Q-loud
"Von den gelernten Schutzmechanismen kommt im IoT nur noch ein Minimum zum Einsatz." – Christian Pereira, Geschäftsführer der Q-loud GmbH
Q-loud

Interview – Christian Pereira, Q-loud

IoT-Sicherheit erfordert Security by Design

Das Internet der Dinge bringt auch für den Mittelstand grundlegende Veränderungen mit sich. Die bisherige "Burg-Strategie" der IT-Sicherheit funktioniert nicht mehr. Im IoT gelten neue Paradigmen und Security muss hier neu gedacht, umgesetzt und organisiert werden.

Wer heute noch glaubt, Security könne unternehmensintern besser gewährleistet werden als von ausgewiesenen und zertifizierten Experten, der wird im IoT eine böse Überraschung erleben – sagt Christian Pereira, Geschäftsführer der Q-loud GmbH. Pereira weiß als studierter Maschinenbauer und Informationswissenschaftler mit mehr als 25 Jahren Erfahrung in der Telekommunikationsindustrie wovon er spricht. Q-loud, die IoT-Tochter der QSC AG, unterstützt mit ihrem Full-Stack-Ansatz von Beratung über Software- und Hardwareentwicklung bis zur IoT-Plattform Unternehmen auf dem Weg ins Internet der Dinge.

Herr Pereira, worin unterscheidet sich IT-Sicherheit von IoT-Sicherheit?

Bislang haben Unternehmen ganz klassisch versucht, IT-Sicherheit insbesondere durch Abschottung herzustellen. Man hat Firewalls aufgebaut, USB-Ports verlötet, Zugangssicherungssysteme implementiert – immer mit dem Anspruch, die Benutzung nur so eingeschränkt wie möglich zuzulassen und damit den Grad der Sicherheit zu erhöhen. In der Vergangenheit funktionierte das gut, weil man unternehmensintern Herr über alle Prozesse und Ressourcen war und damit vollständige Kontrolle ausüben konnte. 

Ein wesentliches Merkmal im Internet der Dinge ist allerdings, dass nicht nur eigene Komponenten, sondern verschiedene Ökosysteme miteinander kommunizieren. Das Modell des IoT ist also Offenheit statt Abschottung. Firmen müssen heute zwangsläufig ganz viele Türen öffnen, um die Kommunikation unternehmens- und auch herstellerübergreifend zu ermöglichen. Da die Systeme im IoT zudem viel verteilter sind, können letztendlich auch deutlich mehr Angriffsszenarien auf ein System wirken. Dies alles vor dem Hintergrund einer immer professionelleren Cyber-Kriminalität. In Summe bedeutet dies, dass die Schutzmechanismen, die Unternehmen in der Vergangenheit eingesetzt haben, bei weitem nicht mehr ausreichend sind. 

Können Sie uns ein Beispiel geben?

Nehmen wir einen Anbieter von Medizintechnik. Bislang hatte er eine Office-IT, die es zu schützen galt. In einem Connected-Health-Szenario im Internet der Dinge muss dieser Anbieter nun von Anfang an überlegen, wie er die Apps und die personenbezogenen Daten seiner Kunden schützt, oder die Geräte, die eingesetzt werden – nicht nur in Krankenhäusern, sondern auch beim Patienten. Außerdem müssen die Produkte unter Sicherheitsaspekten kontinuierlich auf dem Stand der Technik gehalten werden. Hier kommt eine Vielzahl neuer Punkte auf die Agenda des Anbieters, die Kompetenzen und Erfahrungen fordern, die oft nicht beim Anbieter vorhanden sind – denn sie wurden ja in der Vergangenheit nicht gebraucht.

Wie schützen Unternehmen die Kommunikation mit den vernetzten Geräten und Maschinen?

Eine Minimalanforderung ist die Verschlüsselung. Im Internet ist das Standard: Wer seine Webseitenkommunikation heute nicht per HTTPS verschlüsselt, handelt absolut fahrlässig. Im IoT genügt das aber nicht. Wer glaubt, damit ist die Kommunikation sicher, ignoriert den Stand der Technik. Heute finden Angriffe auch auf die Hardware selbst statt. Anbieter vernetzter Lösungen müssen beispielsweise verhindern, dass ihre Geräte von einem Angreifer logisch gedoppelt werden und ein falsches Gerät ihnen Daten unterschiebt. 

