IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken

Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

[datensicherheit.de, 07.08.2020] Da die Welt immer offenkundig immer mehr vernetzt wird, treten in der Folge immer mehr Geräte miteinander in Verbindung: Der Fitness-Tracker am Handgelenk z.B. überträgt drahtlos Daten auf das Smartphone, welches wiederum die Entertainment-Hubs in den vernetzten Autos auf der Fahrt steuert. „Das Smartphone ist auch der Dreh- und Angelpunkt der meisten Geschäftsverbindungen – Kontakte, E-Mail, Videokonferenzen, um nur einige zu nennen. Türklingeln, Thermostate und sogar Kühlschränke bereichern die vernetzte Welt und tauschen Daten und Befehle mit Smartphones und anderen Geräten aus“, so Greg Day, „VP“ und „Chief Security Officer, EMEA“ bei Palo Alto Networks, zur Einführung in seine aktuelle Stellungnahme zur gegenwärtigen und zukünftigen Relevanz von Cyber-Sicherheit im IoT-Kontext.

Foto: Palo Alto Networks

Greg Day zum 5G-IoT: „So viele Geräte und Objekte drahtlos zu vernetzen, schafft jedoch enorme Sicherheitsrisiken…“

Auch für IoT gilt die Erkenntnis: Das Netzwerk ist nur so sicher wie sein schwächstes Glied!

Dieses Netzwerk mit der englischen Abkürzung IoT – das sogenannte Internet der Dinge – werde „massiv wachsen“, da nun Mikrochips in Milliarden von bisher „stummen“ Objekten eingebettet seien: Von Mülleimern bis zu Robotern, von Waschmaschinen bis zu Produktionslinien werde eine Vielzahl von Objekten und Geräten Daten über eine Internetverbindung austauschen.
Die Einführung des Standards 5G sorge dabei für eine bessere Konnektivität als die herkömmlichen Festnetze und ermögliche gleichzeitig den Betrieb großer Mengen vernetzter Geräte. Drahtlose Konnektivität werde nun in großem Maßstab realisierbar. „So viele Geräte und Objekte drahtlos zu vernetzen, schafft jedoch enorme Sicherheitsrisiken, da jedes Netzwerk nur so sicher ist wie sein schwächstes Glied“, warnt Day.

Billige Mikrochips als IoT-Sensoren mit Schwachstellen

„In der vernetzten Welt könne ein 1-Dollar-Sensor an ein Milliarden-Dollar-Netzwerk angeschlossen werden. Billige Mikrochips werden auf Objekte aufgebracht und dienen als Sensoren, die Daten wie Hitze und Abnutzung messen. Die Sensoren sind klein, leicht und preiswert, aber ihnen fehlt in der Regel jede Art von Sicherheitssystem.“
Bei einem spektakulären Hack in Las Vegas seien Cyber-Angreifer in das digitale Netzwerk eines Casinos eingedrungen. Über einen Wärmesensor im Aquarium in der Lobby hätten sie sich Zugang zu den persönlichen Daten hochkarätiger Kunden verschafft. Day: „Cyber-Sicherheitsexperten deckten den Angriff auf, aber erst, nachdem bereits Daten herausgeschleust worden waren.“ Dieses Beispiel zeige, dass nicht überwachte Sensoren im Internet der Dinge eine Welt voller Gefahren schafften. Sie eröffneten immer mehr Einstiegspunkte, durch die Angreifer in Netzwerke eindringen könnten.

Alle im IoT vernetzten Geräte müssten auf Sicherheitsbedrohungen zu scannen sein

Zwar konzentrierten sich Geschäftsführer, Finanzdirektoren und Betriebsabteilungen zu Recht auf die verlockenden kommerziellen Möglichkeiten, welche die vernetzte Welt biete. Sie müssten aber auch wachsam bleiben, wenn die Gefahr von Sicherheitsverletzungen zunimmt. „Sicherheitsverantwortliche sollten daher mit der Faust auf den Tisch des Vorstands schlagen und auf Risikobewertungen, Sichtbarkeit und Segmentierung bestehen“, fordert Day sehr entschieden.
In dem Maße, wie die allgegenwärtige Konnektivität zunehme, werde die Zahl der mit Netzwerken verbundenen Geräte für große Unternehmen von Tausenden auf Millionen anwachsen. „Die Risiken werden spiralförmig ansteigen.“ Die Unternehmen würden auf Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) basierende Tools auf hohem Niveau benötigen, um all diese Geräte im Auge zu behalten. Ebenso werde hoch entwickelte Technologie erforderlich sein, um die vernetzten Geräte auf Sicherheitsbedrohungen zu scannen.

Konkretisierung der Terminologie vs. IoT als Werbebegriff

Sicherheitsverantwortliche hätten die Aufgabe, ihre Vorstände über die Risiken der Konnektivität aufzuklären und die für die Sicherheit notwendigen Lösungen und Budgets abzustecken. Der erste Ort, um damit zu beginnen, sei die Terminologie. „So vermittelt der Begriff ,Internet der Dinge‘ ein falsches Gefühl von Sicherheit. Es ist ein Werbebegriff“, so Day.
Geschäftsleute neigten dazu, das Internet der Dinge mit Konsumgütern wie Fitness-Tracker und Kühlschränke in Verbindung zu bringen. Sie stellen sich demnach vor, das IoT unterscheidet sich vom Industriellen Internet der Dinge (Industrial Internet of Things, IIoT), welches Roboter und Produktionslinien und andere industrielle Netzwerke wie OT (Operational Technology) und ICS (Industrial Control Systems) steuert. Zu diesen Industriellen Netzwerken gehörten beispielsweise jene, welche „in Kernkraftwerken eingesetzt werden, die das Ziel des berühmten ,Stuxnet‘-Angriffs waren“. Heute seien diese Systeme vollständig segmentiert. „Ein Teil der Macht, Dinge intelligent zu machen, besteht jedoch genau darin, sie mit anderen Dingen zu verbinden, um noch intelligentere Systeme zu schaffen.“

Warnung: IoT für Verbraucher könnte leicht zum Gateway in Industrielle Netzwerke werden

Day präzisiert: „In dem Maße, wie alles immer mehr miteinander verbunden wird, könnte das IoT für Verbraucher leicht zu einem Gateway in Industrielle Netzwerke werden. Ein Unternehmen könnte in seinem Bürogebäude einen intelligenten Verkaufsautomaten aufstellen und diesen drahtlos über das Internet mit einem Lieferanten verbinden, um den Inhalt aufzufüllen. Der Verkaufsautomat würde sich wahrscheinlich im selben Computernetzwerk befinden wie das Gebäudemanagementsystem, welches die Klimaanlage und andere Funktionen steuert.“
Dies mache diese Systeme anfällig für menschliche Fehler, wie etwa temporäre Verbindungen, welche aus Zeitgründen vorgenommen und die dann nie wieder entfernt würden. Das Unternehmen könnte auch einen Wert darin sehen, „dass das industrielle und das geschäftliche Netzwerk miteinander verbunden werden, was wiederum ein Risiko darstellt“.

Illegales Software-Update könnte leicht IoT-Komponenten bedrohen

In solchen Fällen könnte etwas so Einfaches wie ein illegales Software-Update, das auf den autonomen Automaten geladen wird, möglicherweise Code an die Produktionsanlage senden und diese stilllegen. „Ein Schaden in Millionenhöhe wäre die Folge. Das mag wie ein Weltuntergangsszenario klingen, aber es ist absolut realisierbar.“ Solche Angriffe seien bereits auf Geldautomatennetzwerke verübt worden, bei denen Angreifer Code in das Netzwerk eingeschleust hätten, um Gelder umzuleiten.
Eine weitere Herausforderung liege in der Fülle von Protokollen und Sprachen, welche vernetzte Geräte zum Senden und Empfangen von Daten verwenden. Software für Künstliche Intelligenz und Maschinelles Lernen könne diese Sprachen lesen und übersetzen. Da jedoch jeden Tag neue Geräte und Dienste auf den Markt kämen, sei dies ein bewegliches Ziel, und die Software müsse regelmäßig überprüft werden, um eine möglichst effektive Überwachung zu gewährleisten.

Segmentierung der IoT-Anlagen entscheidend für Schutz strategischer Operationen

Ein wichtiger Schritt zur Sicherung eines Netzwerks bestehe darin, die kritischen Aktivitäten des Unternehmens zu identifizieren und sie mit Schutzmaßnahmen zu umgeben. Für produzierende Unternehmen sei die Produktionslinie der Schlüsselprozess. Die wesentlichen Maschinen müssten von anderen Teilen des Internetnetzwerks des Unternehmens wie Marketing, Vertrieb und Buchhaltung getrennt werden, stellt Day klar. „Für die meisten Unternehmen sind nur fünf bis zehn Prozent des Betriebs kritisch. Die Segmentierung dieser Anlagen ist entscheidend für den Schutz strategischer Operationen vor Angriffen.“
Eines der größten Risiken der vernetzten Welt bestehe darin, dass etwas recht Triviales, wie ein billiger IoT-Sensor, der in eine Türklingel oder ein Aquarium eingebaut ist, am Ende einen enormen Einfluss auf ein Unternehmen haben könnte. „Dies wäre der Fall, wenn eine solche Komponente in den falschen Kommunikationsfluss gerät und zu einem Einstiegspunkt für einen Cyber-Angriff wird.“

Jedes IoT-Gerät sollte sich nur zweckgebunden mit anderen verbinden dürfen

Um diesen Risiken zu begegnen, sollte die Segmentierung im Mittelpunkt der damit verbundenen Strategie jedes Unternehmens stehen. „Das bedeutet, den Zweck jedes Geräts und Objekts, das mit einem Netzwerk verbunden ist, zu definieren und Grenzen zu setzen. Das jeweilige Gerät sollte sich nur mit den Teilen des Netzwerks verbinden dürfen, die erforderlich sind, um einen bestimmten Zweck zu erfüllen.“
Bei 5G helfe ein als „Network Slicing“ bekanntes System bei der Segmentierung: Diesea trenne mobile Daten in verschiedene Ströme. Jeder Datenstrom sei vom nächsten isoliert, so dass das Ansehen von Videos auf einem separaten Datenstrom gegenüber einer Sprachverbindung erfolgen könne. Dadurch werde das System in handhabbare Abschnitte unterteilt, was auch die Sicherheit erhöhe, da die verschiedenen Operationen getrennt und segmentiert blieben. Um eine allgemeine Segmentierung zu erreichen, müssten Unternehmen ständig alle ihre Verbindungen, Geräte und vernetzten Elemente analysieren und eine klare Vorstellung vom Zweck jedes einzelnen haben.

IoT im Klartext: Es geht um allgegenwärtige Konnektivität

Day kritisiert: „Der Begriff IoT trivialisiert die Konnektivität, ohne eindringlich auf die Gefahren einzugehen. Führungskräfte in der Wirtschaft neigen dazu, unterschiedliche Vorstellungen davon zu haben, was IoT ausmacht.“ Für die einen umfasse es einen an einen Home-Computer angeschlossenen Drucker, für die anderen erstrecke es sich auf Gebäudemanagementsysteme und intelligente Stromzähler, andere verstünden darunter Verbindungen zu Industriellen Netzwerken. Eine solche Verwirrung untergrabe die Aufgabe, jedes an das Netzwerk angeschlossene Gerät zu schützen und zu segmentieren.
Aus diesem Grund wäre es besser, von der „allgegenwärtigen Konnektivität“ zu sprechen, da dies den zusammenhängenden Charakter der Geräte hervorhebe. Das IoT werde derzeit jedoch vor allem als gewinnsteigernde Geschäftsmöglichkeit beworben, ohne die Risiken zu erwähnen. Die „allgegenwärtigen Konnektivität“ dagegen helfe Führungskräften zu verstehen, „dass mit der Konnektivität auch Sicherheitsrisiken verbunden sind“. Days Aufforderung gegenüber Führungskräften: „Sie sollten begreifen, wie wichtig es ist, Sichtbarkeit, Überwachung und Segmentierung in ihre Strategien einzubauen.“

Weitere Informationen zum Thema:

SecurityRoundtable.org, Sam Greengard, 26.02.2018
With Iot, Security Must Be Built in from the Beginning