Eine genaue Aussage zu treffen, wie sicher oder unsicher das Internet of Things (IoT) wirklich ist, macht die schiere Anzahl an IoT-Geräten und Anwendungsbeispielen sehr schwierig. Die anhaltend schnelle Entwicklung erschwert es Unternehmen deutlich, puncto Sicherheit immer auf dem Laufenden zu bleiben. Typischerweise achten Unternehmen, die IoT-Geräte implementieren wollen, mehr auf Funktionalität und Remote-Zugriff als auf Sicherheit. So entsteht eine gefährliche Lücke innerhalb des Systemdesigns und der Architektur. Eine unzureichende Verschlüsselung und schwache Authentifizierungsschemata sind die häufigsten Ursachen, die IoT-Geräte für Datendiebstähle anfällig machen. Nicht selten sind die Gerätesysteme «geschlossen», das heisst, sie lassen sich nur schwierig remote verwalten oder aktualisieren. Eine einfache Verwaltung von Endgeräten ist aber wichtig. Normalerweise befinden sich innerhalb eines Unternehmens oder einer Organisation viele solcher Geräte im Einsatz, was es praktisch unmöglich macht, physisch auf jedes einzelne Gerät zugreifen zu wollen.
Ein moderner Geschäftsbetrieb verlangt heutzutage vernetzte Geräte, um den wirtschaftlichen und technologischen Anschluss nicht zu verlieren und auf jegliche Informationen und Veränderungen schnell und zeitnah reagieren zu können. Eine der grössten Herausforderungen für Unternehmen ist es, all diese Informationen an die zentrale Stelle zurückzumelden, ohne dass sie unbefugt abgeschöpft werden.
Welcher Schaden kann durch den Angriff auf das Internet of Things entstehen?
Die Vielfalt und die Auswirkungen von Angriffen auf IoT-Geräte sind enorm. So können Hacker beispielsweise die gleichen Schadprogramme nutzen, welche die Verbraucher in Spam-E-Mails herunterladen und damit die gesamte Netzwerkstruktur eines Unternehmens lahmlegen. Schafft es ein Hacker, auf die Web-Konsole eines Geräts zuzugreifen oder sich in das Gerät einzuloggen, ist es ein Leichtes, das Gerät fortan zu kontrollieren. Ist das Gerät zudem Teil einer sicherheitsrelevanten Infrastruktur, etwa von Energieversorgern, stehen buchstäblich alle Türen offen, um einen nicht nur immensen wirtschaftlichen Schaden anzurichten, sondern auch Menschenleben zu gefährden. Betreiber von Windparks beispielsweise sehen sich einem grossen Gefahrenpotenzial gegenüber. Grosse Anlagen mit mehreren Hundert Turbinen, die Strom für mehr als 300’000 Haushalte liefern, dürfen nicht ausser Kontrolle geraten. Die Verbindung zu jeder Turbine muss immer gewährleistet sein. Würden diese Turbinen gehackt und erpresserisch blockiert, oder würde das Stromnetz unbefugt abgeschaltet, käme das für den Betreiber einem wirtschaftlichen Totalschaden gleich.
Ein ebenso hohes Gefährdungspotenzial ist auch bei vernetzten industriellen Kühlanlagen gegeben. Kaum jemand denkt dabei an intelligente Geräte. Tatsächlich senden diese Anlagen alle erdenklichen Daten kontinuierlich hin und her. Ein krimineller Cyberangriff würde nicht nur die Kühlware verderben lassen, sondern das Unternehmen wäre höchstwahrscheinlich nach einem solchen Angriff nahezu pleite. Für Industriegeräte, deren Hack ein Gefahrenpotential für die Bürger darstellt, ist eine Security-Lösung daher unabdingbar. Das gilt gleichermassen für Organisationen, die sich auf vernetzte Maschinen verlassen müssen. Das attackierte Gerät darf nicht Teil der Unternehmens-Infrastruktur sein.
Tools für sichere, skalierbare IoT- Implementierungen
Für eine sichere und skalierfähige IoT-Verbindung sollten die Tools relativ klein sowie leicht und einfach integrierbar sein. Ausserdem sollten sie auch in grossen Stückzahlen problemlos transportierbar sein sowie einfach einzurichten und zu verwalten. Darüber hinaus ist der Preis ein wichtiges Kriterium. Viele der heute erhältlichen Security-Lösungen sind schlichtweg zu teuer, so dass sich deren Einsatz nicht lohnt. Andere wiederum versuchen eine Applikation zur Datenverschlüsselung zu starten. In diesem Fall gibt es keine «Denial of Service» (DoS) Vorkehrungen, so dass die Infrastruktur nicht ausreichend geschützt ist. Mit der steigenden Anzahl an IoT-Implementierungen wächst jedoch auch der Bedarf für Unternehmenslösungen, die exakt für diesen Zweck entwickelt wurden.
Administratoren können über ein einziges Interface das Routing und die Sicherheitsrichtlinien von zehntausenden Geräten auf einfachste Art und Weise managen, ändern oder neu einführen. (Grafik: Barracuda Networks)
Die grössten Hindernisse für ein sicheres Internet of Things
Das Hauptproblem lautet schlichtweg, dass es keine Generallösung gibt. Das Spektrum der IoT-fähigen Geräte reicht von Wearables über intelligente Glühbirnen bis hin zu industriellen Fertigungsmaschinen. Je nachdem, um was für ein IoT-Gerät es sich handelt, gibt es einen anderen wirtschaftlichen Ansatz. Die Herausforderung besteht darin, für jeden einzelnen Anwendungsfall eine adäquate Sicherheitskonfiguration zu finden. Deshalb haben Unternehmen teilweise entweder keine Vorsichtsmassnahmen für den Schutz ihres IoT-Netzwerk getroffen oder aber nur unzureichende, den Zweck nicht wirklich erfüllende Massnahmen.
Beinhaltet das IoT-Netzwerk hunderte oder gar tausende Geräte, ist es ein logistischer Kraftakt, jedes einzelne Gerät mit einer effektiven Security-Lösung auszustatten. Wie wird die Ausstattung eingesetzt? Wie soll der Lebenszyklus gemanagt werden? Wie werden Sicherheitsregeln implementiert? Sind diese Fragen erst einmal beantwortet, lässt sich das Internet der Dinge viel einfacher in den Geschäftsbetrieb integrieren – und viel sicherer. Die Herausforderung für die Anbieter von Security-Lösungen ist, dass die herkömmliche IT, wie sie in Büros oder Rechenzentren genutzt wird, nicht mit hunderten oder tausenden von remote verbundenen Geräten kompatibel ist.
Künftige Einsatzschwerpunkte für IoT- Security-Technologie
Es gibt tatsächlich viele Anwendungsfälle für sichere, skalierbare Schnittstellentechnologien, etwa bei Bankautomaten, im Ticketverkauf oder bei Spielautomaten. Bei all diesen Beispielen geht es um Geldvorgänge, was sie zu begehrten Zielen von Angriffen macht. Bezüglich der Adaptierung wird die Technologie kleiner und kostengünstiger werden, dabei aber mehr Funktionalitäten bieten. Lösungen brauchen beispielsweise eine zusätzliche Datenverkehrsüberwachung durch das Gerät selber und die direkte Verbindung zum Internet, anstatt den Datenfluss erst einmal zu einem zentralen Vollzugspunkt zurückzuschicken. So etwas bietet gerade für die industrielle Anwendung viele weitere Möglichkeiten. Denn wir können sicher davon ausgehen, dass der Trend der Miniaturisierung anhalten wird, bei gleichzeitiger Steigerung der Rechenpower der Geräte.
Autor:
Dr. Klaus Gheri ist Vice President und General Manager Network Security bei Barracuda Networks. Der habilitierte Physiker forschte und dozierte im Bereich der Quantenkommunikation und verfügt über langjährige Erfahrung im Security-Bereich.
www.barracuda.com