Blogserie Cybersecurity: Cybersecurity und das Internet der Dinge

Donnerstag 22 Dezember, 2016
Internet der Dinge

Cybersecurity ist ein Thema, das heutzutage alle betrifft. Erpressungsfälle, Datenklau, kleinere und größere Sicherheitslücken – der digitale Angriff auf sensible Daten hat sich in den vergangenen Jahren immens ausgeweitet und stellt nicht nur IT- sondern auch Kommunikationsverantwortliche vor ganz neue Herausforderungen. In dieser Blogserie beschäftigen wir uns intensiv mit dem Thema Cybersecurity. Einem ersten Einstieg zu dem Thema lieferte Bärbel Hestert-Vecoli. Hannan Farooq von Shred-it berichtete anschließend über Informationssicherheit und Jan Blumenthal von Lloyds über die Bedeutung für die CEO-Etage. Weiterhin fasste Dr. Alexander Niethammer von Eversheds Deutschland LLP die rechtlichen Rahmenbedingungen zusammen. Und wer ist für die Sicherheit von vernetzten, komplexen Anwendungsszenarien verantwortlich? Die Antwort weiß Stephan Ellenrieder, Geschäftsführer von PTC.


PTC_Stephan Ellenrieder140px

Stephan Ellenrieder

Geschäftsführer, SVP Zentral- und Osteuropa

PTC

 


Cybersecurity und das Internet der Dinge

Wer ist für die Sicherheit von vernetzten, komplexen Anwendungsszenarien verantwortlich?

Bisherige IT-Sicherheitskonzepte in Unternehmen zielten hauptsächlich auf den „My home is my castle“-Gedanken ab. Die virtuelle Schutzmauer zwischen Unternehmen und Außenwelt sollte feindliches Eindringen von außen erschweren. Drinnen mussten vom Herrn oder von der Frau des Hauses nur noch Regeln für die interne Sicherheit aufgestellt werden, z.B. der Zugang zu bestimmten Bereichen und Daten – schon fühlten sich alle sicher. Dieses Konzept mag bisher ausgereicht haben, wird aber im Zeitalter des Internets der Dinge (IoT) wirkungslos. Hier findet eine Kommunikation mit Milliarden sich in der Außenwelt befindlichen vernetzten Geräten, Maschinen, Fahrzeugen oder Anlagen statt, die aber oft unterschiedlich sicher ausgestattet und kontrollierbar sind. Gängige Sicherheitsmethoden greifen dann nicht mehr.

Neue Angriffsformen werden möglich

Einen Vorgeschmack bot uns die »Distributed Denial of Service (DDoS)«-Attacke Ende Oktober an der US-Ostküste, die weite Teile des Internets unerreichbar machte und u.a. Twitter, Netflix, Airbnb und weitere namhafte Webseiten lahmlegte. Die meisten für diese Attacke missbrauchten Geräte waren einfache Elektronik-Endgeräte wie Router, Videokameras oder digitale Videorecorder, die von der Mirai Botnet-Schadsoftware befallen wurden. Für die Infizierung nutzte die Software bekannte aber noch nicht behobene Schwachstellen in diesen Geräten aus, von denen die Anwender nichts wussten. Im aktuellen Fall war es das integrierte Betriebssystem, auf dessen Admin-Login der Anwender nicht zugreifen konnte, was grundsätzlich nicht notwendig ist für den Betrieb eines Geräts. Sind die Passwörter allerdings sehr einfach gestrickt – in vielen Fällen hießen sie „admin“ oder „1234“ – und sind sie zudem noch in der Firmware fest kodiert, kann dies zum Problem werden. Natürlich konnte dieses mit einem Software-Patch gelöst werden, nur haben nicht alle Hersteller darauf reagiert, was den Hackern im Falle der US-Ostküste in die Karten spielte. Die Anwender selbst merkten jedenfalls nicht, dass auf ihr Gerät von außen zugegriffen wurde.

Sind allein die Hersteller der „Dinge“ verpflichtet für Sicherheit zu sorgen?

Sicherlich spielen die Hersteller und Technologie-Anbieter eine wichtige Rolle. Im IoT wäre dieser Schluss aber etwas zu kurz gegriffen. Im Vergleich zu Clouds, für die es inzwischen wohldefinierte Sicherheitsmodelle und beschränkte Einstiegspunkte gibt, stellt das IoT allein aufgrund der unterschiedlichen Gerätetypen, Betriebssysteme und Protokolle eine viel breitere Angriffsfläche dar. Während es üblich ist, beim Anwendermanagement in der Cloud einer konkreten Person für ein konkretes Programm Zugriff zu gewähren, machen IoT-Geräte ein deutlich komplexeres Rechtemodell erforderlich. IoT-Geräte können sich selbstständig als Person oder im Auftrag einer Person authentifizieren.

