Sicherheit im IoT – eine Herausforderung
Industrien und kritische Infrastrukturen können das IoT nutzen, um ihr Risikomanagement zu optimieren. Insbesondere kann das Lagebild verbessert werden. Risiken können zudem einfacher erfasst, bewältigt und kommuniziert werden. Dadurch werden Entscheidungsprozesse und die allgemeine Reaktionszeit beschleunigt sowie die Widerstandsfähigkeit gestärkt. Dennoch, oder gerade deshalb, bedürfen die wirtschaftlichen und sicherheitstechnischen Aspekte des IoT weiterer Klärung.
Das Internet der Dinge (IoT) ist kein neues Paradigma – es wurde erstmals im Jahr 1999 von Kevin Ashton definiert, als er die verschiedenen Möglichkeiten von RFID (radio-frequency identification) im Lieferkettenmanagement erläuterte. Die rasche Entwicklung der Informations- und Kommunikationstechnik (ICT) sowie die Digitalisierung und Globalisierung haben das IoT jedoch, mutatis mutandis, auf eine bisher nie dagewesene Ebene der Vernetzung geführt. War das IoT gestern noch ein technisches und isoliertes Konzept, so ist es heute ein komplexer, gesellschaftlicher, sektorenübergreifender und allgegenwärtiger Trend, auf welchen sich die Gesellschaft zunehmend verlässt. Mit exponentieller Zunahme sind Geräte mit dem Internet verbunden oder in das soziale Gefüge eingebettet; dies reicht vom Verbraucher-IoT bis hin zu industriellen Systemen und kritischen Infrastrukturen wie Webcams, netzgebundene Speicher und Modems, operationelle Technologien wie SCADA-Systeme und Satelliten.
IoT hat zahlreiche Sektoren und Bereiche bereits verändert
Jeder Wirtschaftssektor profitiert von IoT. Für das Risikomanagement kann IoT aus folgenden Gründen einen entscheidenden Unterschied machen: Erstens erzeugt das IoT eine riesige Datenmenge, die vor, während und nach einem Zwischenfall genutzt werden kann, um detaillierte und zuverlässige Informationen über den Prozessstatus der Infrastrukturen an den richtigen Dienst zu senden, wodurch eine Fehlfunktion des gesamten Systems verhindert werden kann. Während eines Vorfalls können IoT-Ökosysteme den Notfalldiensten auf taktischer und operativer Ebene wertvolle Informationen aus erster Hand liefern. Diese Information zum aktuellen Stand schaffen ein besseres Lagebild und können das Krisenmanagement während und nach dem Vorfall unterstützen. Unter Anwendung von Big-Data-Analysen können IoT-Ökosysteme zudem mit Crisis-Mapping-Prozessen kombiniert werden, um sich zielgerichtete Informationen und Szenarien zu beschaffen und so die Bereitschaft zu verbessern.
Zweitens haben Drohnen, Sensoren, Aktuatoren, Satelliten und ferngesteuerte Minenräumgeräte zwei Dinge gemeinsam: Sie können sowohl als IoT-Geräte betrachtet als auch in unzugänglichen oder unsicheren Gebieten eingesetzt werden und so über den Stand der Dinge vor Ort informieren.
Drittens können IoT-Ökosysteme die Automatisierung industrieller Systeme und anderer sich wiederholender Prozesse in kritischen Infrastrukturen verbessern und so die mit menschlichen Fehlern verbundenen Risiken reduzieren, die Sicherheit erhöhen und gleichzeitig die Kosten senken.
IoT-Ökosysteme führen zu wachsenden gegenseitigen Abhängigkeiten zwischen allen Bereichen der Gesellschaft, insbesondere zwischen Industriesektoren, kritischen und sehr kritischen Infrastrukturen. Die Prognosen gehen davon aus, dass die Zahl der insgesamt angeschlossenen Geräte bis 2025 auf 75,44 Milliarden anwachsen wird. Das IoT ist ein ernst zu nehmender Trend, denn es stellt sowohl eine systemische Chance als auch ein Risiko dar.
Einerseits schafft das IoT aufgrund der zahlreichen Vorteile, die es der Gesellschaft bringen kann, einen hohen Geschäftswert. Das IoT erhöht zudem die Konnektivität, die Datenerfassung und -analyse (Big Data) sowie die Automatisierung und Kontrolle (unbemannter Systeme). Dies stellt ein grosses Potenzial für die Verbesserung des Risikomanagements dar, wodurch die Sicherheit erhöht werden kann sowie Einnahmen generiert und Kosten gespart werden.
