IoT und Sicherheitslücken
Im Unterschied zur klassischen IT, wo das Thema Sicherheit inzwischen großgeschrieben wird, wurden Sicherheitsvorkehrungen in der OT bisher vernachlässigt. Dies zeigte sich eindrucksvoll in der erst kürzlich erfolgten bisher größten Hacker-Attacke auf US-Internetanbieter wie Netflix, Amazon, Twitter, Paypal und Spotify. Der Angriff hatte ein Volumen von über einem Terabit pro Sekunde und ging von gehackten Geräten aus dem Internet der Dinge aus: IP-Kameras, Drucker, Router, Baby-Monitore, TV-Festplatten-Receiver und Beleuchtungssystemen. Mittels einer Schadsoftware erhielten die Hacker Zugriff auf die Geräte, da diese oftmals über zu wenige Schutzmaßnahmen verfügen. Eine brandaktuelle Gefahr, die demonstriert, welchen Schaden man mit dieser mächtigen Cyberwaffe anrichten könnte.
Auch früher hat es schon ähnliche erfolgreiche Hacker-Angriffen auf Produktionsanlagen gegeben, da niemand daran gedacht hatte, dass Firewalls oder ähnliche Security-Maßnahmen für OT-Geräte eingeplant werden müssen. Verschiedene Studien, unter anderem von der Bitkom gehen davon aus, dass pro Jahr alleine in Deutschland ein Schaden von 51 Milliarden Euro durch Cyberangriffe entsteht. Hiervon entfallen alleine 22 Milliarden Euro auf Produktionsbetriebe. Daraus lässt sich schließen, dass ein einzelner Cyberangriff Schäden in Höhe von mindestens 3 Millionen Euro erzeugt. Wer die Konventionalstrafen für einen Produktionsausfall bei Automobilzulieferern kennt, kann solche Zahlen durchaus nachvollziehen.
Wildwuchs bei IoT-Geräten, -Anwendungen und -Daten
Neben der Sicherheit tut sich folgendes weiteres Problemfeld beim Thema IoT auf: Es gibt eine Vielzahl unterschiedlicher IoT-Geräte, -Apps und -Daten, die alle unterschiedlich zu behandeln sind. An das Internet angeschlossen werden diese durch verschiedene Arten von Gateways, eine Art Router für IoT-Devices, der die Protokolle und Bus-Systeme aus dem Industriebereich wie Profibus in Internetprotokolle - in der Regel IP - übersetzt.
Das Gateway nimmt die Informationen der IoT-Devices in den meisten Fällen über ein proprietäres Protokoll entgegen und leitet diese dann über das Internet weiter. Da die verschiedenen Geräten und Gateways von unterschiedlichen Herstellern produziert werden, erfolgt die Verwaltung oftmals über eine herstellerspezifische Software. Ein Gateway ist ein sogenannter Rugged PC, was bedeutet, dass es unter widrigen Umweltbedingungen eingesetzt werden kann, egal ob es feucht, staubig, heiß oder kalt ist.
Allerdings verfügen Gateways meist über keinerlei Management-Software, wie wir sie seit vielen Jahren aus dem Server-Management kennen. Die Leistungsdaten des Geräts werden also nicht erfasst. Von Redundanzen und Backups, die im Rechenzentrum heutzutage Standard sind, ist die Operational Technology ebenfalls noch weit entfernt. Dementsprechend fallen im Ernstfall auch sämtliche angeschlossene IoT-Devices aus, sollte das Gateway seinen Geist aufgeben, weil beispielsweise die CPU überlastet, der interne Speicher voll oder das Gerät womöglich von einem Virus befallen ist. Stuxnet lässt grüßen.