IoT & IIoT – «smarte» Herausforderungen für die Cyber Security

IoT ist omnipräsent und bietet immenses Potenzial – birgt aber auch Risiken. Schwachstellen in Geräten und Services sind (leider) allgegenwärtig und die Anzahl der Malware und Exploits steigt kontinuierlich. Trotzdem zählt IoT immer noch zu den am meist unterschätzten Bedrohungen. Bewährte Ansätze helfen, Cyber Security im schnell wachsenden Bereich Internet der Dinge zu etablieren und so die Risiken zu minimieren.

Smart – aber nicht ohne Risiken

Das Potenzial von IoT ist immens und hält inzwischen in allen Business- und Privatbereichen Einzug. Laut Experten werden in wenigen Jahren 8 von 10 Unternehmen IoT-Komponenten im Einsatz haben. IoT bietet der Wirtschaft grosse Vorteile, birgt aber auch Risiken. Das kann schnell zu einem Stolperstein in der Digitalisierung werden. Durch IoT dringt die Konnektivität (inkl. Cloud und Third-Party) in Business-Bereiche vor, welche bislang voneinander unabhängig waren. Durch diese zunehmende Vernetzung steigt aber auch die Gefahr, dass IoT-Systeme manipuliert werden – Stichwort Cyberkriminalität. Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Alles Risiken, die oft vernachlässigt werden.

Obwohl dies keine neue Tatsache ist, fliessen oftmals grundlegende Sicherheitsprinzipien nicht in IoT-Projekte ein. Das kann erhebliche Schäden verursachen, beispielsweise durch Abfluss von Kunden- und Produktionsdaten oder wenn ein Wartungszugang zur Hintertüre eines Angreifers wird. Cyber Security bei IoT-Vorhaben gehört von Beginn an oben auf die Agenda – nicht erst, wenn etwas schiefgegangen ist.

Cyber Security als Bestandteil von IoT

Nur was bekannt ist, kann man auch prüfen und schützen. Das Wichtigste ist daher zuerst, sich einen Überblick über das gesamte Eco-System und die Services zu beschaffen. Dies bedeutet, dass jedes involvierte System bekannt sein muss – und natürlich auch die damit verarbeiteten Daten, was für viele Unternehmen eine grosse Herausforderung darstellt. Denn vielen Unternehmen fehlt diese Transparenz und meist auch eine Lösung zur Inventarisierung, was somit manuell getätigt werden muss. Die Folge: Unternehmen arbeiten oftmals mit unzulänglichen Informationen, was natürlich keinesfalls das Ziel sein darf.

Um den Schutzbedarf abzuschätzen, ist zu Beginn eine Risikoanalyse notwendig. Dabei sind die Auswirkungen von Vorfällen im Kontext des Einsatzes der IoT-Systeme und Use Cases zu hinterfragen. Auf dieser Basis kann die Kritikalität abgeschätzt und eine Herangehensweise abgeleitet werden. Das kann bedeuten, dass «Security by Design» mit einfacheren oder umfangreicheren Massnahmen umgesetzt werden soll. In IoT-Vorhaben mit höherem Schutzbedarf, sollte die Eintrittswahrscheinlichkeit von Vorfällen eruiert und Prioritäten gesetzt werden. Dies gelingt durch eine Abschätzung der potentiellen organisatorischen und technischen Verletzbarkeiten im Gesamtsystem sowie der einzelnen Komponenten.

Schlüsselfaktoren bei IoT-Netzwerken

Technologisch liegt der Schlüssel zur Sicherheit in einer geeigneten Architektur (on-premise und in der Cloud) und der entsprechenden Zonierung von IoT-Netzen. Wichtige Aspekte sind dabei die Identität, die Authentisierung und der Schutz der Daten, ebenso wie die optimale Segmentierung im Backend und die Überwachung der dadurch geschaffenen Zonenübergänge. Es gilt, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen und diese mit angemessenen Sicherheitsmassnahmen zu versehen. Best-Practice-Ansätze und bewährte Frameworks, wie beispielsweise die ISO 270xx-Familie oder das NIST Cyber Security Framework (auch als IKT-Minimalstandard bekannt), dienen hier zur Orientierung. Natürlich darf das regelmässige Update- und Patch-Management inkl. Kundeninformationen nicht vergessen werden – natürlich auch bei IoT-Geräten.

Unabhängig ob IoT oder klassische IT-Komponenten, jedes Gerät kann Schwachstellen enthalten und so zum Angriffsvektor werden. Daher sollten Geräte im Design-, Entwicklungs- und Betriebsprozess (DevOps) regelmässig auf Schwachstellen geprüft werden. Wichtig ist dabei natürlich, dass sie Updates unterstützen – was leider sehr oft nicht der Fall ist. Unzureichendes Patch-Management und mangelhafte Prüfung auf Schwachstellen sind nicht nur ein Problem von IoT. So bleiben immer wieder bekannte Schwachstellen ungepatched, obwohl passende Updates verfügbar wären. Cyberkriminellen fällt es dann relativ leicht, das schwächste Glied in der Kette zu finden und auszunutzen.

Unternehmen sind gegenüber globalen Risiken im Zusammenhang mit bekannten und neuen Zero-Day-Bedrohungen und anderen Schwachstellen exponiert. Diese werden aktiv und systematisch ausgenutzt. Eine rasche Einschätzung der Lage sowie eine effiziente Bewertung und Priorisierung der Schwachstellen sind essentiell. Falls sich exponierte Geräte mit bekannten Schwachstellen in der Infrastruktur befinden, die nicht aktualisiert oder gepatcht werden können, sollten diese segmentiert und von der Produktionsumgebung abgetrennt werden.

Risiken erkennen, bevor das Licht ausgeht

Da sich die Risikosituation stetig ändert, muss die aktuelle Bedrohungslage kontinuierlich beobachtet und das Sicherheitsdispositiv entsprechend angepasst werden. Risk Assessments, organisatorische Audits, Penetration Tests und Vulnerability Scans, Code Reviews usw. sind wichtige Elemente in der Cyber Security. Unternehmen sollten zudem jederzeit in der Lage sein, Sicherheitsvorkommnisse erkennen zu können, schnell darauf zu
reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Wer sich mit IoT beschäftigt, muss sich auch intensiv mit Cyber Security auseinandersetzen.

Autor: Markus Limacher, Head of Security Consulting, InfoGuard AG

Kontakt:
InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel. +41 41 749 19 00
www.infoguard.ch