Zielkonflikt zwischen Kosten und Sicherheit
Doch selbst wenn die positiven Auswirkungen des Internets der Dinge weitreichend sind, sollten seine Nachteile nicht unterschätzt werden. Die Industrie investiert aufgrund mangelnder Regulierung oft in Massnahmen mit direkter Investitionsrendite, während Sicherheits- und Schutzmassnahmen sowie Lebenszyklusmanagement oft ausser Acht gelassen werden. Folglich ist die Zahl der schlecht gesicherten und ungeschützten IoT-Geräte, die in der Gesellschaft eingesetzt werden, auf eine alarmierende Zahl angestiegen. Dies hat der DDoS-Angriff auf das Mirai-IoT-Botnetz von Oktober 2016 gezeigt: Der Vorfall hätte, wenn er erfolgreich gewesen wäre, europaweit einen weitreichenden Ausfall des Internets verursachen können.
Die Regulierung, Standardisierung und Zertifizierung des IoT ist selbst heute noch unausgereift. Es gibt in der Tat keine allgemein anerkannten Standards. Nur wenige Länder integrieren das IoT in ihre nationalen Cybersicherheits- oder Cyber-Defense-Strategien, und weder auf nationaler noch auf internationaler Ebene gibt es obligatorische oder rechtsverbindliche Regelungen. Grossbritannien hat als einzige Nation eine Sammlung von «Verhaltenskodizes» in Bezug auf das IoT herausgegeben. Auf internationaler Ebene haben Enisa, ITU sowie die Nato einige Empfehlungen zum IoT veröffentlicht. Die rechtlich verbindlichste Regelung in Bezug auf das IoT ist das Nato-Standardisierungsübereinkommen, welches sich jedoch nicht ausschliesslich auf das IoT konzentriert. Es scheint folglich klar zu sein, dass insbesondere im Hinblick auf industrielle Systeme und kritische Infrastrukturen eine Regulierung notwendig ist, um die Sicherheit, den Schutz und die Haftung von IoT-Ökosystemen zu gewährleisten.
Design, Produktionsverfahren und Lebenszyklusmanagement
Schlechte Regulierung und der Zielkonflikt zwischen Kosten und Sicherheit des IoT führten unter anderem zu unsicheren und ungeschützten Design- und Produktionsverfahren sowie zu einem schlechten Lebenszyklusmanagement. Dies wirft folgende Fragen auf: Erstens, sind die älteren IoT-Ökosysteme mit den modernen IT-Systemen kompatibel, und wenn ja, wie lange dauert es, bis sie veraltet sind?
Aufgrund des unzureichenden Lebenszyklusmanagements ist es in der Tat schwierig, genau vorauszusehen, wie lange ein IoT-Gerät ohne Fehlfunktion eingesetzt werden kann. Zweitens, wenn ein IoT-Gerät ersetzt werden muss, wer ist für den Austausch verantwortlich und wer trägt die finanziellen Mehrkosten? Wird das ausgetauschte IoT-Gerät genauso sicher sein wie das ältere? Wie sieht es mit seiner Lebensdauer aus?
Diese Fragen sind besonders zentral im Hinblick auf industrielle Systeme und kritische Infrastrukturen, welche zahlreiche IoT-Geräte nutzen und sich keine Ausfälle leisten können und jederzeit einsatzbereit sein müssen.
Hackerangriffe
Der Angriff auf Mirai ist nur der bekannteste – der Trend zeigt jedoch, dass IoT-Attacken seit 2016 stark zugenommen haben. Die japanische Regierung hat im Januar 2019 deshalb beschlossen, alle auf japanischem Boden vorhandenen IoT-Geräte zu testen – dies insbesondere, um die Olympischen Sommerspiele 2020 in Tokio, die kürzlich auf 2021 verschoben wurden, zu sichern. Tatsächlich können IoT-Geräte auf unterschiedliche Weise und für verschiedene Zwecke missbraucht werden: Spionage, Störungen, Kriminalität, Hacktivismus usw. Da IoT-Geräte bereits in allen kritischen Infrastrukturen vorhanden sind, stellen IoT-Ökosysteme, wenn sie nicht ordnungsgemäss gesichert sind, potenziell einen Eintrittspunkt für kriminelle und gefährliche Aktivitäten und somit eine systemische Schwachstelle dar.
Fehlfunktionen und Obsoleszenz
Das oben erwähnte unzureichende Lebenszyklusmanagement des IoT kann dazu führen, dass verbundene Geräte, Sensoren oder Aktoren ausfallen und falsche oder gar keine Informationen mehr senden. Dies ist besonders im Kontext des Bevölkerungsschutzes und hinsichtlich kritischer Infrastrukturen nicht akzeptabel und kann folgenschwere Konsequenzen haben. Zur Veranschaulichung: Was wären die Folgen, wenn der zwischen den Schienen installierte Empfänger des Europäischen Zugsicherungssystems 2 (ETCS 2), welches auch in der Schweiz angewendet wird, nicht richtig funktioniert und die falschen Informationen an den Zug übermittelt?
