Q-loud
"Von den gelernten Schutzmechanismen kommt im IoT nur noch ein Minimum zum Einsatz." – Christian Pereira, Geschäftsführer der Q-loud GmbH
Q-loud

Interview – Christian Pereira, Q-loud

IoT-Sicherheit erfordert Security by Design

Das Internet der Dinge bringt auch für den Mittelstand grundlegende Veränderungen mit sich. Die bisherige "Burg-Strategie" der IT-Sicherheit funktioniert nicht mehr. Im IoT gelten neue Paradigmen und Security muss hier neu gedacht, umgesetzt und organisiert werden.

Wer heute noch glaubt, Security könne unternehmensintern besser gewährleistet werden als von ausgewiesenen und zertifizierten Experten, der wird im IoT eine böse Überraschung erleben – sagt Christian Pereira, Geschäftsführer der Q-loud GmbH. Pereira weiß als studierter Maschinenbauer und Informationswissenschaftler mit mehr als 25 Jahren Erfahrung in der Telekommunikationsindustrie wovon er spricht. Q-loud, die IoT-Tochter der QSC AG, unterstützt mit ihrem Full-Stack-Ansatz von Beratung über Software- und Hardwareentwicklung bis zur IoT-Plattform Unternehmen auf dem Weg ins Internet der Dinge.

Herr Pereira, worin unterscheidet sich IT-Sicherheit von IoT-Sicherheit?

Bislang haben Unternehmen ganz klassisch versucht, IT-Sicherheit insbesondere durch Abschottung herzustellen. Man hat Firewalls aufgebaut, USB-Ports verlötet, Zugangssicherungssysteme implementiert – immer mit dem Anspruch, die Benutzung nur so eingeschränkt wie möglich zuzulassen und damit den Grad der Sicherheit zu erhöhen. In der Vergangenheit funktionierte das gut, weil man unternehmensintern Herr über alle Prozesse und Ressourcen war und damit vollständige Kontrolle ausüben konnte. 

Ein wesentliches Merkmal im Internet der Dinge ist allerdings, dass nicht nur eigene Komponenten, sondern verschiedene Ökosysteme miteinander kommunizieren. Das Modell des IoT ist also Offenheit statt Abschottung. Firmen müssen heute zwangsläufig ganz viele Türen öffnen, um die Kommunikation unternehmens- und auch herstellerübergreifend zu ermöglichen. Da die Systeme im IoT zudem viel verteilter sind, können letztendlich auch deutlich mehr Angriffsszenarien auf ein System wirken. Dies alles vor dem Hintergrund einer immer professionelleren Cyber-Kriminalität. In Summe bedeutet dies, dass die Schutzmechanismen, die Unternehmen in der Vergangenheit eingesetzt haben, bei weitem nicht mehr ausreichend sind. 

Können Sie uns ein Beispiel geben?

Nehmen wir einen Anbieter von Medizintechnik. Bislang hatte er eine Office-IT, die es zu schützen galt. In einem Connected-Health-Szenario im Internet der Dinge muss dieser Anbieter nun von Anfang an überlegen, wie er die Apps und die personenbezogenen Daten seiner Kunden schützt, oder die Geräte, die eingesetzt werden – nicht nur in Krankenhäusern, sondern auch beim Patienten. Außerdem müssen die Produkte unter Sicherheitsaspekten kontinuierlich auf dem Stand der Technik gehalten werden. Hier kommt eine Vielzahl neuer Punkte auf die Agenda des Anbieters, die Kompetenzen und Erfahrungen fordern, die oft nicht beim Anbieter vorhanden sind – denn sie wurden ja in der Vergangenheit nicht gebraucht.

Wie schützen Unternehmen die Kommunikation mit den vernetzten Geräten und Maschinen?

Eine Minimalanforderung ist die Verschlüsselung. Im Internet ist das Standard: Wer seine Webseitenkommunikation heute nicht per HTTPS verschlüsselt, handelt absolut fahrlässig. Im IoT genügt das aber nicht. Wer glaubt, damit ist die Kommunikation sicher, ignoriert den Stand der Technik. Heute finden Angriffe auch auf die Hardware selbst statt. Anbieter vernetzter Lösungen müssen beispielsweise verhindern, dass ihre Geräte von einem Angreifer logisch gedoppelt werden und ein falsches Gerät ihnen Daten unterschiebt. 

