Vom Drucksensor über die Drohne zur Smart Factory – Security comes first!

Autos, die selbst fahren, Kühlschränke, die selbst einkaufen und Produktionsstraßen auf denen sich Einzelteile selbst mitteilen, wie sie miteinander verbaut werden – Szenarien, die sich für manchen noch immer ein wenig futuristisch anhören, aber es schon nicht mehr sind. Mittlerweile sind intelligente Maschinen, Lagersysteme, Betriebsmittel sowie auch intelligente Produkte weltweit miteinander vernetzt und schicken oder empfangen Daten von mobilen Applikationen und Cloud-Services. Die Ansätze reichen von der Vernetzung von Produktionsstätten unter Nutzung von Cloud-Plattformen bis hin zu von der Natur inspirierten Kommunikationsverfahren, die zum Beispiel nach Vorbild eines Ameisenstaats bei Unterbrechungen in der Kommunikation selbstständig neue Pfade in den Produktionsprozessen finden.

Dabei zahlen vor allem drei Trends auf diese Entwicklung ein:

  1. die globale Verbreitung vernetzter Geräte
  2. ein rasantes Wachstum bei plattformunabhängigen Anwendungen
  3. reife Netzwerktechnologien, mit denen sich quasi unendlich viele verteilter Geräte billig und einfach verknüpfen lassen

So visionär sich das wirtschaftliche und alltägliche IoT-Potenzial auch vor uns entfaltet, es hat auch viele Haken: Um die Visionen von flexibler und standortübergreifender Produktion oder millionenfach vernetzter IoT-Endgeräte umzusetzen, müssen die Software-Architekturen offene und standardisierte Schnittstellen anbieten. Dabei sollten diese offenen Software-Architekturen nicht nur einfach zu warten und gleichzeitig effizient, sondern auch sicher sein.

Für Inessa Seifert, die innerhalb der Begleitforschung des Technologieprogramms „Autonomik für Industrie 4.0“ des Bundesministeriums für Wirtschaft und Energie für das Thema IT-Sicherheit zuständig ist, lautet die Formel zur Lösung dieses Problems ganz klar: „Je flexibler die Kommunikation zwischen den vernetzten Systemen und cyber-physischen Komponenten innerhalb der Architekturen, umso höher die Anforderungen an die IT-Sicherheit, die sich unmittelbar auf die funktionale Sicherheit der autonomen Systeme auswirkt“.

Vor allem werden ganzheitliche Security-Ansätze benötigt, um das schnell wachsende Internet der Dinge zu adressieren. Denn bildlich gesprochen, öffnet Industrie 4.0 die Türen zu den Fabriken, zu den Unternehmen und theoretisch auch zu jedem Privathaushalt. Deshalb ist es so wichtig, die Manipulation und Sabotage aller vernetzten IoT-Systeme zu verhindern. Denn Smart Factories und auch das alltägliche IoT werden nur dann realisiert und angenommen, wenn sie wirtschaftlich umsetzbar sind und das Know-how, geistiges Eigentum sowie auch persönliche Daten zuverlässig geschützt werden.

Kurzes 1 x 1 der IoT-IT-Sicherheit

Das IT-Marktforschungsunternehmen Gartner definiert das Internet der Dinge als das Netzwerk aus physischen Objekten, die integrierte Technologie enthalten, um mit ihrem internen Zustand oder der äußeren Umgebung zu kommunizieren und zu interagieren oder diese zu messen. Die Technologie bietet enorme Marktchancen. Das Marktforschungsunternehmen Gartner beispielsweise nimmt an, dass die Hersteller von IoT-Produkten und -Dienstleistungen im Jahr 2020 mehr als 300 Milliarden US-Dollar umsetzen werden. Die Größe des IoT wird zum selben Zeitpunkt auf etwa 26 Milliarden vernetzte Systeme geschätzt. IDC prognostiziert, der weltweite Markt für IoT-Lösungen werde von 1,9 Milliarden US-Dollar im Jahr 2013 auf 7,1 Milliarden US-Dollar im Jahr 2020 wachsen. „Das Internet der Dinge und Dienste ist ein strategisch wichtiger Markt. Er wird schnell wachsen und sowohl die Einnahmen als auch die Kosteneffizienz stärken“, sagt Forschungschef Peter Sondergaard von Gartner voraus.

Warum ist das Internet of Things so leicht knackbar?

IoT-Geräte sind sehr vielfältig. Sie bestehen aus zahlreichen Modulen und verbreiteten Softwarebibliotheken, meistens mit offenem Quellcode (Open Source). Häufig nutzen sie auch relativ neue Protokolle wie Universal Plug-n-Play (UPnP), die fehlerhafter sind als ältere, besser etablierte Protokolle. Zudem bauen die meisten IoT-Hersteller ihre Systeme nicht unter Sicherheitsgesichtspunkten, weshalb sie keine ausreichenden Reaktionsmechanismen gegen Angriffe besitzen. Oft ist ein IoT-Device deshalb das Einfallstor für einen nachfolgenden Angriff auf das interne Netzwerk.

Was muss geschützt werden?

In erster Linie müssen, vor allem vor dem Hintergrund des Datenschutzes, persönliche Daten von Kunden und Mitarbeitern geschützt werden, wie zum Beispiel Gehaltsinformationen, Vermögensangaben, Such- oder Kaufhistorie und alle weiteren vertraulichen Daten, zudem natürlich Unternehmensdaten und Know-how.