Bei den Lösungen unserer Kunden verbauen wir unter anderem ein zusätzliches Verschlüsselungsverfahren in die Standardverschlüsselung: Eine asymmetrische Verschlüsselung mit einer Kombination aus Public und Private Key, also einem öffentlichen und einem geheimen Schlüssel. Den geheimen Schlüssel versehen wir darüber hinaus mit einem Zeitfaktor, sodass er nur zeitlich eingeschränkt gültig und immer individuell ist. Dieser Private Key wird nach einer bestimmten Zeit automatisch erneuert und der vorherige Key verliert seine Gültigkeit. Das Beispiel aus der Automobilindustrie, bei dem ein fünf Jahre alter Schlüssel geknackt wurde und dem Angreifer Zugang zu sämtlichen Fahrzeugen gewährte, ist mit diesem Verfahren nicht möglich.

Welche Maßnahmen treffen Sie darüber hinaus?

Wir setzen auf Security by Design: Bei uns werden schon im Fertigungsprozess die Software-Schlüssel und Zertifikate auf den Geräten hinterlegt. Individuelle Kundengeräte, Sensoren oder die Steuerungselektronik einer Maschine bekommen eine eindeutige Identität und können selbst einen individuellen Schlüssel erzeugen. Das verhindert von vornherein das massenweise Ausspähen von IoT-Komponenten. Außerdem erstellen wir auf unserer Plattform einen digitalen Zwilling, der eindeutig mit einem Gerät verbunden ist. Damit wird es unmöglich, dem System ein fiktives Gerät unterzuschieben. 

Für die Ausrüstung von Kundensystemen mit Security bieten wir drei Optionen an: Zunächst Adapterboxen, die bereits Security beinhalten. Die Sensoren werden an die Boxen angeschlossen, die Daten werden vom Sensor über die Box übertragen und von dort verschlüsselt an ein Gateway und weiter auf die Plattform gegeben. Die zweite Möglichkeit ist die Integration in Custom Hardware: Wir entwickeln unternehmensspezifisch für Kunden Steuerungselektronik, die von uns bereits in der Produktion mit Security-Merkmalen ausgerüstet wird. Und schließlich bieten wir einen IoT-Bausatz an, mit dem wir auf Chip-Ebene Identity und Security zur Verfügung stellen. Unsere Kunden können diese Chips in eigene Geräte verbauen.

Können mittelständische Unternehmen diese Sicherheitsmaßnahmen auch alleine stemmen oder sollten sie sich an einen externen Dienstleister wenden?

Wir setzen beispielsweise auch Open-Source-Software ein und sind immer aktuell informiert, welche Sicherheitslücken gerade im Umlauf sind, welche Patches eingespielt werden sollten und welche Tests und Abnahmeverfahren durchgeführt werden müssen. So etwas überfordert mittelständische Unternehmen in der Regel, weil sie meist kein dediziertes Spezialteam haben, das sich ausschließlich und ungestört mit dem Thema befassen darf. Man muss permanent auf dem Stand der Technik bleiben, sonst hat man keine Chance gegen Angreifer. Außerdem gibt es sehr viele Sicherheits-Tools, für deren wirksame Nutzung die Anwender Fachwissen benötigen. Mein Rat: Security ist so extrem wichtig, dass Unternehmen da Fachleute ran lassen sollten, die täglich mit dem Thema zu tun haben. 

Wie sieht es denn mit den Sicherheitsanforderungen an Rechenzentren aus?

Die Hochsicherheitsrechenzentren unser Muttergesellschaft QSC sind nach den neuesten Erkenntnissen und Verfahren mit Objekt- und Datenschutzmaßnahmen ausgestattet. Das alleine bringt aber noch keine Sicherheit. Nötig sind innerhalb der Organisation die richtige Einstellung zur Thematik und das Bekenntnis dazu, Sicherheitsverfahren nicht nur einmalig zu entwerfen, sondern permanent weiterzuentwickeln und in der täglichen Arbeit zu leben. So ist unser Informationssicherheits-Managementsystem über die gesamte Organisation hinweg nach ISO 27001 zertifiziert. Diese Zertifizierung wird regelmäßig erneuert. 

Die meisten Rechenzentren mittelständischer Unternehmen sind üblicherweise nicht ISO-zertifiziert. Hier scheut man den Aufwand, sich einem permanenten Weiterentwicklungsprozess zu stellen. Wir als Q-loud haben darüber hinaus auch unsere Hard- und Software-Entwicklung sowie den Betrieb von IoT-Plattformen ISO-27001-zertifiziert. Im Internet der Dinge haben wir es mit langlebigen Wirtschaftsgütern zu tun, die häufig fünf oder zehn Jahre und auch länger im Einsatz sind. Hier besteht die Herausforderung darin, die Sicherheit über den gesamten Lebenszyklus der Produkte aufrechtzuerhalten. 