Einige Anwender sind sich zwar dieser Gefahren bewusst, sehen aber noch keine Dringlichkeit, zu agieren, da sie bis jetzt keine IoT-Applikationen im großen Stil einsetzen. Aber wissen sie wirklich, wie viele ihrer Geräte bereits mit dem Internet vernetzt und damit möglichen Attacken ausgesetzt sind?

Die Suchmaschine Shodan, die das Internet nach vernetzten Geräten durchkämmt, hat bereits 500 Millionen vernetzte Geräte kategorisiert, darunter Steuerungssysteme für Fabriken, Eishockey-Bahnen, Autowaschanlagen, Verkehrsampeln, Sicherheitskameras und sogar ein Atomkraftwerk. Die meisten dieser Geräte sind mit dem Internet durch eine interne Applikation des Herstellers bzw. von Drittanbietern verknüpft. Auch hier besitzt ein großer Teil dieser Geräte nur geringe Sicherheitsfunktionen mit einfachen Passwörtern, falls überhaupt eines notwendig ist. Den Betreibern dieser Fabriken, Eishockey-Bahnen oder des Atomkraftwerks scheint das alles bislang egal zu sein bzw. wissen sie nicht, dass sie schon den roten Teppich ausgerollt haben. Beide Varianten sind aber mehr als bedenklich.

Für die IoT-Sicherheit sind alle Beteiligten zuständig

Fakt ist: Es gibt derzeit noch kein umfassendes Sicherheitsmodell für das IoT. Allerdings wäre es zu einfach, entweder nur die Herstellerseite oder den Anwender in der Pflicht zu sehen. Alle an einem IoT-Netzwerk beteiligten Parteien sind gemeinsam für das Thema Sicherheit verantwortlich.

Internet der Dinge

Abbildung: Gemeinsames Sicherheitsmodell für das IoT

Die Verantwortung für Sicherheit im IoT sollten verschiedene Beteiligte tragen. Von oben ausgehend ist der Unternehmenskunde für den Schutz der verschiedenen Geräte vor unberechtigtem Zugriff sowie die Verwaltung der Benutzerkonten verantwortlich. Hier muss im Zweifelsfall mit dem Gerätehersteller zusammengearbeitet werden, um den Geräteschutz zu realisieren. Die IoT-Plattform kann diese Aufgabe durch integrierte Anzeigen und Rechte, die ohne Kodierung verwendet werden können, erleichtern. So lassen sich beispielsweise Regionen, Abteilungen oder Standorte definieren und die Nutzer erhalten den Zugriff auf Objekte in ihrer eigenen Region. Ebenso lassen sich funktionale Rollen innerhalb einer Organisation anlegen, die mit bestimmten Rechten ausgestattet werden. Diese Rollen brauchen dann nur noch einzelnen Anwendern zugeordnet werden.

Ein Teil der Verantwortung für die IoT-Sicherheit liegt aber auch in den Händen der Entwickler. Die meisten IoT-Plattformen bieten mit dem Transport Layer Security Protocol (TLS) die Möglichkeit, die Kommunikation mit den Geräten zu verschlüsseln. Dieses muss von der Entwicklung natürlich auch aktiviert werden.

IoT-Sicherheit funktioniert nur als laufender Prozess

Egal wie gut Sicherheit bei der Entwicklung der Anwendung berücksichtigt wurde – es wird immer neue Angriffsmöglichkeiten geben. Daher ist es entscheidend einen Prozess umzusetzen, in dem jede Schicht immer wieder auf den neuesten Stand der Schutzmechanismen gebracht wird. IoT-Plattformen wie ThingWorx bieten hier integrierte Software- und Inhaltsmanagement-Funktionen, die die automatische Verteilung von Aktualisierungen unterstützen sowie Optionen, wie Updates verteilt werden sollen. Die Anwender können so zunächst bei ein paar Geräten Updates einspielen und testen, bevor ein allgemeines Update über alle Objekte gefahren wird.

Ein gemeinsames Sicherheitsmodell mit diesen und zahlreichen weiteren Funktionen vereinfacht den Entwicklungs- und Einführungsprozess von IoT-Applikationen. So kann man die Leistung der weit verstreuten Geräteflotte optimieren und gleichzeitig für Schutz gegen unberechtigte oder übelwollende Nutzung sorgen.


>> Mehr zum Thema im Beitrag von Bärbel Hestert-Vecoli: Definition und politische Hintergründe

>> Informationssicherheit im Umfeld von Cybersicherheit in Unternehmen – von Hannan Farooq von Shred-it

>> Das Thema Cybersecurity hat die Chefetage in Unternehmen erreicht – mehr dazu weiß Jan Blumenthal von Lloyds

>> Rechtliche Rahmenbedingungen der Cybersicherheit – ein Beitrag Dr. Alexander Niethammer von Eversheds