IoT-Security
30.07.2018, 15:03 Uhr
Im Netz der unsicheren Dinge
Das Internet der Dinge stellt die IT-Sicherheit vor grosse Herausforderungen, nicht zuletzt weil die üblichen Verfahren der IT-Sicherheit hier nicht funktionieren. Vor allem in der industriellen Fertigung, in der Logistik und der Gebäudetechnik herrscht in Sachen Cyber Defense Handlungsbedarf.
Dieser Beitrag stammt von Christian Koch, Senior Manager GRC & IoT/OT bei NTT Security
Das Internet der Dinge (Internet of Things; IoT) ist für Unternehmen mittlerweile zu einer zentralen Komponente der Digitalisierung geworden. Überall wird mit Feuereifer an neuen Anwendungen und Lösungen gearbeitet, werden industrielle Prozesse auf die neuen technischen Möglichkeiten ausgerichtet und neue Geschäftsmodelle konzipiert. Es zeichnet sich ab, dass das IoT im gewerblichen Einsatz, weit mehr als im privaten Bereich, zu einer grossen Erfolgsgeschichte wird.
Dabei sollte man jedoch eines nicht vergessen: IoT als Technologie ist noch ziemlich jung und dementsprechend noch lange nicht ausgereift. Viele der hier zum Einsatz kommenden Verfahren sind noch nicht so erprobt und gesichert, wie man das beispielsweise aus der industriellen Fertigung gewohnt ist. Noch läuft die Phase, in der man Know-how erst aufbaut, und es liegt in der Natur der noch immer neuen Sache, dass Erfahrung rar ist.
Keine Security by Design
Dies trifft besonders auf das Thema Sicherheit und IoT zu. Wie bei fast jeder jungen Technologie steht bei der Entwicklung der jeweiligen Komponenten die Funktionalität im Vordergrund und ist oft Herausforderung genug. Sicherheitsaspekte bleiben aussen vor oder werden nur am Rande behandelt; wichtig ist vielmehr, dass das Ding überhaupt zum Laufen kommt. Security by Design ist bei IoT-Komponenten noch die grosse Ausnahme. Das ist im Laufe einer technologischen Entwicklung keine Besonderheit von IoT. ABS und Airbag wurden auch erst entwickelt, als das Auto einen gewissen Reifegrad erreicht hatte und man sich einigermassen darauf verlassen konnte, dass es fährt – trotzdem haben Fehler auch und gerade in diesem Reifestadium fatale Folgen, die frühe Technikgeschichte ist ja auch voll von Katastrophen.
Lang- vs. Kurzlebigkeit
Im Falle des Internets der Dinge liegt eine ganz grundsätzliche Problematik vor: IoT bringt zwei bislang getrennte Sphären zusammen, IT einerseits und mit den «Dingen» im weitesten Sinne Technik und Industrie. In beiden Sphären sind – bisher – sehr unterschiedliche Verfahren und Gepflogenheiten üblich. So hat sich in der IT ein recht kurzer Produktzyklus etabliert, nach zwei bis vier Jahren werden Systeme ausgetauscht, längere Lebensdauer ist selten nötig, weil die angewandten Technologien schon vorher obsolet werden. Ein sieben Jahre altes Notebook oder ein fünf Jahre altes Smartphone sind Auslaufmodelle.
Industrielle Komponenten haben dagegen schon mal fünfzehn oder auch zwanzig Jahre Bestand. So ist dann beispielsweise das in einer IoT-gesteuerten Turbine oder in einer Förderanlage verbaute Kommunikationssystem veraltet, lange bevor die Anlage selbst erneuert werden muss, und es ist fraglich, ob es innerhalb ihrer technischen Lebensdauer überhaupt noch Sicherheitsupdates oder Patches gibt. Und niemand kann garantieren, dass der Verschlüsselungsalgorithmus, der heute in einer IoT-gesteuerten Maschine implementiert wird, auch noch im Jahr 2035 sicher ist.
Personal sind keine IT-Spezialisten
In diesem Zusammenhang ist ein weiterer Aspekt wichtig: Die Menschen, die mit der Installation, Wartung und Kontrolle von IoT-Systemen im industriellen und gewerblichen Umfeld befasst sind, sind in der Regel keine IT-Experten. Sie sind vielleicht Wartungs- oder Maschinentechniker, Logistiker, Gebäudetechniker oder Facilitymanager. Bei Störungen ist es für sie nur naheliegend, sich um ihre jeweilige Technik zu kümmern: Beim Ausfall einer Klimaanlage sucht der Gebäudetechniker aufgrund seiner bisherigen Erfahrung zunächst nach einem Fehler in der Klimaanlage selbst, und geht nicht von einem Web-Angriff auf die Anlage aus.
Vor diesem Hintergrund sind die Risiken zu bewerten, die IoT neu ins Unternehmen bringt. IoT verbindet technische (Produktions-)Systeme – mitunter auch Werkstücke oder sogar Rohstoffe – über standardisierte Kommunikationsschnittstellen mit dem Web; das eröffnet die Möglichkeit der Kontrolle und Steuerung. Allerdings nicht nur für berechtigte Nutzer, sondern im Prinzip auch für andere. Diese können entweder Informationen über die jeweiligen Systeme abgreifen – und daraus auch Rückschlüsse weit darüber hinaus ziehen – sie können aber auch die Steuerung der betreffenden Systeme übernehmen und beispielsweise Fehlfunktionen auslösen.
Es ist nicht schwer, sich entsprechende Schadens- oder Schreckensszenarien auszumalen, zumal IoT dabei ist, sich auch in kritischen Infrastrukturen, beispielsweise im Gesundheitswesen oder in der Strom- und Wasserversorgung, zu etablieren. Mittlerweile ist bereits jede vierte Maschine in der Industrie «smart», und man kann davon ausgehen, dass Smart auch die Kommunikationsfähigkeit einschliesst.
Wenn Drohnen hacken
Der einfachste konkrete Angriffspunkt ist der direkte Zugriff auf Anlagen. Vielfach erhalten externe Service-Unternehmen für Wartungsarbeiten einen unkontrollierten Zugriff auf die Steuerung von Anlagen, mitunter verschaffen sie ihn sich auch selbst, indem entsprechende Bauteile implementiert werden, die bei Bedarf dann «mit zuhause telefonieren». Einmal im Firmen-Netz heimisch lässt sich von diesen Bauteilen natürlich auch ein «Hopping» zu anderen Systemen betreiben, so dass dem Service-Dienstleister schliesslich das gesamte Netz offensteht.
Solange die Kommunikation althergebracht per Modem erfolgt, ist das durch die IT noch einigermassen kontrollierbar, wird aber eine LTE-Komponente im IoT-Gerät verbaut, hat das Unternehmen kaum eine Möglichkeit, die Kommunikation nach aussen zu unterbinden. Das gezielte Scannen und Stören von Funkverbindungen ist jedenfalls klar verboten.
Die rasante Entwicklung der Drohnentechnologie erweitert die Möglichkeiten von Angriffen auf firmeninterne Funknetze. Angreifer können Drohnen stundenlang in Höhen positionieren, in denen sie kaum mehr zu erkennen sind; von dort können sie dann zum Beispiel die Kommunikation zwischen IoT-Systemen und dem jeweiligen MES (Manufacturing Execution System) mitschneiden oder auch beeinflussen – ein Angriffsvektor, den derzeit noch die wenigsten Unternehmen auf ihrem Schirm haben. Abwehrmöglichkeiten gegen das Ausspähen durch Drohnen sind begrenzt, denn auch hier ist das Stören von Frequenzen ebenso wenig erlaubt wie das Abschiessen.
Angriffsziel LKW
Neben Industrieanlagen bilden bisher besonders Logistik und Gebäudetechnik Schwerpunkte von Angriffen auf IoT-Systeme. Es liegt in der Natur der Sache, dass in der Logistik bevorzugt mobile Verbindungen eingesetzt werden. Mittlerweile werden nicht nur LKWs mit entsprechenden Systemen ausgestattet, sondern auch Container oder sogar einzelne Paletten. Die Logistiker können auf diese Weise eine Lieferkette sehr genau automatisiert verfolgen, eröffnen damit aber Angreifern die Möglichkeit, Daten abzufangen und zu verändern.
Im Unterschied zu Industrieanlagen befinden sich LKWs oder Container nicht in einem gesicherten Umfeld; man benötigt also nicht einmal eine Drohne, sondern muss nur mit einem Lesegerät am richtigen Ort spazieren gehen. Auf diese Weise kann man nicht nur detaillierte Informationen über Lieferketten erhalten, sondern kann sie bei Bedarf auch lahmlegen.
Auch die Möglichkeiten von Angriffen auf die Gebäudetechnik werden von Unternehmen meist unterschätzt. Die relevanten Bauteile, beispielsweise Klimatechnik oder Brandmeldeanlagen, sind meist nicht geschützt, lassen sich nur selten updaten und bieten Angreifern vielfältige Betätigungsmöglichkeiten: das kann vom Verändern der Raumtemperatur – was in einem Rechenzentrum katastrophale Folgen haben kann – bis zum Auslösen einer Sprinkleranlage reichen. Drohnen, die die Kommunikation etwa eines Rauchmelders abfangen, sind ein überaus effizientes Angriffsmittel – Angreifer können hier mit sehr überschaubarem Aufwand in kurzer Zeit ganze Unternehmen ruinieren.
So schützen Sie Ihre IoT-Systeme
Die direkten Abwehrmöglichkeiten gegen derartige Angriffe sind wie erwähnt begrenzt und die meisten Unternehmen können sich ja auch nicht in Hochsicherheitszonen verwandeln. Wichtig ist aber vor allem, sich der durch IoT-Systeme entstehenden Risiken überhaupt erst einmal bewusst zu werden und sich nicht nur an deren Funktionalität zu erfreuen. Unternehmen sollten dabei folgende Fragen beantworten können:
- Welche IoT-Komponenten werden im eigenen Netz verwendet?
- Welche Verbindungen gib es nach aussen? Welche davon sind nicht erforderlich?
- Gibt es (unkontrollierte) Wartungszugänge?
- Sind von einzelnen Systemen andere zu erreichen? Lässt sich das beispielsweise durch Mikro-Segmentierung unterbinden?
- Lassen sich Funkverbindungen reduzieren oder verschlüsseln?
- Wer im Unternehmen ist für die Sicherung der IoT-Systeme verantwortlich? Verfügen die Verantwortlichen über Know-how für IT-Sicherheit?
Die Sicherung der IoT-Welt ist keine einmalige Aufgabe, erst recht nicht angesichts einer Technologie, die selbst noch im Werden ist. Umso wichtiger ist es, dass IoT fester Bestandteil einer unternehmensweiten Cyber-Defense-Strategie wird.
Zum Autor
Christian Koch
ist Senior Manager bei NTT Security, und zwar für die Themenbereiche Governance, Risk Management und Compliance (GRC) sowie Internet of Things (IoT) und Operational Technology (OT). Koch ist Diplom-Ingenieur für Informationstechnik und verfügt über mehr als 17 Jahre Erfahrung in der Informationssicherheit. Vor seiner Tätigkeit bei NTT Security arbeitete er für den IT-Sicherheitsdienstleister Secaron und für den TÜV Rheinland i-sec.
Autor(in)
Gastautor