Welche Herausforderungen stellen sich an die IoT-Sicherheit?

Im Zusammenhang mit Sicherheit darf das Internet der Dinge nicht mit dem konventionellem Internet verglichen werden, warnt auch Bret Hartman, Chief Technology Officer von Cisco, in einem Interview mit der ecommercetimes. Denn, wo das konventionelle Internet weltweit miteinander verbindet, handele es sich beim Internet der Dinge eher um geschlossene Netzwerke. Da sich diese je nach Geräten und Bedürfnissen unterscheiden, seien auch die Sicherheitslösungen unterschiedlich.

Diese Vielfalt der IoT-Geräte vergrößert auch laut der Studie von Hewlett-Packard (HP) mit dem Titel „Internet of Things Research“ von 2014 die Angriffsfläche. In dem Bericht wurden die Sicherheitsuntersuchungen der Top-Ten-Verbraucher-Geräte zur Verfügung gestellt und auf unglaublich viele gefundene Schwachstellen hingewiesen. Um ein paar Defizite zu nennen: keine Transport-Verschlüsselung, unsichere Web-Schnittstellen, Autorisierungs- und Software-Schutz-Probleme, sowie Datenschutz-Bedenken. Die HP-Studie zeigte, dass selbst einfache Security-Prinzipien, die seit vielen Jahren gepredigt werden, bei der Produktentwicklung nicht bedacht werden, dazu gehören zum Beispiel sogar starke Passwörter.

Fakt ist: Die derzeitigen Security-Modelle für PCs und Smartphones lassen sich nicht auf IoT-Geräte übertragen. Das liegt vor allem daran, dass die meisten bezüglich ihrer Prozessor- und Storage-Kapazität limitiert sind. Allerdings ist das gewohnte Security-Modell, wie die regelmäßige Installation von Updates, das Einspielen von Security-Patches, das Installieren und Aktualisieren von Antiviren-Software und das Konfigurieren von Firewalls nicht praktikabel. Deshalb ist die Entwicklung von neuen Standards speziell für das Internet of Things unerlässlich.

Derzeit beschäftigen sich einige Gruppen mit IoT-Standards. Dazu gehören Industrial Internet Consortium, Thread, AllJoyn und das Open Interconnect Consortium. Letzteres wurde im Juli 2014 von Broadcom, Dell, Intel, Samsung und anderen Firmen gegründet.

Wie kommt es zu der aktuellen mangelhaften IoT-Security?

Zwei Gründe sind laut Studie ausschlaggebend: Jeder will so schnell wie möglich neue Geräte auf den Markt bringen. Außerdem mussten sich die Entwickler herkömmlicher Embedded-Systeme aus Bereichen wie der Herstellung oder dem Transport keine Gedanken über Security-Kontrollmechanismen machen. Denn ursprünglich waren diese Systeme von IP-Netzwerken isoliert.

Im Falle von Industrie 4.0 wird die Ausschreibung für eine neue Maschine gewöhnlich vom Anlagenbauer betreut. Für ihn ist natürlich vor allem wichtig, dass die Maschine, die geforderte Aufgabe erfüllt. Oftmals ist die Sicherheitsfrage mit einer Firewall und Intrusion Prevention System abgearbeitet. Dass solche Maßnahmen bei Netzattacken oder Trojaner gar nichts bewirken, ist nicht bekannt. Zusammengefasst wird deutlich, dass hier ein erheblicher Qualifizierungsbedarf besteht.

Wie kann IoT-Security verbessert werden?

In Zusammenhang mit dem Internet der Dinge stellen sich zahlreiche Fragen bezüglich der IT-Sicherheit, die beantwortet werden müssen: Wie können Geschäftsgeheimnisse und geistiges Eigentum geschützt werden? Wie werden Datenschutz und Vertraulichkeit gewahrt? Wie sicher ist die Kommunikation zwischen Geräten bzw. Komponenten? Und wie können Hackerangriffe frühzeitig erkannt und möglicher Schaden abgewendet werden?

In erster Linie müssen Unternehmen ihre IoT-Kontaktpunkte identifizieren, auch wenn dies – aufgrund der Natur der Sache – sehr viele sind. Denn jeder Kontaktpunkt kann Cyberkriminellen den Zugriff auf das eigene System bieten. Deshalb ist es so wichtig, alle Schwachstellen im Auge zu haben.

Fazit

Datensicherheit ist ausschlaggebend für den Erfolg neuer IoT-Geschäftsmodelle, da sie für die Verfügbarkeit und Zuverlässigkeit von Produktion und Dienstleistungen verantwortlich ist. Nur mit intelligenten Lösungen, zielführenden Richtlinien und klug agierender IT-Abteilung können Unternehmen Wege finden, wie sie IoT-Sicherheit in den Griff bekommen.

Quellen:
http://www.elektroniknet.de/automation/sonstiges/artikel/116949/
http://it2industry.blog.messe-muenchen.de/2014/10/17/it-sicherheit-im-internet-der-dinge/
http://www.bigdata-insider.de/recht-sicherheit/articles/476336/
http://www.cebit.de/de/news-trends/trends/it-security/artikel-2015/in-abrahams-schoss.xhtml
http://www.searchsecurity.de/meinung/Internet-der-Dinge-Was-zu-tun-ist-um-IoT-Security-Realitaet-werden-zu-lassen