Was sind gängige Irrtümer, wenn es um IoT-Sicherheit geht?

Der größte Irrglaube: Meine Systeme sind nicht wichtig genug, um angegriffen zu werden. Das ist völlig falsch. Die wesentlichen Sicherheitsprobleme entstehen heute dadurch, dass oftmals Standardkomponenten zum Einsatz kommen, wie etwa beim Betriebssystem. Wenn jemand im OS eine Sicherheitslücke entdeckt, greift er per Brute Force alle Systeme in der Hoffnung an, dass irgendein System nicht gepatcht wurde und diese Schwachstelle dort noch besteht. Die Attacken sind heute sehr oft Generalangriffe, die gar nicht speziell auf ein bestimmtes Unternehmen abzielen. Firmen werden also schon zu einem potenziellen Opfer, nur weil sie ein bestimmtes Standardsystem nutzen. 

Außerdem glauben viele, das Einhalten von Standards sei gleichbedeutend mit Sicherheit. Oft ist das nicht der Fall: Je verbreiteter Dinge sind, desto größer ist der Anreiz bei Angreifern, Schwachstellen in diesen Systemen zu identifizieren. Aus dieser Sicht haben Unternehmen daher manchmal größere Nachteile als wenn sie auf proprietäre Systeme setzen, die weniger im Fokus von Cyberattacken stehen. Allerdings: Nicht jedes unternehmenseigene System ist sicher – und proprietäre Systeme sicher zu machen ist eine Königsdisziplin.

Mehr Artikel zum Thema: Security IoT Interview

"Maschinen erobern die sozialen Netzwerke"

Werner Bick, Generalbevollmächtigter der ROI Management...

Weiterlesen

Wieder ein Award für COPA-DATA

Microsoft hat den österreichischen Softwarehersteller...

Weiterlesen

Das Ende der "Holzhörer"

Heute wird ganz anders kommuniziert als früher. "Die junge...

Weiterlesen

Der intelligente Motorradhelm

Motorradfahrer waren in Punkto Sicherheit stets sich selbst...

Weiterlesen

NTT Security baut Management um

Kai Grunwitz wird Senior Vice President EMEA, Patrick...

Weiterlesen

Mit IoT auf der Überholspur – das sind die Business Enabler

Das Internet der Dinge (IoT) nimmt rasant Fahrt auf. Die...

Weiterlesen

Eine Million M2M-SIM-Karten im Einsatz

T-Mobile hat die Schallmauer von über einer Million...

Weiterlesen

"Rasch und flexibel"

"Wir wissen, dass das 'beschmutzte Papier' einmal ein Ende...

Weiterlesen

EMEA-Firmen nutzen Public Cloud

Unternehmen in der EMEA-Region steigern ihre Investition in...

Weiterlesen

Millionen-Deal im IIoT-Bereich

Schneider Electric, weltweiter Spezialist für...

Weiterlesen

Nicht jede Innovation ist wirklich wertvoll

"Digitalisierung ist Null und Eins", antwortet Thomas...

Weiterlesen

Notfall-Hilfe bei Security-Vorfällen

Die österreichische Wirtschaftskammer hat für ihre...

Weiterlesen

Kosten bei Datenpannen sinken

Laut einer Studie des Ponemon Instituts sind die...

Weiterlesen

Cloud, Connectivity und erfolgreiches Business

"Letztendlich geht es nicht um Technologie, sondern um das...

Weiterlesen

Wir haben uns für Österreich entschieden

Ist ERP aus der Cloud für den Mittelstand in Österreich...

Weiterlesen

Modulare Datacenter für IoT und Edge Computing

Rechenzentrums-Experte Rittal ist eine Partnerschaft mit...

Weiterlesen

Wie kommt man vom Bier zum Internet?

Richard Wein, Geschäftsführer der österreichischen...

Weiterlesen

Modulare USV für das Rote Kreuz

Die Rettungsleitstelle des Roten Kreuzes in Graz wickelt...

Weiterlesen

ConnectedGarden bei T-Mobile

Urban Gardening und IoT: Zwei Trends, wie sie verschiedener...

Weiterlesen

Blackout vorprogrammiert?

Die zunehmende Digitalisierung des Energienetzes schafft...

Weiterlesen