Q-loud
"Von den gelernten Schutzmechanismen kommt im IoT nur noch ein Minimum zum Einsatz." – Christian Pereira, Geschäftsführer der Q-loud GmbH
Q-loud

Interview – Christian Pereira, Q-loud

IoT-Sicherheit erfordert Security by Design

Das Internet der Dinge bringt auch für den Mittelstand grundlegende Veränderungen mit sich. Die bisherige "Burg-Strategie" der IT-Sicherheit funktioniert nicht mehr. Im IoT gelten neue Paradigmen und Security muss hier neu gedacht, umgesetzt und organisiert werden.

Wer heute noch glaubt, Security könne unternehmensintern besser gewährleistet werden als von ausgewiesenen und zertifizierten Experten, der wird im IoT eine böse Überraschung erleben – sagt Christian Pereira, Geschäftsführer der Q-loud GmbH. Pereira weiß als studierter Maschinenbauer und Informationswissenschaftler mit mehr als 25 Jahren Erfahrung in der Telekommunikationsindustrie wovon er spricht. Q-loud, die IoT-Tochter der QSC AG, unterstützt mit ihrem Full-Stack-Ansatz von Beratung über Software- und Hardwareentwicklung bis zur IoT-Plattform Unternehmen auf dem Weg ins Internet der Dinge.

Herr Pereira, worin unterscheidet sich IT-Sicherheit von IoT-Sicherheit?

Bislang haben Unternehmen ganz klassisch versucht, IT-Sicherheit insbesondere durch Abschottung herzustellen. Man hat Firewalls aufgebaut, USB-Ports verlötet, Zugangssicherungssysteme implementiert – immer mit dem Anspruch, die Benutzung nur so eingeschränkt wie möglich zuzulassen und damit den Grad der Sicherheit zu erhöhen. In der Vergangenheit funktionierte das gut, weil man unternehmensintern Herr über alle Prozesse und Ressourcen war und damit vollständige Kontrolle ausüben konnte. 

Ein wesentliches Merkmal im Internet der Dinge ist allerdings, dass nicht nur eigene Komponenten, sondern verschiedene Ökosysteme miteinander kommunizieren. Das Modell des IoT ist also Offenheit statt Abschottung. Firmen müssen heute zwangsläufig ganz viele Türen öffnen, um die Kommunikation unternehmens- und auch herstellerübergreifend zu ermöglichen. Da die Systeme im IoT zudem viel verteilter sind, können letztendlich auch deutlich mehr Angriffsszenarien auf ein System wirken. Dies alles vor dem Hintergrund einer immer professionelleren Cyber-Kriminalität. In Summe bedeutet dies, dass die Schutzmechanismen, die Unternehmen in der Vergangenheit eingesetzt haben, bei weitem nicht mehr ausreichend sind. 

Können Sie uns ein Beispiel geben?

Nehmen wir einen Anbieter von Medizintechnik. Bislang hatte er eine Office-IT, die es zu schützen galt. In einem Connected-Health-Szenario im Internet der Dinge muss dieser Anbieter nun von Anfang an überlegen, wie er die Apps und die personenbezogenen Daten seiner Kunden schützt, oder die Geräte, die eingesetzt werden – nicht nur in Krankenhäusern, sondern auch beim Patienten. Außerdem müssen die Produkte unter Sicherheitsaspekten kontinuierlich auf dem Stand der Technik gehalten werden. Hier kommt eine Vielzahl neuer Punkte auf die Agenda des Anbieters, die Kompetenzen und Erfahrungen fordern, die oft nicht beim Anbieter vorhanden sind – denn sie wurden ja in der Vergangenheit nicht gebraucht.

Wie schützen Unternehmen die Kommunikation mit den vernetzten Geräten und Maschinen?

Eine Minimalanforderung ist die Verschlüsselung. Im Internet ist das Standard: Wer seine Webseitenkommunikation heute nicht per HTTPS verschlüsselt, handelt absolut fahrlässig. Im IoT genügt das aber nicht. Wer glaubt, damit ist die Kommunikation sicher, ignoriert den Stand der Technik. Heute finden Angriffe auch auf die Hardware selbst statt. Anbieter vernetzter Lösungen müssen beispielsweise verhindern, dass ihre Geräte von einem Angreifer logisch gedoppelt werden und ein falsches Gerät ihnen Daten unterschiebt. 

Bei den Lösungen unserer Kunden verbauen wir unter anderem ein zusätzliches Verschlüsselungsverfahren in die Standardverschlüsselung: Eine asymmetrische Verschlüsselung mit einer Kombination aus Public und Private Key, also einem öffentlichen und einem geheimen Schlüssel. Den geheimen Schlüssel versehen wir darüber hinaus mit einem Zeitfaktor, sodass er nur zeitlich eingeschränkt gültig und immer individuell ist. Dieser Private Key wird nach einer bestimmten Zeit automatisch erneuert und der vorherige Key verliert seine Gültigkeit. Das Beispiel aus der Automobilindustrie, bei dem ein fünf Jahre alter Schlüssel geknackt wurde und dem Angreifer Zugang zu sämtlichen Fahrzeugen gewährte, ist mit diesem Verfahren nicht möglich.

Welche Maßnahmen treffen Sie darüber hinaus?

Wir setzen auf Security by Design: Bei uns werden schon im Fertigungsprozess die Software-Schlüssel und Zertifikate auf den Geräten hinterlegt. Individuelle Kundengeräte, Sensoren oder die Steuerungselektronik einer Maschine bekommen eine eindeutige Identität und können selbst einen individuellen Schlüssel erzeugen. Das verhindert von vornherein das massenweise Ausspähen von IoT-Komponenten. Außerdem erstellen wir auf unserer Plattform einen digitalen Zwilling, der eindeutig mit einem Gerät verbunden ist. Damit wird es unmöglich, dem System ein fiktives Gerät unterzuschieben. 

Für die Ausrüstung von Kundensystemen mit Security bieten wir drei Optionen an: Zunächst Adapterboxen, die bereits Security beinhalten. Die Sensoren werden an die Boxen angeschlossen, die Daten werden vom Sensor über die Box übertragen und von dort verschlüsselt an ein Gateway und weiter auf die Plattform gegeben. Die zweite Möglichkeit ist die Integration in Custom Hardware: Wir entwickeln unternehmensspezifisch für Kunden Steuerungselektronik, die von uns bereits in der Produktion mit Security-Merkmalen ausgerüstet wird. Und schließlich bieten wir einen IoT-Bausatz an, mit dem wir auf Chip-Ebene Identity und Security zur Verfügung stellen. Unsere Kunden können diese Chips in eigene Geräte verbauen.

Können mittelständische Unternehmen diese Sicherheitsmaßnahmen auch alleine stemmen oder sollten sie sich an einen externen Dienstleister wenden?

Wir setzen beispielsweise auch Open-Source-Software ein und sind immer aktuell informiert, welche Sicherheitslücken gerade im Umlauf sind, welche Patches eingespielt werden sollten und welche Tests und Abnahmeverfahren durchgeführt werden müssen. So etwas überfordert mittelständische Unternehmen in der Regel, weil sie meist kein dediziertes Spezialteam haben, das sich ausschließlich und ungestört mit dem Thema befassen darf. Man muss permanent auf dem Stand der Technik bleiben, sonst hat man keine Chance gegen Angreifer. Außerdem gibt es sehr viele Sicherheits-Tools, für deren wirksame Nutzung die Anwender Fachwissen benötigen. Mein Rat: Security ist so extrem wichtig, dass Unternehmen da Fachleute ran lassen sollten, die täglich mit dem Thema zu tun haben. 

Wie sieht es denn mit den Sicherheitsanforderungen an Rechenzentren aus?

