internet of things
Digitalisierung IT Sicherheit

Cyber Security im IoT: unverzichtbar und doch vernachlässigt

15.10.2021
von SMA

Für Hersteller und Betreiber von IoT-Anwendungen spielt Security oft eine Nebenrolle. Das kann sich rächen. Ohne Berücksichtigung der Cyber Security wird das IoT-Device zur Einflugschneise für Cyberkriminelle: Die Unternehmensinfrastruktur wird zur Hochrisikozone.

Reto Amstad

Reto Amstad, Senior Security Consultant, CyOne Security AG

Das Internet der Dinge (IoT) breitet sich in hohem Tempo in allen Branchen und Märkten aus und das IoT-Netzwerk wird immer dichter – auch im industriellen Umfeld (IIoT). Dadurch dringen IIoT-Anwendungen öfters in kritischere Bereiche unserer digitalen Gesellschaft vor. So werden vernetzte Geräte in Bereichen wie Medizintechnik und kritische Infrastrukturen zur Normalität. Damit steigen die Risiken drastisch und wirken sich durch gefährliche Cyber Incidents massiv negativ auf die Unternehmen und die Wirtschaft aus. Nebst dem Verlust der Vertraulichkeit und Beeinträchtigungen der Verfügbarkeit von Daten können Datenmanipulationen gerade in den Bereichen Medizin, Pharma, Verkehr und kritische Infrastrukturen dramatische Folgen für Leib und Leben bedeuten. Und dennoch: Das Thema Cyber Security wird bei IIoT-Anwendungen heute immer noch bagatellisiert, wenn nicht sogar ignoriert.

Cyber-Attacke auf IIoT-Devices ist Realität

Viele Unternehmen, welche bereits heute IIoT-Anwendungen betreiben, sind ungenügend gegen Cyber-Angriffe gewappnet. Grosse Risiken stellen dabei die schlecht geschützten IIoT-Geräte selber dar (Sensoren, Aktoren, Gateway). Sie werden neben den klassischen Angriffsvektoren wie E-Mail von Angreifenden immer häufiger als Einfallstor in die Unternehmensinfrastruktur oder als Sprungbrett für eine Kompromittierung anderer Systeme innerhalb von segmentierten Infrastrukturen verwendet. Die dafür verantwortlichen Hauptschwachstellen sind: Der IIoT-Geräteverkehr wird oft unverschlüsselt abgewickelt, IIoT-Geräte sind rund um die Uhr in Betrieb, immer online, schlecht gewartet und zu selten überwacht. Zudem liefern sie, in Kombination mit der Kenntnis zum Einsatzumfeld, Auskunft über die Identität des Benutzers respektive Unternehmens. Cyber-Kriminelle nutzen vorhandene Sicherheitslücken gezielt aus. So können ganze Produktionsketten lahmgelegt, Kundendaten manipuliert, Unternehmen erpresst oder sogar Industriespionage betrieben werden. Schlimmstenfalls sind Menschenleben gefährdet. Die massive Zunahme von Cyber-Angriffen müsste Hersteller und Betreiber zum Handeln zwingen.

Sichere IoT-Konnektivität alleine genügt nicht

IoT-Beratungsunternehmen und klassische Cyber-Security-Anbieter konzentrieren sich heute oftmals auf sichere Netzwerkverbindungen ab den Perimetern hin zum Betreiber, zum Cloud-Anbieter oder zum Anwender. Das zu berücksichtigen ist grundsätzlich richtig, macht aber nur einen Teil der notwendigen Massnahmen aus. Um ein IoT-Ökosystem umfassend und «end to end» zu schützen, braucht es zusätzlich sichere IIoT-Devices und Know-how für eine sichere Integration in eine bestehende Netzwerkinfrastruktur. Dies haben beispielsweise in der Medizintechnik auch die regulativen Organe erkannt und erlassen Anforderungen zur Cyber Security von Medizinprodukten, z.B. die FDA in den USA sowie die MDR durch die EU.

Illustration IoT

Die drei relevanten Aspekte in der IoT Security: Sicherheit punkto Konnektivität, Produkt und Integration

«Security by Design» lautet die Devise für Hersteller

Eine umfassende Sicherheitsbetrachtung muss deshalb bereits in der Produktentwicklung miteinbezogen werden. Fehlende Sicherheitskomponenten und -funktionen in IIoT-Produkten nachzurüsten, ist riskant und teuer. Sicheres Hardware- und Softwaredesign mit Validierungen und Plausibilitätsprüfungen, konsequente Datentrennung, Nachvollziehbarkeit, sichere Schnittstellen, Monitoring und Updatefähigkeit sind darum von Anfang an zwingend einzuplanen und konsequent umzusetzen. «Security by Design» ist dabei der effiziente und nachhaltige Ansatz. Nur so können Hersteller updatefähige Produkte entwickeln, welche sich im Betrieb den sich verändernden Cyber-Risiken stetig anpassen können und für die Betreiber länger einsetzbar bleiben.

Betreiber müssen die Security-Aspekte einfordern

Auch die Betreiber sind in der Verantwortung: Bei der Evaluation eines neuen netzwerkfähigen IIoT-Device muss genauer hingeschaut werden. Betreiber müssen beim Hersteller detailliertere Angaben bezüglich der Sicherheitsaspekte Konnektivität, sichereres IIoT-Produkt, sichere Integration und Datenhaltung einfordern und prüfen. Nur so können sie sich darauf verlassen, dass ihre IT/OT-Infrastruktur mit den neu eingekauften vernetzten Produkten nicht zum Risikofaktor wird.

IIoT Security: Erfolgsfaktor für Hersteller und Betreiber

Mit «IIoT Security by Design» verschaffen sich Hersteller einen entscheidenden Wettbewerbsvorteil und den weiteren Marktzugang, indem sie die Cyber-Risiken für ihre Produkte und Anwendungen minimieren. Die Betreiber können sich auf eine sichere Lösung verlassen, so ihre Betriebsrisiken minimieren und die Lebensdauer der Produkte verlängern. Somit lohnt es sich für alle Parteien, zukünftig vermehrt in IIoT-Security bzw. Product Cyber Security zu investieren.

Ganzheitliche IoT Security erfordert spezifische Kompetenzen

Die spezifischen Fachkompetenzen zu den drei IoT-Security-Aspekten, die sich über den gesamten Lebenszyklus eines Produkts erstrecken, differenzieren sich klar von den klassischen Cyber-Security-Fachkompetenzen für IT-Infrastrukturen, die sich in den letzten Jahren in den Unternehmen etabliert haben. Es lohnt sich, projektspezifische IoT-Security-Experten beizuziehen, um eine ganzheitliche und nachhaltige IIoT-Security zu erreichen. Dadurch können sich die Entwicklungsteams der Hersteller auf ihr Kerngeschäft – innovative IIoT-Devices zu entwickeln – konzentrieren und personelle Ressourcen schonen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Vorheriger Artikel Virtuelle Verbrechen treffen alle
Nächster Artikel Technologischer Fortschritt erhöht die Verkehrssicherheit