Tipps für CIO und CISO

IIoT-Sicherheit - darauf kommt es an

06.08.2021
Viele Industrie-Unternehmen stürzen sich mit Feuereifer in Projekte rund um das Industrial Internet of Things (IIoT). Nicht selten reißen Sie damit Lücken in ihre IT-Infrastruktur, die Angreifer leicht ausnutzen können.

IIoT-Implementierungen stellen Unternehmen bei der IT-Sicherheit vor Herausforderungen. Die Risiken steigen je nach Einsatzszenario, wobei die Anwendungsfälle von Predictive Maintenance über Energie-Management bis hin zur Flotten- und Logistiksteuerung reichen. In allen Fällen sind die verfügbaren IoT-Technologien funktional weitgehend ausgereift, doch die Sicherheitsvorkehrungen sind es nicht unbedingt.

In industriellen Umfeldern können Angriffe, die IIoT-Schwachstellen ausnutzen, auch für die physische Gesundheit der Menschen gefährlich werden.
In industriellen Umfeldern können Angriffe, die IIoT-Schwachstellen ausnutzen, auch für die physische Gesundheit der Menschen gefährlich werden.
Foto: PopTika - shutterstock.com

Viele IoT-Geräte eröffnen Schwachstellen, über die sich sensible Daten abgreifen lassen. Mitunter entstehen sogar Gefahren für Leib und Leben der Mitarbeitenden, man denke etwa an Fehlfunktionen von Industrie-Anlagen, Manipulationen an medizinischen Geräten oder die Korrumpierung von Systemen für die Haussicherheit.

Angreifer nutzen IIoT-Sicherheitslücken aus

Wie die Analysten von Forrester in der aktuellen Studie "The State of IoT Security" feststellen, waren im vergangenen Jahr IoT-Geräte der zweithäufigste Angriffsvektor bei Attacken von außerhalb des Unternehmens. Nur Angriffe gegen Unternehmenswebseiten kamen noch häufiger vor. Dementsprechend sind laut einer Umfrage der Marktbeobachter Sicherheitsvorfälle die größte Sorge, wenn IT-Verantwortliche IoT-Vorhaben anpacken. Erst an zweiter beziehungsweise dritter Stelle rangieren Fragen rund um Kosten und Integration.

Doch was sind das für IoT-Sicherheitsprobleme, die IT-Verantwortliche um den Schlaf bringen? Da gibt es zunächst die Schwierigkeiten mit der Implementierung und der Integration. IoT-Geräte müssen vielseitig Connectivity bieten und integrierbar sein. Oft brauchen sie eine direkte Verbindung in die Cloud, müssen im Verbund mit Edge- oder Gateway-Geräten oder auch im Zusammenhang mit Peer-to-Peer-Mesh-Networks eingesetzt werden können. Ebenso haben sie spezielle Funktechnologien wie Z-Wave und Bluetooth sowie Netzwerkprotokolle á la Low-Power Wide-Area Networking (LPWAN) zu unterstützen.

Dieselben IoT-Geräte können außerdem neben HTTPS unterschiedliche Kommunikationsprotokolle verwenden, etwa MQTT oder AMQP. Sie können zudem in verschiedenen Ländern auf unterschiedlichen Funkfrequenzen senden. Die Protokollvielfalt erschwert also die Integration und erhöht die Sicherheitsrisiken, da Hacker gerne Fehlkonfigurationen und andere Schwachstellen für sich nutzen.

Auch der Gesetzgeber muss mitspielen

Regional können auch Gesetze und Vorschriften zum Problem werden. Beispielsweise ist am 1. Januar vergangenen Jahres das California Senate Bill 237 in Kraft getreten. Es verlangt, dass vernetzte Geräte, die im US-Bundesstaat verkauft werden, über "angemessene Sicherheitsmerkmale"verfügen. Authentifizierung gilt als das das obligatorische Minimum der Sicherheitsmerkmale. Einzelne hart kodierte Passwörter sind nicht erlaubt.