Vertrauenswürdigkeit des IoT
Die Vertrauenswürdigkeit von IoT-Geräten ist eng mit deren Design, Lebenszyklusmanagement und Produktionsverfahren verknüpft: Ein IoT-Ökosystem wird dann als vertrauenswürdig angesehen, wenn es selbst und seine Geräte so entworfen und hergestellt werden, dass sie «Secure-by-Design» sind und ihr Lebenszyklusmanagement auf Sicherheit und Schutz ausgerichtet ist. Aufgrund fehlender Regulierung und aus den bereits genannten Gründen ist dieser Idealfall heutzutage jedoch inexistent. Das Risikomanagement muss sich daher mit der Tatsache auseinandersetzen, dass fast alle eingesetzten IoT-Geräte potenziell nicht vertrauenswürdig sind.
Mangelndes Bewusstsein und Wissen über das IoT
Erstens zwingen der wettbewerbsorientierte Markt und die rasche Entwicklung der ICT die IoT-Industrien zu Diversifizierung und Innovation. Das Problem dabei ist, dass den Unternehmen oft das Wissen und die Erfahrung fehlen, um sichere IoT-Geräte herzustellen. Dies ist vor allem dann der Fall, wenn etablierte Unternehmen zum ersten Mal in den IoT-Markt eintreten (z.B. halbautomatische Autos, verbundene Kühlschränke usw.).
Zweitens kann das mangelnde Kontextbewusstsein über die eingesetzten IoT-Geräte zu systemischen Fehlfunktionen oder zur Ausnutzung kontextbezogener Schwachstellen führen. Der Einsatz eines Netzwerks von IoT-Geräten in einem Haus, einem Krankenhaus, einer Fabrik oder einem nationalen Stromnetz erfordert unterschiedliche Sicherheitsüberlegungen.
Die Kontextualisierung ist von grosser Bedeutung für das Verständnis der spezifischen Bedrohungen und Schwachstellen, die jedes IoT-Ökosystem betreffen. Der Kanton Basel-Stadt hat beispielsweise beschlossen, neue Polizei-Patrouillenwagen zu kaufen, und sich für die hypervernetzten Tesla-Autos entschieden.
Allerdings war Tesla daraufhin in der Lage, auf fast alle Informationen der Polizeiautos zuzugreifen – einschliesslich Geo-Tracking, Zustand des Motors, Videokameras usw. Dieser gravierende Fehler in Bezug auf die Datenintegrität ist hauptsächlich auf das fehlende Bewusstsein und die fehlende Kontextualisierung der für diesen Kauf verantwortlichen Person zurückzuführen.
Schweiz: Auswirkungen auf das Risikomanagement
Ihre Lage im Zentrum Westeuropas bedeutet für die Schweiz, dass sie ein zentraler Knotenpunkt für verschiedene kritische Bereiche ist: Gastransport (Marseille-Cressier-Rotterdam-Pipeline), Stromnetz, Warentransport usw. Aufgrund dieser systemischen Abhängigkeiten könnte ein Ausfall von kritischen Infrastrukturen in der Schweiz möglicherweise zu einem Dominoeffekt in ganz Westeuropa führen. Aus diesem Grund darf mit dem Einsatz von IoT-Geräten in Schweizer Infrastrukturen nicht leichtfertig umgegangen werden. Die Priorität sollte vor allem in der Regulierung des IoT liegen, zumal es in der Schweiz bis dato keine Normen oder Vorschriften in diesem Bereich gibt. Bestenfalls bestehen Empfehlungen, die von der Melde- und Analysestelle Informationssicherung (Melani) und Prophylax, einem Präventions- und Sensibilisierungsprogramm des Nachrichtendienstes des Bundes, ausgehen. Diese Empfehlungen richten sich jedoch meist an Verbraucher und nicht an Hersteller, Verkäufer oder Dienstleister. Um die Dringlichkeit der Regulierung des Internetverkehrs in der Schweiz zu unterstreichen, sollte dieser Bereich besser in die Cybersicherheitsstrategie der Schweiz integriert werden. Zudem wirft die Standardisierung und Regulierung folgende Frage auf: Soll sich die Schweiz an der kaum vorhandenen IoT-Regulierung orientieren und damit ihre Interoperabilität mit den umliegenden Ländern erhöhen? Oder sollte die Schweiz ihre eigenen Standards und Regulierungen erarbeiten und damit ihre Souveränität erhöhen?
Autorin
Alice Crelier, Forscherin, Cyber Defense Project, Risk and Resilience Research Team, Center for Security Studies (CSS), ETH Zürich