IoT Security
ADVERTORIAL
Bild: vectorfusionart - Fotolia.com
Erst allmählich setzt sich die Erkenntnis durch, dass die Sicherheitsverfahren, die sich in der IT etabliert haben, nur sehr bedingt auf IoT übertragbar sind.
Bild: vectorfusionart - Fotolia.com

Das Internet der Dinge muss sicherer werden

Für einen "IoT-Security-Standard"

Für die IT war es ein Schock, als Ende 2016 massive Angriffe auf Systeme des Internets der Dinge (IoT) bekannt wurden. In einem groß angelegten DDoS-Angriff wurden damals rund 500.000 Geräte, vor allem ungesicherte Überwachungskameras, mit der Schadsoftware Mirai infiziert und ein Angriff auf einen großen DNS-Provider gefahren. Der dadurch ausgelöste Schock war insofern "heilsam", als seither das Thema IoT-Sicherheit intensiv diskutiert wird. Auf den Durchbruch in Sachen IoT-Sicherheit wartet man jedoch noch immer.

von: Christian Koch

Erst allmählich setzt sich die Erkenntnis durch, dass die Sicherheitsverfahren, die sich in der IT etabliert haben, nur sehr bedingt auf IoT übertragbar sind. So sind IoT-Systeme schon aus Kostengründen nur sparsam mit Ressourcen ausgestattet. Übliche Sicherheitsfeatures wie Verschlüsselung funktionieren daher schon technisch nicht auf jedem Gerät. Auch haben industrielle Systeme eine lange Lebensdauer; 15 oder 20 Jahre sind hier keine Seltenheit; in solchen Zeiträumen denkt die IT nicht. Welcher Security-Experte möchte seine Hand dafür ins Feuer legen, dass der Verschlüsselungsalgorithmus, den er heute implementiert, auch noch im Jahr 2035 sicher ist? Natürlich kann man Updates von IoT-Geräten per Fernwartung durchführen – abgesehen davon, dass auch dafür nicht jedes Gerät geeignet ist, man schafft durch diese Möglichkeit gleich eine weitere Angriffsfläche. Vor allem aber werden IoT-Systeme noch immer primär funktionsorientiert entwickelt: Erst kommt die Funktionalität, und dann überlegt man, wie man das Ganze auch noch absichern könnte – Security by Design ist vielleicht kein Fremdwort mehr, aber trotzdem nur selten gelebte Realität. 

Generell sollten neue IoT-Standards nicht detaillierte Konzepte vorgeben, sondern, ähnlich wie ISO 27001, allgemeine Anforderungen formulieren, die risikoadäquat umgesetzt werden müssen. Sie sollen sich daher keinesfalls bis auf Protokollebene herunterbegeben und etwa den Einsatz bestimmter Protokolle vorschreiben. Derzeit gibt es im IoT-Umfeld mehr als 500 verschiedene Protokolle und es ist absehbar, dass die Mehrzahl von ihnen nicht die Lebensdauer der IoT-Geräte erreichen wird.

Bild: chombosan - Fotolia.com
Mit einem "IoT-Security-Standard" kann man nicht alle Risiken ausschalten, aber das Gefahrenpotential doch erheblich reduzieren.
Bild: chombosan - Fotolia.com

Wichtig wäre also ein "IoT-Security-Standard" als Grundschutz, der einen Rahmen vorgibt und dabei beispielsweise von Herstellern erst mal überhaupt eine genaue Bewertung von Risiken, die aus dem Betrieb ihrer Systeme entstehen, verlangt. Schließlich muss sich ein IoT-Grundschutz auch der Frage nach den unterschiedlichen Lebenszyklen von Standards, Software und Geräten stellen. Es muss beispielsweise verbindlich festgelegt werden, wie lange Updates bereitgestellt werden. Sechsmonatige Garantiezeiten dürften jedenfalls nicht ausreichen.

Grundschutz heißt nicht, ein paar unverbindliche Regeln aufzustellen und im Detail macht dann weiterhin jeder, was er will. Der ISO 27001 Standard formuliert mit seinen Vorgehensweisen und Anforderungen so einen Rahmen für die herkömmliche IT und hat sich damit durchaus bewährt. Ähnliches wäre auch für die speziellen Gegebenheiten des IoT nötig, vielleicht ebenfalls aus der Feder der ISO. Mit der IEC 62443 (ISA-99) und IEC 62264 (ISA-95) gibt es aktuell schon Sicherheitsstandards für industrielle Kommunikationsnetze und Leitsysteme. Wichtig ist allerdings auch eine regulatorische Compliance-Anforderung zur Einhaltung beispielsweise auf europäischer Ebene. Mit einem "IoT-Security-Standard" wird man natürlich nicht alle Risiken ausschalten, aber man könnte das Gefahrenpotential doch erheblich reduzieren. Wie groß dieses tatsächlich ist, davon hat der Mirai-Schock nur eine erste Vorahnung geliefert.  

Christian Koch ist Senior Manager GRC & IoT/OT bei NTT Security.

Mehr Artikel zum Thema: IoT Security

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

Auswirkungen der KI auf die Arbeitswelt

Die Digitalisierung und die neuen technologischen...

Weiterlesen

Snor neuer Director Security von A1 Digital

Ab sofort übernimmt Thomas Snor den neuen Security-Bereich...

Weiterlesen

Sicherheits-Container für Datenschutz unterwegs

Führungskräfte und Mitarbeiter, die viel unterwegs sind,...

Weiterlesen

"Die große Chance" für Security-Startups

Vom 9. bis 11. Oktober 2018 dreht sich in Nürnberg auf der...

Weiterlesen

Cyberforensiker wird EY-Partner

Benjamin Weißmann wurde in die Partnerschaft von EY...

Weiterlesen

FH Burgenland bekommt Fab-Lab

Damit Studierende des Masterstudiengangs Cloud Computing...

Weiterlesen

WP: Schnell und sicher durch Automatisierung

Routineaufgaben kosten viel Zeit und machen keinen Spaß:...

Weiterlesen

Mit Funk und Cloud gegen Ratten

Seit jeher stellen Ratten ein Problem für Städte, Kommunen...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

T-Mobile hat sein IoT-Netz fertig

Wer Digitalisierung sagt, muss auch IoT sagen. Und wer IoT...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen