Hunderte Millionen IoT-Waisenkinder
Heute ist der Aufwand überschaubar. Selbst große Unternehmen managen IoT-Geräte kaum mit der gleichen Ernsthaftigkeit wie einen PC oder Server. Selten werden sie gepatcht, ihre Integrität kontrolliert oder der ein-und ausgehende Datenverkehr durch geeignete Firewall-Regelungen eingeschränkt. IoT-Geräte sind die Waisenkinder der IT. Und davon gibt es in der anbrechenden IT-Neuzeit bereits einige hundert Millionen.
IoT absichern
Analog zu den grundlegenden Zielrichtungen der Attacken, gibt es vor allem zwei Wege, zu verhindern, dass die Digitale Transformation durch kompromittierte IoT-Geräten gebremst wird: Erstens Sicherheit auf den Geräten selbst (Security by Design) und zweitens vorgeschaltete Sicherheitsmechanismen (Security by Architecture). Der erste Weg, die Sicherheit auf den Geräten selbst zu erhöhen, besteht vor allem aus den folgenden Elementen: Verschlüsselung von ruhenden und bewegten Daten, starke Authentifizierung für den Zugriff, automatische Patches für Sicherheitslücken und Alarmierung bei auffälligen Verhaltensweisen.
Doch auf Security by Design müssen die Anwender warten, bis der Hersteller sie liefert. Die gute Nachricht ist, dass Unternehmen selbst sträflich ungesicherte IoT-Endpoints sichern können. Der zweite Weg zur Security of Things ist der Schutz der Geräte von außen. Eine vorgelagerte Instanz schirmt das vernetzte Ding dann vor illegitimen Zugriff sowie vor Malware ab und unterbindet ungewünschten Traffic. Dies übernehmen klassischerweise Firewalls, wobei die Firewalling-Funktionalität nicht unbedingt im 19-Zoll-Rack daher kommen muss.
Security of Things
Security of Things ist also, technisch gesehen, erreichbar. Wo ist dann das Problem? Zunächst stehen die Hersteller von IoT-Devices vor großen technischen Herausforderungen. Produktmanager von Industrie-Hardware, Maschinen oder gar Consumer-Hardware wissen meist weder über vernetzte IT noch über Endpoint-Sicherheit ausreichend gut Bescheid. Wer jahrelang Gefriertruhen für Supermärkte, Flotten-Management-Lösungen in der Logistik oder Bohrmaschinen für die Industrie entwickelt hat und diese Geräte jetzt für neue Geschäftsmodelle Internet-fähig und smart gestalten will, unterschätzt die Sicherheitsherausforderungen. Gerade die erfahrenen Ingenieure hatten in ihrer bisherigen Karriere nicht unbedingt mit automatisierten Attacken aus aller Welt zu kämpfen.
Selbst die IT-Fachleute, welche die Produkt-Manager möglicherweise zu Rat ziehen, kennen sich nur mit klassischen Netzwerken mit allenfalls einigen hundert Geräten aus, aber nicht mit der neuartigen Vernetzung zehntausender Maschinen oder Sensoren. IT-Security-Personal ist ohnehin rar. Eine der Konsequenzen: Viele der heute erhältlichen Security-Lösungen für IoT-Endpoints starten lediglich eine Applikation zur Datenverschlüsselung. Dieser oberflächliche Schutz hilft aber zum Beispiel nicht vor dem Missbrauch der Geräte in Bot-Netzen.
Die Anwenderunternehmen mit ihrem Einkaufsverhalten tragen ebenfalls Verantwortung. Man sollte eben nicht die von Graham getestete Überwachungskamera für 55 Dollar kaufen, die nach wenigen Sekunden bereits infiziert ist. Typischerweise achten Unternehmen, die IoT-Geräte implementieren, nur auf Funktionalität und einen bequemen Zugriff aus der Ferne. Unternehmen sollten all ihre Endpoints auflisten und sich bei jedem fragen, ob er ausreichend geschützt ist. Gegebenenfalls kommen Unternehmen nicht umhin, unsichere, nicht aktualisierbare Hardware gegen sichere auszutauschen.
Firewalls im Alltag
Zu guter Letzt hat auch die Firewall-Industrie vor der Herausforderung des Internets der Dinge versagt. Heute brauchen Unternehmen Firewalling überall, wo Anwender, Daten und Applikationen auftauchen. Die Hardware für eine sichere und skalierbare Verbindung von IoT-Geräten muss klein, leicht, einbaufähig und integrierbar sein. Die heute üblichen Technologien sind funktional mächtig, aber haben den falschen Formfaktor und die falsche Architektur. Eine Firewall for Things, die vielleicht zehntausende von Dingen auf Telefonmasten oder an Windrädern schützen soll, benötigt eine darauf angepasste Architektur. Unverzichtbar ist eine kluge Arbeitsteilung zwischen Aufgaben, die direkt auf der lokalen Firewall-Hardware erledigt werden, und solchen, die andere Instanzen der Firewall erbringen, zum Beispiel in der Cloud, auf einer Aggregator-Ebene oder im Rechenzentrum. Nur so ist die notwendige hohe Leistung bei hoher Sicherheit und geringen Ausmaßen der Hardware erreichbar. Nicht weniger wichtig ist ein umfassendes Management. Die Systeme müssen in der Lage sein, die klassische Unternehmens-IT mit von Menschen bedienten Clients, Backend-IT on Premises und in der Cloud einerseits sowie alle IoT-Endpoints andererseits in einer einheitlichen Sicht darzustellen.
Schutzgelderpressung im IoT
Im Internet of Things wird es noch einige Jahre zugehen wie im Wilden Westen. Da Cyber-Kriminelle ständig nach immer besseren Wegen suchen, um Geld mit ihren Machenschaften zu verdienen, werden IoT-Attacken zunehmen. Sie sind derzeit der billigste Weg und das machtvollste Instrument, um finanzielle oder andere Ziele zu erreichen. Cyberkriminelle werden vor allem das Erpressungspotenzial nutzen, wenn sie Daten verschlüsseln oder geschäftskritische Maschinen oder Prozesse außer Gefecht setzen.
Sie brauchen zum Beispiel nur eine relativ kleine Zahl an Geräten unter ihrer Kontrolle zu bringen, um auf Jahre hinaus für eine "Maschinenversicherung" sizilianischer Prägung zu kassieren. Cyberterroristen werden es auf die Geräte und Maschinen absehen, mit denen sie den höchsten unmittelbaren Schaden anrichten können, zum Beispiel in kleinen, schlechter gesicherten Kraftwerken. Und in der digitalen Kriegsführung (Cyber Warfare) werden Staaten es darauf absehen, möglichst viele Geräte unter ihre Kontrolle zu bringen. So können sie bei Bedarf immer wieder mittels DDoS-Attacken ihre Macht demonstrieren, ganze Regionen und Länder ihrer überlebenswichtigen Grundlagen zu berauben und ganze Armeen, mit ihrer Verpflegungs- und Ausrüstungslogistik lahm zu legen.
Wo die Nutzer der digitalen Dinge selbst geschädigt werden, regelt der Markt voraussichtlich die Herausforderung zuerst. Mit jedem öffentlichkeitswirksamen IoT-Hack werden manche Unternehmen nachhaltig geschädigt und die anderen werden ihre Netzwerke besser schützen. In etwas mehr als fünf Jahren wird diese Seite der Security of Things weitgehend im Griff sein. Anders sieht es aus hinsichtlich der Bot-Netze und DDos-Angriffe. Hier haben die IoT-Anwender selbst keinen unmittelbaren Schaden und bemerken den Missbrauch ihrer Geräte auch nicht. Langfristig und gesellschaftlich entsteht hier aber die größere Gefahr. Sie ruft daher auch nach ordnungspolitischen Maßnahmen, einer Verpflichtung für Hersteller und Anwender, solchen Missbrauch zu erschweren.