Bei den Lösungen unserer Kunden verbauen wir unter anderem ein zusätzliches Verschlüsselungsverfahren in die Standardverschlüsselung: Eine asymmetrische Verschlüsselung mit einer Kombination aus Public und Private Key, also einem öffentlichen und einem geheimen Schlüssel. Den geheimen Schlüssel versehen wir darüber hinaus mit einem Zeitfaktor, sodass er nur zeitlich eingeschränkt gültig und immer individuell ist. Dieser Private Key wird nach einer bestimmten Zeit automatisch erneuert und der vorherige Key verliert seine Gültigkeit. Das Beispiel aus der Automobilindustrie, bei dem ein fünf Jahre alter Schlüssel geknackt wurde und dem Angreifer Zugang zu sämtlichen Fahrzeugen gewährte, ist mit diesem Verfahren nicht möglich.

Welche Maßnahmen treffen Sie darüber hinaus?

Wir setzen auf Security by Design: Bei uns werden schon im Fertigungsprozess die Software-Schlüssel und Zertifikate auf den Geräten hinterlegt. Individuelle Kundengeräte, Sensoren oder die Steuerungselektronik einer Maschine bekommen eine eindeutige Identität und können selbst einen individuellen Schlüssel erzeugen. Das verhindert von vornherein das massenweise Ausspähen von IoT-Komponenten. Außerdem erstellen wir auf unserer Plattform einen digitalen Zwilling, der eindeutig mit einem Gerät verbunden ist. Damit wird es unmöglich, dem System ein fiktives Gerät unterzuschieben. 

Für die Ausrüstung von Kundensystemen mit Security bieten wir drei Optionen an: Zunächst Adapterboxen, die bereits Security beinhalten. Die Sensoren werden an die Boxen angeschlossen, die Daten werden vom Sensor über die Box übertragen und von dort verschlüsselt an ein Gateway und weiter auf die Plattform gegeben. Die zweite Möglichkeit ist die Integration in Custom Hardware: Wir entwickeln unternehmensspezifisch für Kunden Steuerungselektronik, die von uns bereits in der Produktion mit Security-Merkmalen ausgerüstet wird. Und schließlich bieten wir einen IoT-Bausatz an, mit dem wir auf Chip-Ebene Identity und Security zur Verfügung stellen. Unsere Kunden können diese Chips in eigene Geräte verbauen.

Können mittelständische Unternehmen diese Sicherheitsmaßnahmen auch alleine stemmen oder sollten sie sich an einen externen Dienstleister wenden?

Wir setzen beispielsweise auch Open-Source-Software ein und sind immer aktuell informiert, welche Sicherheitslücken gerade im Umlauf sind, welche Patches eingespielt werden sollten und welche Tests und Abnahmeverfahren durchgeführt werden müssen. So etwas überfordert mittelständische Unternehmen in der Regel, weil sie meist kein dediziertes Spezialteam haben, das sich ausschließlich und ungestört mit dem Thema befassen darf. Man muss permanent auf dem Stand der Technik bleiben, sonst hat man keine Chance gegen Angreifer. Außerdem gibt es sehr viele Sicherheits-Tools, für deren wirksame Nutzung die Anwender Fachwissen benötigen. Mein Rat: Security ist so extrem wichtig, dass Unternehmen da Fachleute ran lassen sollten, die täglich mit dem Thema zu tun haben. 

Wie sieht es denn mit den Sicherheitsanforderungen an Rechenzentren aus?

Die Hochsicherheitsrechenzentren unser Muttergesellschaft QSC sind nach den neuesten Erkenntnissen und Verfahren mit Objekt- und Datenschutzmaßnahmen ausgestattet. Das alleine bringt aber noch keine Sicherheit. Nötig sind innerhalb der Organisation die richtige Einstellung zur Thematik und das Bekenntnis dazu, Sicherheitsverfahren nicht nur einmalig zu entwerfen, sondern permanent weiterzuentwickeln und in der täglichen Arbeit zu leben. So ist unser Informationssicherheits-Managementsystem über die gesamte Organisation hinweg nach ISO 27001 zertifiziert. Diese Zertifizierung wird regelmäßig erneuert. 

Die meisten Rechenzentren mittelständischer Unternehmen sind üblicherweise nicht ISO-zertifiziert. Hier scheut man den Aufwand, sich einem permanenten Weiterentwicklungsprozess zu stellen. Wir als Q-loud haben darüber hinaus auch unsere Hard- und Software-Entwicklung sowie den Betrieb von IoT-Plattformen ISO-27001-zertifiziert. Im Internet der Dinge haben wir es mit langlebigen Wirtschaftsgütern zu tun, die häufig fünf oder zehn Jahre und auch länger im Einsatz sind. Hier besteht die Herausforderung darin, die Sicherheit über den gesamten Lebenszyklus der Produkte aufrechtzuerhalten. 

Was sind gängige Irrtümer, wenn es um IoT-Sicherheit geht?

Der größte Irrglaube: Meine Systeme sind nicht wichtig genug, um angegriffen zu werden. Das ist völlig falsch. Die wesentlichen Sicherheitsprobleme entstehen heute dadurch, dass oftmals Standardkomponenten zum Einsatz kommen, wie etwa beim Betriebssystem. Wenn jemand im OS eine Sicherheitslücke entdeckt, greift er per Brute Force alle Systeme in der Hoffnung an, dass irgendein System nicht gepatcht wurde und diese Schwachstelle dort noch besteht. Die Attacken sind heute sehr oft Generalangriffe, die gar nicht speziell auf ein bestimmtes Unternehmen abzielen. Firmen werden also schon zu einem potenziellen Opfer, nur weil sie ein bestimmtes Standardsystem nutzen. 

Außerdem glauben viele, das Einhalten von Standards sei gleichbedeutend mit Sicherheit. Oft ist das nicht der Fall: Je verbreiteter Dinge sind, desto größer ist der Anreiz bei Angreifern, Schwachstellen in diesen Systemen zu identifizieren. Aus dieser Sicht haben Unternehmen daher manchmal größere Nachteile als wenn sie auf proprietäre Systeme setzen, die weniger im Fokus von Cyberattacken stehen. Allerdings: Nicht jedes unternehmenseigene System ist sicher – und proprietäre Systeme sicher zu machen ist eine Königsdisziplin.

Mehr Artikel zum Thema: Security IoT Interview

T-Mobile startet Narrowband-IoT

Die niederösterreichische Landeshauptstadt St. Pölten soll...

Weiterlesen

Das Ziel ist, die User zu beschützen

Ist es für einen IT-Security-Anbieter ein Vor- oder ein...

Weiterlesen

Viren sind keine Magie

Juraj Malcho ist der Chief Technology Officer von ESET. Wir...

Weiterlesen

Security Basics: Aller Anfang ist leicht?!

IT-Sicherheit ist nichts, das man auf die leichte Schulter...

Weiterlesen

Sicherheit beginnt mit dem richtigen Passwort

Wie ein sicheres Passwort aussehen sollte, hat jeder schon...

Weiterlesen

Mitarbeiter sind Sicherheitsrisiko Nummer eins

Die größte Gefahr für die IT-Sicherheit eines Unternehmens...

Weiterlesen

Urbanski wechselt zu ESET

Der europäische IT-Security Hersteller ESET begrüßt einen...

Weiterlesen

Grois leitet Sophos-Niederlassung

Sophos hat Wolfgang Grois zum Country Manager für Österreich...

Weiterlesen

"Das Wichtigste ist: Probier‘s aus!"

Wie so oft stand am Anfang eine Entscheidung: Praktikum bei...

Weiterlesen

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

PrivacyWeek 2017 des C3W

Über hundert internationale ExpertInnen diskutieren und...

Weiterlesen

it-sa mit neuen Bestmarken

Die Nürnberger IT-Security-Messe it-sa hat sowohl bei...

Weiterlesen

"Digitale Transformation ist nicht die Zukunft, sondern jetzt"

"Arbeiten ist kein Ort, sondern ein Zustand den ich an- und...

Weiterlesen

Forum IoT 2017 - the smart revolution

Dieses Jahr findet am 28.11. in Wien zum dritten Mal das...

Weiterlesen

Was macht einen Kunden loyal?

Es gibt keine zweite Chance für einen guten ersten Eindruck....

Weiterlesen

Trends und Prognosen zur IT-Sicherheit

Für IT-Sicherheitsmaßnahmen geben Unternehmen heute mehr aus...

Weiterlesen

Bericht über Bankomaten-Hacker

Trend Micro und das European Cybercrime Centre (EC3) bei...

Weiterlesen

Österreichs Firmen zu sorglos

Fast jedes zweite österreichische Unternehmen war in den...

Weiterlesen