Sicherheit im Internet of Things

Die Welt braucht sinnvolle Standards

27.07.2020
Von 
Stefan Vollmer ist Director Cyber Security Strategy bei ESG Elektroniksystem- und Logistik-GmbH. Davor verantwortete er als CTO die technologische Entwicklung der BU Cyber Security Services bei der TÜV SÜD AG. Seine Karriere begann Vollmer, nach seinem Studium der Elektro- und Informationstechnik, als Systeminformatiker bei Rhode & Schwarz. Danach folgte eine Anstellung als Cyber-Security-Analyst bei Airbus Defense & Space.
Immer mehr Systeme sind in der Lage, sich miteinander zu vernetzen. Dies führt dazu, dass viel Augenmerk auf Wartung und Sicherung der Systeme gelegt werden muss. Die Zertifizierungen von IoT-Geräten spielt dabei eine wichtige Rolle.
IoT-Geräte sind angreifbar und müssen daher aktuelle Sicherheitsanforderungen erfüllen.
IoT-Geräte sind angreifbar und müssen daher aktuelle Sicherheitsanforderungen erfüllen.
Foto: Montri Nipitvittaya - shutterstock.com

Von den kleinsten Sensoren in Handys oder Autos bis hin zu kompletten Produktionsanlagen in der Industrie - immer mehr Geräte sind miteinander über das Internet of Things (IoT) miteinander vernetzt. Ende 2019 waren es bereits um die 27 Milliarden IoT-Geräte, umgerechnet auf die Weltbevölkerung kommen auf jeden Menschen damit fast drei IoT-Geräte.

In den kommenden Jahren, wird sich dieses Verhältnis nach Expertenmeinungen noch vervielfachen. Ein Grund dafür sind nicht zuletzt die vielen Vorteile, von denen Unternehmen bei der Anwendung von IoT-Geräten im industriellen Kontext profitieren. Das ganze Konzept der Industrie 4.0 fußt auf der Idee, technische Systeme so miteinander zu vernetzen, dass sie Informationen selbstständig austauschen und untereinander kommunizieren können. Durch diesen intensiven Datenaustausch müssen aber an die Absicherung der IoT-Geräte ganz neue Anforderungen gestellt werden.

Softwarepatches: Ein Hürdenlauf

Geräte, welche im Internet-of-Things (IoT) vernetzt sind, haben das gleiche Problem wie jeder Rechner: Sie sind von außen angreifbar. Für jede Form der Kommunikation, sei es verbal zwischen Menschen oder elektronisch zwischen Maschinen, gibt es Mittel und Wege, diese abzuhören oder zu manipulieren. Um dem vorzubeugen, müssen IoT-Geräte ebenso wie Rechner durchgehend aktuelle Sicherheitsanforderungen erfüllen. Bei Konsumprodukten gestaltet sich dies in einer idealen Welt vergleichsweise einfach. Der Hersteller identifiziert ein Sicherheitsrisiko in der Software seines Geräts, entwickelt einen Patch um das Problem zu beheben und installiert diesen per Over-The-Air Update auf seinen Geräten.

Gilt es jedoch, die Software einer industriellen Anlage ganz oder nur teilweise zu aktualisieren, so warten deutlich größere Hürden auf die Verantwortlichen. In der industriellen Produktion ist beispielsweise nicht sichergestellt, dass Maschinen oder Komponenten durchgehend an das Internet angebunden sind. In solchen Fällen ist ein eigenständiges Update der Software nur über Umwege möglich. Somit fällt es in den Aufgabenbereich des Wartungs- oder IT-Sicherheitspersonals, sich laufend über Patches zu informieren und deren Auslieferung wie auch Installation zu planen und zu überwachen.

Das wiederum führt zur nächsten Hürde: Erfordert ein Update eine Abschaltung des Systems oder einen Neustart? Während nämlich mit dem Neustart eines Smartphones wenig Planungsaufwand einhergeht, erfordert eine industrielle Anlage minutiöse Vorbereitung, da einige Faktoren zu beachten sind: Wie beeinflusst ein Stopp die weitere Arbeit der anliegenden Systeme? Kann dies während dem laufenden Betrieb geschehen oder müssen besondere Wartungszeiträume beachtet werden? Nicht zuletzt: Wie ist die Wichtigkeit des Systems einzuordnen, ist es also für die Sicherheit relevant? Außerdem bedeutet, neben technischen und organisatorischen Problemstellungen, ein Abschalten eines Systems einen Umsatzausfall.

Aufgrund dieses erhöhten Aufwandes kann es im industriellen Zusammenhang leichter dazu kommen, dass Lücken in der Sicherheit von IoT-Geräten langsamer (oder gar nicht) geschlossen werden, als es technisch möglich wäre.

Erhöhte Sicherheit durch allgemeine Standards

Wenn man darüber nachdenkt, wie man die Sicherheit von IoT-Geräten allgemein erhöhen kann, hilft ein Blick auf 'Best Practices' in anderen Bereichen: Technische Normen und Standards werden bereits in anderen Anwendungsbereichen erfolgreich eingesetzt, um die Sicherheit von Produkten und Systemen zu bewerten und zu gewährleisten. Beispiele dafür sind die Maschinenrichtlinie oder die CE-Kennzeichnung. Diese schützen nicht nur Leib und Leben der Anwender und Kunden, sie schaffen auch Vertrauen bei den selbigen, denn sie versprechen ihnen einen objektiv bewerteten Anspruch an Funktionalität und Sicherheit.

Eine solche Norm in Verbindung mit einer Zertifizierung wird nun für die Sicherheit von IoT-Geräten benötigt. Ein solcher Standard würde es erlauben, schon bei der Produktkonzeption einen größeren Fokus auf dessen Sicherheit zu legen und diese anschließend regelmäßig und reproduzierbar zu prüfen. Durch die Standardisierung von Sicherheitsanforderungen an sowohl Produktion als auch Betrieb, lässt sich die Sicherheit der Systeme nachhaltig erhöhen. Hinzu kommt ein positiver Nebeneffekt: Könnte durch eine solche Normierung alleine die Hälfte der IoT-Geräte, die sich im Einsatz befinden, besser absichert werden, so würde dies indirekt positive Auswirkungen auf "nicht-normierte" Geräte haben, da die Angriffsoberfläche im Verbund reduziert wäre.

Bei der Ausarbeitung der erforderlichen Sicherheitsstandards müssten natürlich unterschiedliche Abstufungen der Anforderungen berücksichtigt werden, anhand derer die entsprechenden IoT-Geräte entwickelt und anschließend zu prüfen sind.

Grundlage sollte dabei die Relevanz des jeweiligen Systems sein. So ist es beispielsweise verkraftbar, wenn die LED-Lampe in einem Smarthome-Gerät einmal wegen eines Fehlers die falsche Farbe anzeigt; erkennt jedoch eine industrielle Maschine die Daten eines Sensors in einer Notlage nicht oder bewertet sie falsch, so kann das schlimme Folgen haben. Dies ist ein weiterer Aspekt, weshalb die Sicherheit von IoT-Geräten prüf- und zertifizierbar sein muss. Neben erhöhtem Vertrauen und Sicherheit bieten sinnvolle Normen und unabhängige Kontrollen außerdem noch einen weiteren Vorteil für Unternehmen: eine rechtliche Absicherung im Schadensfall.

EU-Cybersecurity-Act: Ein erster Schritt in die richtige Richtung

Ein erster Schritt hin zu einheitlichen Sicherheitsstandards und -überprüfungen in Europa ist der Rechtsakt zur Cyber-Sicherheit. Dieser soll die Vorgaben und die Vergabe von Zertifizierungen im europäischen Raum regeln und stärken. Er bietet also eine rechtliche Grundlage für die Bestrebungen zu Zertifizierungen im IoT-Bereich. Im Rahmen des Rechtsaktes wurde außerdem die Gründung der europäischen Stakeholder Cybersecurity Certification Group (SCCG) beschlossen, einem Gremium, welches dabei helfen soll, die Rahmenbedingungen für Cybersecurity-Zertifizierungen im EU-Raum zu definieren.

Das Gremium setzt sich aus 50 Mitgliedern des europäischen Raumes zusammen, von akademischen Institutionen über Standardisierungsorganisationen hin zu Verbraucherschutzeinrichtungen. Ein Ziel des Gremiums ist es, ein einheitliches Zertifizierungssystem für Cyber-Sicherheit in der EU zu schaffen, das auch Verbrauchern als Orientierung dienen soll. Diese supranationalen Bemühungen der EU zeigen, wie aktuell und wichtig einheitliche Sicherheitsstandards auch dort eingestuft werden.

Standards schaffen Sicherheit und Vertrauen

Die Einführung allgemein gültiger Richtlinien und Anforderungen sind der nächste logische Schritt bei der Einführung von IoT. Je mehr Daten im Umlauf sind, desto größer die Versuchung für kriminelle Kräfte, sich diese anzueignen. Neben einer generell erhöhten Sicherheit der Geräte gegen Angriffe, ist es durch die Normierung von Prozessen und Technik möglich, IoT-Geräten durch unabhängige Dritte überprüfen und zertifizieren zu lassen.

Dies schafft erhöhtes Vertrauen von Unternehmen und Kunden in die Technologie und ermöglicht somit breitere Investitionen und Innovationen in einem Bereich, der speziell der Industrie einen enormen Vorteil bieten kann. Die intelligente Vernetzung von Systemen, ist der Kern der angestrebten 'Industrie 4.0' und sollte entsprechend behandelt und geschützt werden.