Geräte müssen außerdem ein eindeutiges Passwort haben oder den Benutzer auffordern, ein neues Passwort einzurichten, bevor sie zum ersten Mal genutzt werden. Das IoT-Sicherheitsgesetz gilt für alle vernetzten Geräte, die im Sonnenstaat verkauft werden, unabhängig davon, wo sie hergestellt wurden. Wenn dieses Beispiel Schule macht, wird die zunehmende IoT-Regulierung Sicherheitsprofis wohl endgültig um den Verstand bringen.

Eine weitere Sorge der Sicherheitsprofis betrifft die Schwachstellen in den IoT-Geräten selbst. Mit IoT-Projekten weiten Unternehmen unweigerlich ihre Angriffsfläche aus und erhöhen das Risiko für ihre Daten und Kernsysteme. Ein besonderes Problem entsteht in Zeiten von Remote Work, es betrifft die Sicherheit von Smart-Home-Geräten. Deren Lücken bedeuten nun auch eine Bedrohung für Unternehmensdaten und -netzwerke.

Vor allem wenn Administratoren Richtlinien für ihre Unternehmensnetze festgelegt haben, nach denen Software-Updates aufgespielt, Guidelines umgesetzt oder andere Aktionen geplant werden, entstehen unzugängliche Geräte-Umgebungen, in denen sich IoT-Geräte kaum patchen lassen. Die Devices haben ja oft keine physische Benutzeroberfläche und keinen Screen, was es schwierig macht, Menschen über die Notwendigkeit eines Updates und die entsprechenden Schritte zu informieren.

Eine weitere Herausforderung stellt das Device Management dar. Zu dessen Aufgaben gehören das Aktivieren, Bereitstellen und Registrieren von Geräten. Auch wenn das Einrichten eines neuen Geräts einschließlich der Aktualisierung von Standort- und Anwendungseinstellungen zunächst einfach und sicher erscheint, ist es ein Szenario, das von Hackern typischerweise kompromittiert wird. Das geschieht beispielsweise durch das Zurücksetzen eines Geräts auf die Default-Einstellungen oder das Deaktivieren von Updates. Daher ist eine angemessene Schulung der Endbenutzer wichtig, damit sie Konfigurationsänderungen nicht widerspruchslos zustimmen.

IoT-Probleme durch Remote Work

Das in der Corona-Krise aufgekommene mobile Arbeiten macht IoT-Szenarien anfälliger. Sicherheitsteams mussten im Zuge des Massenumzugs in die Home Offices ihren Fokus verlagern und dem Schutz von Endgeräten Priorität einräumen. Das betrifft unternehmenseigene genauso wie die beruflich genutzten Privatgeräte der Mitarbeiter. Die Security-Profis wählten oft einen anwendungszentrischen Ansatz, um Privatgeräte als Ziele für Cyberkriminelle weniger attraktiv zu machen. Und sie führten UEM-Plattformen (Unified Endpoint Management) ein, um das Ausrollen von Sicherheitsupdates und Patches über verschiedene Betriebssysteme hinweg zu vereinfachen.

Doch mit der zunehmenden Heterogenität der Geräte sind neue Sicherheitsprobleme entstanden. Während rund um Windows-Desktops vieles verbessert und automatisiert wurde, sind IoT-Geräte mit ihrer Hardware und ihren Betriebssystemen sehr unterschiedlich. Das ermöglicht den Unternehmen zwar, immer genau die Gerätehardware zu entwickeln oder zu beschaffen, die für ihren Anwendungsfall optimal ist. Doch konsistente Sicherheitsrichtlinien werden zu einer Herausforderung. Das Risiko wächst, dass Sicherheitslücken entstehen, die Hacker zum Datendiebstahl nutzen können.