Die Hochsicherheitsrechenzentren unser Muttergesellschaft QSC sind nach den neuesten Erkenntnissen und Verfahren mit Objekt- und Datenschutzmaßnahmen ausgestattet. Das alleine bringt aber noch keine Sicherheit. Nötig sind innerhalb der Organisation die richtige Einstellung zur Thematik und das Bekenntnis dazu, Sicherheitsverfahren nicht nur einmalig zu entwerfen, sondern permanent weiterzuentwickeln und in der täglichen Arbeit zu leben. So ist unser Informationssicherheits-Managementsystem über die gesamte Organisation hinweg nach ISO 27001 zertifiziert. Diese Zertifizierung wird regelmäßig erneuert. 

Die meisten Rechenzentren mittelständischer Unternehmen sind üblicherweise nicht ISO-zertifiziert. Hier scheut man den Aufwand, sich einem permanenten Weiterentwicklungsprozess zu stellen. Wir als Q-loud haben darüber hinaus auch unsere Hard- und Software-Entwicklung sowie den Betrieb von IoT-Plattformen ISO-27001-zertifiziert. Im Internet der Dinge haben wir es mit langlebigen Wirtschaftsgütern zu tun, die häufig fünf oder zehn Jahre und auch länger im Einsatz sind. Hier besteht die Herausforderung darin, die Sicherheit über den gesamten Lebenszyklus der Produkte aufrechtzuerhalten. 

Was sind gängige Irrtümer, wenn es um IoT-Sicherheit geht?

Der größte Irrglaube: Meine Systeme sind nicht wichtig genug, um angegriffen zu werden. Das ist völlig falsch. Die wesentlichen Sicherheitsprobleme entstehen heute dadurch, dass oftmals Standardkomponenten zum Einsatz kommen, wie etwa beim Betriebssystem. Wenn jemand im OS eine Sicherheitslücke entdeckt, greift er per Brute Force alle Systeme in der Hoffnung an, dass irgendein System nicht gepatcht wurde und diese Schwachstelle dort noch besteht. Die Attacken sind heute sehr oft Generalangriffe, die gar nicht speziell auf ein bestimmtes Unternehmen abzielen. Firmen werden also schon zu einem potenziellen Opfer, nur weil sie ein bestimmtes Standardsystem nutzen. 

Außerdem glauben viele, das Einhalten von Standards sei gleichbedeutend mit Sicherheit. Oft ist das nicht der Fall: Je verbreiteter Dinge sind, desto größer ist der Anreiz bei Angreifern, Schwachstellen in diesen Systemen zu identifizieren. Aus dieser Sicht haben Unternehmen daher manchmal größere Nachteile als wenn sie auf proprietäre Systeme setzen, die weniger im Fokus von Cyberattacken stehen. Allerdings: Nicht jedes unternehmenseigene System ist sicher – und proprietäre Systeme sicher zu machen ist eine Königsdisziplin.

Mehr Artikel zum Thema: Security IoT Interview

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Luke Roberts gehen 300 Lichter auf

Mit seiner smarten LED-Hängeleuchte will das junge Wiener...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

T-Mobile hat sein IoT-Netz fertig

Wer Digitalisierung sagt, muss auch IoT sagen. Und wer IoT...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen

"Innovate with IoT" – vor der Technologie kommt der Kunde

Auf Österreichs größtem zweitägigen IoT und Industrie...

Weiterlesen

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

LCM: Geburtshelfer für innovative Ideen

Die klugen Köpfe der Linz Center of Mechatronics GmbH...

Weiterlesen

Die Digitalisierungs-Reise der SVA

Die Sozialversicherungsanstalt der gewerblichen Wirtschaft...

Weiterlesen

Das Netzwerk sieht alles

Was haben moderne Netzwerke mit Gehirnen, heißen Herdplatten...

Weiterlesen

Wie funktionieren Endpoint-Attacken?

Ein besseres Verständnis über die verschiedenen Schritte...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen