- und Patch-Management von IoT-Geräten vergessen. IoT-Security als fester Bestandteil der Cybersecurity IoT-Security ist keine einmalige Angelegenheit, da sich die Risikosituation stetig ändert. Unternehmen müssen kontinuierlich die aktuelle Bedrohungslage beobachten und ihr Sicherheitsdispositiv, unter Berücksichtigung von neuen Bedrohungen und Schwachstellen, optimieren und stetig verbessern. Wichtige Elemente einer Security Governance beinhalten deshalb Risk Assessments, organisatorische Audits, System Security Testing, Penetration Tests und Vulnerability Scans etc. Unternehmen sollten jederzeit in der Lage sein, Sicherheitsvorkommnisse zu erkennen, darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Sicherheit darf kein Thema sein, dem man sich irgendwann hinterher widmet – womöglich erst dann, wenn ein Vorfall eingetreten ist. Wer sich mit IoT und Industrie 4.0 beschäftigt, muss sich auch mit Cyber Defence auseinandersetzen.
Markus Limacher, Head of Security Consulting, InfoGuard AG, Baar