Vorfälle in der Supply Chain können gravierend sein

Hinzu kommen ganz neue Bedrohungsvektoren durch IoT. Die Daten von Forrester zeigen, dass viele Unternehmen Anwendungsfälle entlang ihrer Produktion bevorzugen, zum Beispiel im Bereich Supply Chain Management, Facility Management oder Asset Performance Management. Das ist auch logisch, weil dort große Effekte für die betrieblichen Abläufe zu erzielen sind. Aber gerade die Digitalisierung dieser Prozesse erfordert starke Sicherheitskontrollen bei der Bereitstellung, zumal Angreifer hier großen Schaden anrichten können.

IoT-Geräte regelmäßig zu patchen ist selbstverständlich, doch es reicht nicht aus. Kein Sicherheitsteam kann immer alle Schwachstellen finden, bevor Angreifer sie entdeckt haben. Hinterherzulaufen wird also eher die Regel sein, anstatt eine eigene systemische Lösung zu schaffen, in der Patching ein Baustein von mehreren ist. Mit zunehmender Menge der Gerätefunktionen kommen IT-Sicherheitsteams kaum um die Einführung einer IoT-Management-Konsole herum, von der aus sie alle Geräte über ihren gesamten Lebenszyklus hinweg verwalten können - sowohl in Hinblick auf Sicherheitsvorfälle als auch auf andere Leistungskennzahlen.

Schwierige Frage: Wie sicher ist ein IoT-Device?

Auch das Bewerten der IoT-Gerätelieferanten und ihrer Produkte hinsichtlich der Security-Features ist alles andere als trivial. Viele Unternehmen tun sich schwer, die Sicherheitsarchitektur eines bestimmten IoT-Geräts richtig zu beurteilen und herauszufinden, ob dessen Integration in die Unternehmensumgebung Risiken birgt. Auch gelingt es ihnen nicht immer, ihre spezifischen Bewertungs- oder Lieferantenanforderungen in ihren Beschaffungsprozess zu integrieren, um so die implizite Sicherheit einzelner Komponenten zu bewerten. Sicherheitszertifikate für vernetzte Geräte, etwa nach UL-Normen, können helfen diese Lücke zu schließen, aber sie sind noch nicht weit genug verbreitet. So verlassen sich Sicherheitsprofis oft auf ihre eigenen, manuellen Ansätze, um die IoT-Lieferkette einzuschätzen.

Laut Forrester geben derzeit nur 38 Prozent der Sicherheitsentscheider in den Unternehmen weltweit an, über ausreichende Richtlinien und Tools zu verfügen, um die IoT-Lösungen, die in die Anlagen oder den Betrieb des Unternehmens eingebettet sind, gut zu managen. Noch weniger (31 Prozent) glauben, dass ihre Produkte dafür ausgereift genug sind. Forrester erwartet daher eine rasant steigende Nachfrage nach IoT-Sicherheitslösungen im kommenden Jahr.

Die Security-Profis gedenken, durchschnittlich zehn Prozent ihrer Budgets für IoT-Sicherheit aufzuwenden. Die Zahl ist allerdings vage, da Ausgaben für IoT-Sicherheit oft nicht klar ausgewiesen und meist anderen Teilbudgets, etwa für Netzwerk- und Datensicherheit, zugeordnet werden. Deshalb dürften die bereitgestellten Mittel für IoT-Sicherheit unterm Strich höher sein.

So oder so: Die Ausgaben für IoT-Sicherheit werden in diesem Jahr steigen, Forrester erwartet ein Plus von zehn bis 14 Prozent. Mit zunehmender Marktreife werde es sowohl neue Marktteilnehmer geben als auch Unternehmen, die Sicherheit tiefer in ihre klassischen Produkte integrieren. Das werde Sicherheitsteams beim Aufbau einer umfassenden IoT-Sicherheitsarchitektur helfen.

Die Analysten von Forrester nennen fünf Produktbereiche, die IoT-Sicherheitsbeauftragte im Blick haben sollten:

IoT-Device-Sicherheit bietet Funktionen wie Firmware- und Betriebssystem-Härtung, das Management von Gerätezertifikaten (PKI) und das "Verschleiern"(Obfuskation) der vertrauenswürdigen Ausführungsumgebung, um das Risiko von Geräte-Manipulationen zu minimieren und nicht autorisierte Zugriffe auf IoT-Geräte sowie ungewöhnliches Geräteverhalten zu erkennen. Anbieter wie Armis, Device Authority, Crypto Quantique, Entrust, Thales/Gemalto, IBM, Utimaco und Venafi bieten Lösungen in dieser Kategorie.

IoT-Anwendungssicherheit: Dort geht es um Lösungen für den Schutz auf dem Anwendungslayer. Das betrifft IoT-Geräte mit Funktionen wie gehärteten Anwendungen und Containern, Datensicherheit, Anwendungsauthentifizierung und anderen. Solche Sicherheitslösungen auf IoT-Anwendungsebene kommen von Anbietern wie Akana, Digital.ai, Axway, Mocana, Synopsys und WSO2. Sie können auch die API-Kommunikation zwischen IoT-Geräten überwachen, ebenso die zu Backend-Systemen und zu Anwendungen mit dokumentierten REST-APIs.

IoT-Sicherheitsplattformen: Sie kombinieren Sicherheitsfunktionen in jeder der drei Hauptkategorien Device, Anwendung und Netzwerk, um IoT-Geräte zu identifizieren, zu sichern, zu verwalten, zu authentifizieren und zu autorisieren. Zudem können sie Daten schützen und den Zugriff auf IoT-fähige Geräte kontrollieren. Dabei werden Anwendungsdaten lokal und in der Cloud sicher verwaltet, aber eben auch schon auf dem Weg in die Cloud.

Die Datensicherheitsfunktionen ermöglichen es, Daten bei Bedarf zu löschen und die Geräte-Firmware sicher bereitzustellen und zu aktualisieren. Funktionen für das Access-Management ermöglichen eine rollenbasierte Zugriffskontrolle und das Aktivieren von Anwendungsfunktionen auf Geräten mithilfe von Token. Diese Zugangsfunktionen sollten massiv skalierbar sein und Optionen für On-Premises- und Cloud-Bereitstellung mitbringen. Anbieter sind Attila, AWS, IBM, Microsoft und Vdoo.

IoT-Netzwerksicherheit: Diese Lösungen dienen dazu Netzwerke zu schützen, die IoT-Geräte miteinander verbinden. Die Angebote umfassen nicht nur IoT-spezifische, oft auf Branchen ausgerichtete Lösungen, sondern auch Angebote zum Schutz ganzer Unternehmensnetzwerke, in denen IoT- genauso wie Nicht-IoT-Geräte integriert sind. Die Daten werden von einer Vielzahl von Remote-Function- und kabelgebundenen Protokollen erfasst. Das Spektrum umfasst Netzsicherheits-Appliances und Firewalls, SPAN/TAP-Ports, Wireless Access Points und IoT-spezifische Funkempfänger (etwa Zigbee und Z-Wave). Zu den Anbietern solcher Produkte gehören Bastille, Check Point Software, Cisco, Cynerio, Forescout, Fortinet, Palo Alto Networks und Medigate.

IoT Managed Security Services: Eine ganze Reihe von Dienstleistern bietet heute bereits Managed Security Services für IoT-Anwendungsfälle an. Vor allem IoT-ambitionierte Unternehmen, denen die Mitarbeiter fehlen, finden das attraktiv. Telcos wie AT&T, Verizon und Vodafone offerieren Lösungen, mit denen sich B2C-Initiativen rund um das Connected Home umsetzen lassen. Andere Anbieter, darunter Atos, Kudelski Security und Trustwave bieten Services an, die Funktionen wie Asset-Inventarisierung, Risikobewertung, Überwachung und Incident Response beinhalten. (hv)