Sicherheit im Internet der Dinge

IoT Security ist noch Stückwerk

18.08.2020
Von 
Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.
Das Internet of Things hat sich in Unternehmen und im Consumer-Bereich etabliert. Der Erfolg solcher Initiativen hängt dabei davon ab, dass Daten systemübergreifend zur Verfügung stehen und IoT-Umgebungen umfassend geschützt werden. Hier besteht erheblicher Nachholbedarf.
Die Sicherheit im Internet of Things ist aufgrund der Heterogenität der Umgebungen in vielen Fällen Stück- beziehungsweise Flickwerk. Das kann schnell zum Gegenteil des angestrebten, geschäftlichen Mehrwerts führen.
Die Sicherheit im Internet of Things ist aufgrund der Heterogenität der Umgebungen in vielen Fällen Stück- beziehungsweise Flickwerk. Das kann schnell zum Gegenteil des angestrebten, geschäftlichen Mehrwerts führen.
Foto: Ekaterina Moskovko - shutterstock.com

Das Internet der Dinge (Internet of Things, IoT) spielt eine Schlüsselrolle, wenn Unternehmen Prozesse und Angeboten digitalisieren und automatisieren wollen. Das zeigt sich auch bei Anwendern in Deutschland: "Nach unserer Einschätzung entwickeln sich im Bereich IoT derzeit neue Ideen und Aktivitäten", bestätigt Andreas Gallasch, Geschäftsführer von Software Factory. Gallasch zufolge nutzen Firmen diverse Arten von IoT-Angeboten: "Dazu gehören klassische Predictive-Maintenance-Produkte, aber auch datengetriebene Lösungen für die OEE-Optimierung (Gesamtanlageneffizienz, Overall Equipment Efficiency) oder das Dashboarding (visuelle Zusammenführung kritischer Informationen)."

Derzeit seien im IoT-Bereich zwei Gruppen von Nutzern anzutreffen, so Peter Lipps vom Softwarehaus OpenText: "Zur ersten Kategorie zählen Unternehmen, die IoT nicht nur im B2B-Umfeld, sondern auch im Endkundenbereich einsetzen. Diese sind daher mit der Technologie vertraut." Zu dieser Gruppe zählen laut Lipps Firmen aus der Automobilindustrie und Logistikunternehmen. Anders sei das bei der zweiten Kategorie: "Diese Unternehmen müssen gewissermaßen an die Hand genommen werden, wenn es um die Entwicklung von Use Cases geht", so Lipps. Dies sei bei Industriefirmen der Fall, die beispielsweise mithilfe von IoT den Aufenthaltsort von Paletten und Waren in ihren Fabriken ermitteln wollen.

Der steinige Weg zum IoT-Mehrwert

Das wichtigste Motiv, weshalb Firmen gegenwärtig auf IoT setzen, sind finanzielle Vorteile, also eine höhere Effizienz und geringere Kosten. Der strategische Ansatz spielt noch eine ungeordnete Rolle, so Daniel Carton, CEO von BotCraft. Das junge Unternehmen aus Garching bei München ist ein Spezialdienstleister mit Schwerpunkt auf der Prozessautomatisierung mittels KI-gesteuerter Systeme im IoT- und Robotics-Umfeld. "Eine weniger wichtige Rolle spielt die Frage, wie sich auf Basis des Internets der Dinge neue Geschäftsmodelle entwickeln lassen. Doch nach unserer Erfahrung ergeben sich solche Ideen automatisch, wenn die Transformation ins Rollen gekommen ist."

Doch bis eine IoT-Umgebung die erhofften Vorteile bringt, müssen Anwender mehrere Hürden überwinden. Eine zentrale Frage sei beispielsweise, wer die Daten besitze, so Peter Lipps. Gehören sie etwa dem Käufer eines "intelligenten" Autos, einer Werkzeugmaschine oder dessen Hersteller; oder einem Anbieter von datenbasierten Services wie Predictive Maintenance? Hinzu kommen Probleme mit den Datenformaten: "Vielen Unternehmen fällt es schwer, die Daten von IoT-Systemen, insbesondere von älteren Legacy-Komponenten, auszulesen und in verwertbare Formate umzuwandeln", erläutert Jens Frenkel, IRIS Sales Executive bei InterSystems. "Dies trifft insbesondere auf sogenannte Brownfield-Projekte zu, in denen die bestehenden Maschinen keine beziehungsweise keine einheitlichen und genormten Sensoren, Schnittstellen und Protokolle mitbringen."

Die Folge ist, dass Anwendern die benötigten Daten häufig nicht erfassen, miteinander verknüpfen und übergreifend auszuwerten können. "Doch das ist zwingend notwendig, um einen echten Mehrwehrt zu generieren", so Frenkel weiter. Einen Ausweg bieten seiner Ansicht nach Datenplattformen, die zum einen Informationen von IoT-Komponenten erfassen, normalisieren und speichern. Zum anderen ermöglichen derartige Plattformen eine Echtzeitanalyse der Daten und binden die gewonnenen Erkenntnisse in Geschäftsprozesse ein - ebenfalls in Echtzeit.

Sicherheitsdenken unterentwickelt

Wenn Transportcontainer, Maschinen, Fahrzeuge, Kraftwerke und Smart-Home-Systeme vernetzt werden, kommt ein weiterer Faktor ins Spiel: der Schutz solcher Umgebungen vor Cyber-Angriffen und Datenlecks. Wie ernst die Situation ist, zeigt eine Untersuchung des IT-Sicherheitsunternehmens Zscaler. Demnach stieg die Zahl der Angriffe mit IoT-Schadsoftware innerhalb eines Jahres von 2.000 pro Monat (2019) auf derzeit 14.000 Attacken monatlich. "Ein aktuelles Beispiel ist der im April dieses Jahres vereitelte Angriff auf die Kommando- und Kontrollsysteme der Kläranlagen, Pumpstationen und die Abwasserinfrastruktur in Israel", bestätigt Jens Frenkel.

Doch tragfähige Security-Konzepte für das Internet der Dinge zu erstellen, ist alles andere als trivial - nicht nur aus technischen Gründen, sondern auch deshalb, weil der Faktor Mensch mitspielt, sagt Gerlinde Bedö, Market Segment Manager IIoT bei Rohde & Schwarz in München: "Vor allem im Bereich Operational Technology ist das Sicherheitsbewusstsein noch weitgehend unterentwickelt. Der Grund ist, dass OT-Fachleute in erster Linie die Maschinen am Laufen halten müssen, also eine hohe Verfügbarkeit und Zuverlässigkeit solcher Systeme garantieren. Security spielt daher eine untergeordnete Rolle."

Zur selben Einschätzung kommt Daniel Carton von BotCraft: "Die IT-Fachleute wollen nicht, dass ihre Systeme durch Sicherheitslücken kompromittiert werden, die bei OT-Komponenten auftreten. Umgekehrt fürchten Spezialisten aus dem Operational-Technology-Bereich, dass IoT- und Fertigungssysteme durch Angriffe beeinträchtigt werden, die über IT-Komponenten erfolgen."

Informationen zu den Partner-Paketen der Studie 'Internet of Things 2021'

Beispiele dafür, wie weit das Sicherheitsdenken von den OT-Fachleuten und den IT-Abteilungen auseinanderklafft, führt Andreas Gallasch an: "Bei manchen Industrie-PCs wird nur einmal im Jahr ein Update installiert." Eine solche Vorgehensweise sei für die meisten IT-Sicherheitsexperten schlichtweg undenkbar.

Doch klassische Security-Maßnahmen aus dem IT-Bereich können wiederum unerwünschte Folgen für die Produktionsumgebungen haben: "Wenn ein Sicherheitszertifikat für eine Software ausläuft und nicht erneuert wird, kann dies schlimmstenfalls dazu führen, dass eine ganze Produktionsanlage steht", sagt Gallasch. Um dieses Risiko zu vermeiden, verzichten OT-Fachleute oft darauf, solche Zertifikate einzusetzen. "Das ist natürlich keine tragfähige Lösung", so der Geschäftsführer von Software Factory.

Studie "IoT 2021": Sie können sich noch beteiligen!

Zum Internet of Things führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Frau Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384) Herr René Krießan (rkriessan@idg.de, Telefon: 089 36086 322) und Herr Bastian Wehner (bwehner@idg.de, Telefon: 089 36086 169) gerne weiter. Informationen zur Internet-of-Things-Studie finden Sie auch hier zum Download (PDF).

IoT-Systeme in der Praxis absichern

Kurzum: "Es ist wichtig, dass auch die Fachleute aus dem OT-Bereich die Bedeutung von Sicherheit verstehen. Umgekehrt muss die IT ein offenes Ohr für Themen wie die Datenintegrität und Verfügbarkeit haben", fasst Gerlinde Bedö zusammen. Doch einen Erfahrungsaustausch zwischen IT und OT zu forcieren und ein Verständnis für die speziellen Security-Anforderungen von IoT-Umgebungen zu entwickeln, ist nur ein erster Schritt, betont Peter Lipps von OpenText: "Anschließend ist es erforderlich, Sicherheitskonzepte für den Einsatz der Komponenten und die Verwaltung der erfassten Daten zu entwickeln, die in einer IoT-Umgebung Verwendung finden."

Erschwert wird dies Lipps zufolge dadurch, "dass manche IoT Endpoints keine Verschlüsselung unterstützen und auch keine gesicherte Erweiterung der Software auf den Geräten zulassen". Dann müssten sich Unternehmen anders behelfen, etwa indem sie ein Monitoring und ein "Baselining" der Aktivitäten im Netzwerk durchführen. Wichtig seien zudem Sicherheitslösungen, die umgehend auf Angriffe reagieren können.

Auch BotCraft und Rohde & Schwarz plädieren zudem dafür, die Daten von Maschinen und Netzwerkinformationen auszuwerten, um Hinweise auf Sicherheitslücken und Angriffe zu finden. "Eine Lösung ist beispielsweise, auch für unterschiedliche Schichten ein Monitoring einzuführen", sagt Daniel Carton, "also für das Netzwerk, die Schnittstellen und die Applikationen." Gerlinde Bedö sieht in der Analyse von Maschinendaten ein wichtiges Hilfsmittel: "Allein die Überprüfung der Anmeldedaten der Geräte kann für die eine oder andere Überraschung sorgen, wenn man diese Informationen mit der Inventarliste vergleicht", so die Expertin. Weitere Rückschlüsse auf mögliche Attacken erlaube laut Bedö die Analyse der Kommunikation in einem Produktionsnetz, also der Datenflüsse, der Größe der Datenpakete und der zeitlichen Abläufe.

Um die enormen Datenmengen zu analysieren, die in IoT-Umgebungen anfallen, bietet sich der Einsatz von Verfahren wie Machine Learning (ML) an. "Damit lassen sich Abweichungen vom Normzustand schnell identifizieren", erläutert Bedö. Zu diesem Zweck würden die ML-Algorithmen trainiert, damit sie bekannte und vertrauenswürdige Daten von verdächtigen Informationen unterscheiden könnten. Dieses Baselining reduziere die Zahl der Fehlalarme.

Ein weiterer Vorteil dieser Vorgehensweise ist, dass sich auch bis dato unbekannte Angriffsmuster identifizieren lassen. "Denn jeder Angriff löst eine Veränderung im Netz aus", so Bedö. In Verbindung mit gängigen Sicherheitslösungen wie Next-Generation-Firewalls und Virenscannern ließe sich verhindern, dass weitere Systeme im Netzwerk angegriffen oder mit Malware infiziert werden.

"Aufwand für Hacker extrem erhöhen"

Komplett unterbinden lassen sich Angriffe auf IoT-Infrastrukturen trotz aller Schutzvorkehrungen nicht, so die übereinstimmende Meinung der Teilnehmer des COMPUTERWOCHE-Roundtables. "Wichtig ist, den Aufwand für Hacker, die in eine Fertigungsumgebung eindringen wollen, extrem zu erhöhen", unterstreicht Daniel Carton. "Eine einzige Lücke darf nicht ausreichen, um alles lahmzulegen." Er plädiert dafür, ein Komplettpaket für den Schutz von IoT-Umgebungen zu erstellen: "Dieses kann auch Security-as-a-Service-Angebote enthalten, die über Service-Provider wie BotCraft bereitgestellt werden. Wir bieten beispielsweise zusammen mit unseren Partnern eine solche Lösung für den Schutz der Maschinenkommunikation an."

Die gleiche Strategie befürwortet Jens Frenkel von InterSystems: "Gesamtlösungen rund um eine Datenplattform können Anwender dabei unterstützen, regulatorisch notwendige und angesichts der Bedrohungslage sinnvolle Security-Maßnahmen umzusetzen." Derartige Lösungen müssten nicht nur Funktionen für die Verschlüsselung und den Schutz von Daten an Bord haben, sondern auch die funktionale Sicherheit von Maschinen und anderen IoT-Komponenten garantieren.

Informationen zu den Partner-Paketen der Studie 'Internet of Things 2021'

Der 5G-Faktor

Auf einen Aspekt, der im Zusammenhang mit dem Internet der Dinge besonders wichtig ist, weisen der Service-Provider Telefónica und der IT-Sicherheitsanbieter NCP Engineering hin: die Absicherung der Netzwerkverbindungen - sei es über Breitband-Mobilfunk-Connections oder Internet-Links.

"Ein wichtiger Faktor beim Einsatz von IoT ist, dass viele Anwendungsszenarien den Zugang zu überregionalen, sicheren und skalierbaren Mobilfunknetzen erfordern", sagt Helge Lüders, Manager Radio Network Strategy bei Telefónica Deutschland. "In Zukunft bietet die Vernetzung mittels 5G-Technologie herausragende Möglichkeiten. Denn ein solches Netzwerk zeichnet sich durch eine hohe Bandbreite, niedrige Latenzzeiten und eine Device-to-Device-Kommunikation aus." Mithilfe von 5G-Netzen ließen sich auch Systeme an Standorten in eine IoT-Infrastruktur einbinden, an denen keine kabelgestützten Netzwerkverbindungen zur Verfügung stehe. Dazu zählten Windkraftanlagen, Container auf Schiffen und Lkw sowie IoT-Komponenten in Autos und "Smart Cities".

"IoT-Umgebungen weisen eine heterogene Struktur auf. Daher ist es keine einfache Aufgabe, eine solche Infrastruktur vor Cyber-Angriffen zu schützen", räumt Lüders ein. "Service-Provider wie Telefónica haben deshalb spezielle Sicherheitskonzepte für IoT-Infrastrukturen entwickelt." Dazu zähle Telefónica Kite, ein Managementsystem für alle globalen SIM-Karten, die ein Unternehmen nutze. Hinzu kämen gemanagte Sicherheitsdienste (SOCs), der Schutz von Anmeldedaten und das Erfassen von Anomalien bei der Kommunikation von IoT-Komponenten.

Um das Risiko zu senken, bietet sich zudem der Einsatz von 5G-Campusnetzen an. Mercedes-Benz Cars nutzt beispielsweise in der Factory 56 ein solches Netz, um Maschinen und Anlagen miteinander zu verknüpfen. "Ein Vorteil eines solchen lokalen 5G-Netzes besteht darin, dass sensible Produktionsdaten nicht Dritten zur Verfügung gestellt werden müssen", sagt Helge Lüders.

Für ein zentrales Management von IT- und OT-Systemen plädiert auch Sebastian Oelmann, Product Manager Industrie 4.0 - IIoT bei NCP engineering in Nürnberg: "Erforderlich bei der Verzahnung von IT und OT ist eine zentrale Verwaltungskomponente wie NCP Management, um die Kommunikation innerhalb der Produktion, der IT und der verbundenen Anlagen abzusichern. Hier ergeben sich durch die Ansätze von Industrie 4.0 neue Einfallstore für Angriffe." Unternehmen sollten dabei auch die Kommunikation zwischen Maschinen und einer Cloud-Plattform berücksichtigen. Unverzichtbar seien in den Bereichen IoT und Industrial IoT (IIoT) laut Oelmann zudem VPN-Verbindungen (Virtual Private Network) auf Basis des Standards IPsec. Der Grund: "Ein wichtiges Element von IIoT ist die Fernwartung von Maschinen und Anlagen im Rahmen eines Smart-Maintenance-Ansatzes." Der Fernzugriff auf solche Systeme müsse zwingend über geschützte Verbindungen erfolgen. Aus Sicht von Oelmann sollten Unternehmen außerdem prüfen, ob sie die Fernwartung an einen Managed-Services-Provider auslagern. "So können die Anwender Kosten sparen und Zeit gewinnen."

"IoT-Sicherheit wird in Deutschland verschlafen"

In einem Punkt sind sich alle Teilnehmer der Expertenrunde einig: Ein Hochtechnologieland wie Deutschland muss eine führende Rolle bei der Entwicklung und Nutzung von IoT-Lösungen übernehmen. Das setzt jedoch voraus, dass entsprechende Produkte und Services nicht zum Einfallstor für Staats-Hacker und Cyber-Kriminelle werden.

Doch in diesem Punkt besteht Nachholbedarf: "Das Angebot an Aus- und Weiterbildungsmaßnahmen für IT- und OT-Fachleute in Bezug auf Security muss verbessert werden. Dies betrifft auch das Lehrangebot an Berufsschulen, Fachhochschulen und Universitäten", fordert Daniel Carbon. Ins gleiche Horn stößt Andreas Gallasch: "Das Thema IoT-Sicherheit wird in Deutschland verschlafen. Das muss sich ändern. Ein Beispiel sind IoT-Produkte, die auf den Markt kommen, ohne dass sie zuvor auf Sicherheitslücken getestet wurden."

Dies bedeutet, dass letztlich alle Beteiligten gefordert sind: der Staat, weil er die Ausbildungsoptionen im Bereich IoT-Sicherheit ausbauen muss; die Hersteller, weil sie keine IoT-Lösungen mit Sicherheitsproblemen vermarkten sollten; die Anbieter von Security-Lösungen, die tragfähige Angebote für kombinierte IT-, IoT- und IIoT-Umgebungen konzipieren müssen. Und natürlich sind auch die Anwender gefragt. Ihnen muss klar werden, dass sie ihre IT- und OT-Fachleute an einen Tischbringen müssen, wenn eine Smart Factory nicht zu einem Sicherheitsrisiko mutieren soll.

Informationen zu den Partner-Paketen der Studie 'Internet of Things 2021'