IoT Security
ADVERTORIAL
Bild: vectorfusionart - Fotolia.com
Erst allmählich setzt sich die Erkenntnis durch, dass die Sicherheitsverfahren, die sich in der IT etabliert haben, nur sehr bedingt auf IoT übertragbar sind.
Bild: vectorfusionart - Fotolia.com

Das Internet der Dinge muss sicherer werden

Für einen "IoT-Security-Standard"

Für die IT war es ein Schock, als Ende 2016 massive Angriffe auf Systeme des Internets der Dinge (IoT) bekannt wurden. In einem groß angelegten DDoS-Angriff wurden damals rund 500.000 Geräte, vor allem ungesicherte Überwachungskameras, mit der Schadsoftware Mirai infiziert und ein Angriff auf einen großen DNS-Provider gefahren. Der dadurch ausgelöste Schock war insofern "heilsam", als seither das Thema IoT-Sicherheit intensiv diskutiert wird. Auf den Durchbruch in Sachen IoT-Sicherheit wartet man jedoch noch immer.

von: Christian Koch

Erst allmählich setzt sich die Erkenntnis durch, dass die Sicherheitsverfahren, die sich in der IT etabliert haben, nur sehr bedingt auf IoT übertragbar sind. So sind IoT-Systeme schon aus Kostengründen nur sparsam mit Ressourcen ausgestattet. Übliche Sicherheitsfeatures wie Verschlüsselung funktionieren daher schon technisch nicht auf jedem Gerät. Auch haben industrielle Systeme eine lange Lebensdauer; 15 oder 20 Jahre sind hier keine Seltenheit; in solchen Zeiträumen denkt die IT nicht. Welcher Security-Experte möchte seine Hand dafür ins Feuer legen, dass der Verschlüsselungsalgorithmus, den er heute implementiert, auch noch im Jahr 2035 sicher ist? Natürlich kann man Updates von IoT-Geräten per Fernwartung durchführen – abgesehen davon, dass auch dafür nicht jedes Gerät geeignet ist, man schafft durch diese Möglichkeit gleich eine weitere Angriffsfläche. Vor allem aber werden IoT-Systeme noch immer primär funktionsorientiert entwickelt: Erst kommt die Funktionalität, und dann überlegt man, wie man das Ganze auch noch absichern könnte – Security by Design ist vielleicht kein Fremdwort mehr, aber trotzdem nur selten gelebte Realität. 

Generell sollten neue IoT-Standards nicht detaillierte Konzepte vorgeben, sondern, ähnlich wie ISO 27001, allgemeine Anforderungen formulieren, die risikoadäquat umgesetzt werden müssen. Sie sollen sich daher keinesfalls bis auf Protokollebene herunterbegeben und etwa den Einsatz bestimmter Protokolle vorschreiben. Derzeit gibt es im IoT-Umfeld mehr als 500 verschiedene Protokolle und es ist absehbar, dass die Mehrzahl von ihnen nicht die Lebensdauer der IoT-Geräte erreichen wird.

Bild: chombosan - Fotolia.com
Mit einem "IoT-Security-Standard" kann man nicht alle Risiken ausschalten, aber das Gefahrenpotential doch erheblich reduzieren.
Bild: chombosan - Fotolia.com

Wichtig wäre also ein "IoT-Security-Standard" als Grundschutz, der einen Rahmen vorgibt und dabei beispielsweise von Herstellern erst mal überhaupt eine genaue Bewertung von Risiken, die aus dem Betrieb ihrer Systeme entstehen, verlangt. Schließlich muss sich ein IoT-Grundschutz auch der Frage nach den unterschiedlichen Lebenszyklen von Standards, Software und Geräten stellen. Es muss beispielsweise verbindlich festgelegt werden, wie lange Updates bereitgestellt werden. Sechsmonatige Garantiezeiten dürften jedenfalls nicht ausreichen.

Grundschutz heißt nicht, ein paar unverbindliche Regeln aufzustellen und im Detail macht dann weiterhin jeder, was er will. Der ISO 27001 Standard formuliert mit seinen Vorgehensweisen und Anforderungen so einen Rahmen für die herkömmliche IT und hat sich damit durchaus bewährt. Ähnliches wäre auch für die speziellen Gegebenheiten des IoT nötig, vielleicht ebenfalls aus der Feder der ISO. Mit der IEC 62443 (ISA-99) und IEC 62264 (ISA-95) gibt es aktuell schon Sicherheitsstandards für industrielle Kommunikationsnetze und Leitsysteme. Wichtig ist allerdings auch eine regulatorische Compliance-Anforderung zur Einhaltung beispielsweise auf europäischer Ebene. Mit einem "IoT-Security-Standard" wird man natürlich nicht alle Risiken ausschalten, aber man könnte das Gefahrenpotential doch erheblich reduzieren. Wie groß dieses tatsächlich ist, davon hat der Mirai-Schock nur eine erste Vorahnung geliefert.  

Christian Koch ist Senior Manager GRC & IoT/OT bei NTT Security.

Mehr Artikel zum Thema: IoT Security

Mit Funk und Cloud gegen Ratten

Seit jeher stellen Ratten ein Problem für Städte, Kommunen...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

T-Mobile hat sein IoT-Netz fertig

Wer Digitalisierung sagt, muss auch IoT sagen. Und wer IoT...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen

"Innovate with IoT" – vor der Technologie kommt der Kunde

Auf Österreichs größtem zweitägigen IoT und Industrie...

Weiterlesen

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

LCM: Geburtshelfer für innovative Ideen

Die klugen Köpfe der Linz Center of Mechatronics GmbH...

Weiterlesen

Wie funktionieren Endpoint-Attacken?

Ein besseres Verständnis über die verschiedenen Schritte...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Mit Neuronen auf Cybergangsterjagd

In der Cybersicherheits-Branche wird der Begriff "Machine...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen