Aktuelles, Branche - geschrieben von am Dienstag, Juni 5, 2018 17:39 - noch keine Kommentare

Internet der Dinge: Betriebssicherheit und IT-Sicherheit müssen ganzheitlich konzipiert werden

Etliche Schwachstellen existieren vermutlich schon seit Jahren im Verborgenen

[datensicherheit.de, 05.06.2018] Mittlerweile kommt es vor, dass bereits die Steuerung von Licht und Heizung über „Amazon Echo“ erfolgt, die Leistung eines PKW aus der Ferne („remote“) analysiert wird, um potenzielle Fehler zu diagnostizieren, und manche Anwender verlassen sich auf die automatisierte Verwaltung von Systemen in betrieblichen Umgebungen. Das Internet der Dinge (engl. „Internet of Things“ – IoT) bestimmt also bereits viele Aspekte unseres alltäglichen Arbeitens und Lebens. John Grimm, „Senior Director of IoT Security Strategy“ bei Thales eSecurity: „Ein Ende des Booms ist nicht abzusehen. In immer neuen Studien gehen die prognostizierten Zahlen weiter nach oben.“ Inzwischen gingen Schätzungen davon aus, dass die Zahl der vernetzten Geräte innerhalb der nächsten drei Jahre auf 30 Milliarden anwachsen werde – „bereits im Jahr 2025 soll sie sogar bei 80 Milliarden Dingen liegen“, so Grimm. Diese enorme Anzahl vernetzter Dinge und damit verbundener Prozesse bringe naturgemäß mehr Schwachstellen mit sich. „Schon jetzt zeichnet sich ab, dass wir in Zukunft nicht nur mehr Angriffe zu erwarten haben, sondern auch eine größere Bandbreite an Attacken“, warnt Grimm. Bei einer derart riesigen Angriffsfläche seien die potenziellen Schäden kaum absehbar.

Gefahr ist real

„Dass die Gefahr inzwischen real ist, haben wir in der jüngeren Vergangenheit schon mehrfach beobachten dürfen. So konnte etwa eine Schwachstelle in dem Netzwerk-Controller identifiziert werden, den die meisten aktuellen Fahrzeugtypen verwenden. Über diese Schwachstelle haben Angreifer beispielsweise die Möglichkeit, die Sicherheitsfunktionen des betreffenden PKW auszuhebeln wie etwa das ABS-Bremssystem, die Servolenkung oder die Air Bags“, berichtet Grimm.
Bekannt sei auch der in den USA aufgetretene Fall, als die Food and Drug Administration (FDA) 465.000 Patienten, Träger eines bestimmten Typs vernetzter Herzschrittmacher, aufgefordert habe, ihren Arzt aufzusuchen um ein Update der Firmware einzuspielen. Der Grund für diese aufsehenerregende Aktion seien Schwachstellen gewesen, über die ein Hacker die Geräte übernehmen und die Patienten einem gesundheitlichen Risiko hätte aussetzen können.
„Das ist nur die Spitze des Eisbergs. Etliche solcher Schwachstellen existieren vermutlich seit Jahren im Verborgenen. Bisher hat sie nur noch niemand gefunden. Mit der Zahl der für unterschiedliche Bereiche eingesetzten Geräte, werden die Ziele für Hacker zunehmend interessanter. Ein Trend, der uns sicherlich noch eine Weile begleiten wird“, vermutet Grimm.

Betriebssicherheit und IT-Sicherheit als Einheit betrachten!

Erfolgreiche IoT-Anwendungen beschränkten sich längst nicht auf Geräte für Endverbraucher. Mit der starken Automatisierung in der produzierenden Industrie und im Maschinenbau habe das sogenannte Industrielle Internet der Dinge (Industrial Internet of Things – IIoT) Einzug gehalten. Grimm: „Ein Paradigmenwechsel. Denn hier bringt die Technologie zwei bisher mehr oder weniger getrennt voneinander existierende Ebenen näher zusammen – die der betrieblichen Prozesse, die Operational Technology (OT), und die IT.“
Sicherheitsüberlegungen in der produzierenden Industrie beschränkten sich traditionell auf die physische Sicherheit und die Sicherheit der Mitarbeitenden. Allerdings seien Fabrikhallen heute zunehmend vernetzt. Ganze Produktionsanlagen und Fertigungsstraßen könnten aus vernetzten Geräten bestehen. Das bringe traditionelle Sicherheitskonzepte mit solchen für die IT-Sicherheit näher zusammen, stelle aber auch hohe Anforderungen an die Cyber-Sicherheit. Denn es gelte sowohl Fabrikationsgebäude als auch Produktionsanlagen vor Bedrohungen von Außen zu schützen, ebenso die Mitarbeitenden.

Sicherheit wird zum Qualitätsmerkmal für Kaufentscheidungen

Mit der steigenden Zahl von Angriffen und Datenschutzverletzungen, die es mittlerweile routinemäßig in die Nachrichtensendungen und Schlagzeilen schafften, seien die Konsumenten in Sachen Sicherheit deutlich aufmerksamer geworden, wohl auch misstrauischer.
Grimm: „Wir sind derzeit noch nicht an einem Punkt, an dem Datenschutzverletzungen und potenziell auszunutzende Schwachstellen die Kaufentscheidungen der Verbraucher signifikant beeinflussen. Aber das Blatt beginnt sich zu wenden.“
Um sich das Vertrauen der zunehmend sicherheitsaffineren Konsumenten zu erhalten, müssten die Hersteller selbst die Initiative ergreifen. Es gelte existierende Schwachstellen aufzudecken und zu adressieren. Wenn Anbieter es nicht schafften potenzielle Datenlecks effizient und sicher zu beseitigen, werde das dem Absatz der Produkte definitiv schaden. Die Folgen eines Vertrauensverlustes seien noch weitreichender: „Sie betreffen nicht nur die Zahl der verkauften Produkte, meistens nimmt die gesamte Marke Schaden“, unterstreicht Grimm. Und dieser Vertrauensverlust betreffe mittelbar sämtliche IoT-Anwendungen.

Softwaresicherheit als Dreh- und Angelpunkt

„Die Hersteller sind gefragt, auch im eigenen Interesse. Anbieter und Hersteller vernetzungsfähiger Geräte müssen stärker als bisher bewährten Empfehlungen folgen und das Sicherheitsdesign ihrer Produkte von Anfang an strenger beachten. Geräte für Endverbraucher zeichnen sich leider nach wie vor eher durch angesagte Features und einen erschwinglichen Preis aus. Bei diesen Geräten sind die Standardsicherheitsmaßnahmen keinesfalls ausreichend. Ein Beispiel dafür sind fest programmierte Passwörter, die der Benutzer nicht selbst verändern kann. Das öffnet einem unerwünschten administrativen Login eines remote agierenden Hackers Tür und Tor.“
Um das zu verhindern, würden Hersteller nicht umhin kommen, der Softwaresicherheit mehr Aufmerksamkeit zu widmen. Das fange schon bei der Entwicklung an – diese folge bisher nur selten den „Best Practices“ der IT-Sicherheit. Die Software sollte, wie sonst auch, Schwachstellentests unterzogen werden, und vor allem sollte es Mechanismen geben, die über den gesamten Lebenszyklus hinweg Authentizität und Integrität absichern. Nur dann sei gewährleistet, dass sich Patches und Updates zukünftig einspielen lassen.

Sicherheit als Eckpfeiler für geschäftsunterstützende Prozesse

IoT-Sicherheit sei für existierende und zukünftige Anwendungen unumgänglich. Die Anbieter hätten es in der Hand, die Voraussetzungen dafür zu schaffen.
„An dieser Stelle sollten sich alle Beteiligten endlich davon verabschieden, Sicherheit als Hürde zu betrachten statt als Eckpfeiler für geschäftsunterstützende Prozesse. Die Unternehmen, die Sicherheit richtig verstehen, verfügen über einen immensen Wettbewerbsvorteil gegenüber denen, die sich an dieser Stelle schwer tun. Und das nicht zuletzt aus kommerziellen Überlegungen heraus“, betont Grimm.
Verbraucher würden sich bei ihren Kaufentscheidungen zunehmend von Aspekten wie Betriebs- und IT-Sicherheit bei vernetzten Geräten leiten lassen. Das werde langfristig allen Anwendungen und Nutzern im IoT gut tun und die Entwicklung befördern.

Weitere Informationen zum Thema:

datensicherheit.de, 09.05.2018
Cybersecurity Trends 2018: TÜV Rheinland veröffentlicht neues Whitepaper

datensicherheit.de, 13.01.2017
Netzwerksicherheit im Zeitalter von Internet of Things und Industrie 4.0

datensicherheit.de, 06.04.2016
eco Report: Internet of Things starker Treiber für die IT-Sicherheit

datensicherheit.de, 13.11.2014
Internet of Things: Security & Safety by Design erfolgsentscheidend



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung