IoT Security: Eine Checkliste

Erfahren Sie, mit welchen Maßnahmen Sie IoT-Security in Ihrem Unternehmen umsetzen.

Das Internet of Things (IoT) verbindet immer mehr Geräte miteinander oder mit der Cloud. Doch die Vernetzung und der Austausch von Daten bringen neue Security-Gefahren mit sich. Schutz bieten Maßnahmen wie die Segmentierung des Netzwerks, verschlüsselte Datenübertragung oder eine granulare Kontrolle der Anwendungen und Benutzeraktivitäten im IoT.

Wenn Windräder, Kraftwerke, Sensoren aller Art, Smart-Home-Systeme, Autos oder Maschinen über das Internet of Things vernetzt werden, entstehen neue Angriffsflächen und Einfallstore für Hacker – vom Endgerät über den Übertragungsweg bis hin zum Backend. Tatsächlich herrschte bereits 2020 im IoT Alarmstufe Rot. Dem IT-Security-Anbieter Zscaler zufolge stieg die Zahl der Angriffe mit IoT-Malware innerhalb eines Jahres von 2.000 pro Monat im Jahr 2019 bis März 2020 auf 14.000 Attacken monatlich – Tendenz weiter steigend.

Kein Wunder also, dass Unternehmen Sicherheitsrisiken durch die zunehmende Vernetzung von Geräten befürchten. Das zeigen die Ergebnisse der aktuellen Studie „Internet of Things 2021“ von IDG Research. Security/Datenintegrität nennen hier die meisten Firmen als größte technische Herausforderung bei IoT-Projekten, gefolgt von Datensicherheit/Disaster Recovery.

Welche Gefahren und Angriffspunkte gibt es im IoT?

Das IoT ist prinzipiell an vier Punkten verletzbar: den IoT-Geräten selbst, der App etwa zur Verwaltung von IoT-Daten und -Anwendungen, den Übertragungswegen und dem Backend für die Verarbeitung von Daten, das sich oft in der Cloud befindet.

Das Problem: Nicht wenige Anbieter legen bei ihren IoT-Geräten oder IoT-Produkten vor allem Wert auf Funktionalität, einfache Bedienung und eine schnelle Marktreife. Weniger aber auf Sicherheit oder Security by Design. Denn ein größeres Augenmerk auf die Integration von Sicherheitsfunktionen bereits bei der Entwicklung des IoT-Produkts kostet Zeit und Geld und verzögert die Marktreife.

Zudem fehlt häufig eine Update-Strategie für die Schließung von Sicherheitslücken. Es ist dann nicht klar, wie oft, in welchem Abstand und vor allem wie lange die Anbieter ihre IoT-Produkte mit Software-Updates oder Sicherheits-Patches versorgen. Denn IoT-Sicherheit ist kein einmaliges Ereignis, sondern ein kontinuierlicher Prozess. Das gilt vor allem für vernetzte Industrieanlagen und Maschinen im Produktionsumfeld (Industrie 4.0), die zehn Jahre oder länger im Einsatz sind. Sie benötigen langfristig Updates.

Besonderes Risiko bei Industrie 4.0

Mit der zunehmenden Vernetzung von IT und Produktion über das IoT wachsen natürlich auch die Sicherheitsrisiken. So können Angreifer zum Beispiel mit der Suchmaschine Shodan einfach nach ungesicherten Industriegeräten und -systemen weltweit suchen, die direkt mit dem Internet verbunden sind. Hinzu kommt, dass das Internet der Dinge die ursprünglich voneinander isolierten Bereiche der Office-IT und der OT (Operation Technology) aka Produktionsnetz miteinander vernetzt.

In der Produktion laufen oft ältere, meist geschlossene Systeme, bis dato ohne Anbindung an das Internet. Durch die Vernetzung von IT und OT werden diese Netzwerkübergänge zu einem potenziellen Einfallstor für Hacker.

Dort könnten dann Malware oder andere unerwünschte Programme von der IT-Infrastruktur aus in die Produktionsumgebung gelangen – mit verheerenden Folgen wie einem Stillstand der Produktion, manipulierten Rezepturen in der Chemieindustrie oder Stromausfällen, wenn ein Kraftwerk lahmgelegt wird. Schließlich wurden die bestehende Industriesystemen ursprünglich nicht für eine Internet-Verbindung konzipiert, geschweige denn mit einem Fokus auf IT-Sicherheit entwickelt, sprich den Schutz vor Angreifern oder vor Sabotage.

Daher gibt es auch selten regelmäßige Software-Updates für Industrie-PCs. Der Schwerpunkt liegt hier vor allem auf Safety, also der Verfügbarkeit der Systeme und physische Sicherheit. Daher überrascht es nicht, dass in der bereits erwähnten IoT-Studie von IDG Research 57 Prozent der Befragten folgendem Statement voll und ganz bis eher zustimmen: „Im OT-Bereich gibt es kein Sicherheitsbewusstsein! Es ist nicht ausreichend bewusst, dass durch Industrial IoT Maschinen sozusagen ‚im Internet stehen‘.“

Vielschichtige Maßnahmen: So können Firmen ihre IoT-Umgebungen schützen

Natürlich gibt es auch für IoT-Infrastrukturen keine hundertprozentige Sicherheit, ein Restrisiko bleibt immer. Ziel muss es aber sein, die Schutzmaßnahmen so zu gestalten, damit der Aufwand für Hacker so hoch wird, dass sich für sie ein Angriff etwa auf eine Produktionsumgebung nicht lohnt. Basis für die konkreten Maßnahmen ist eine Risikoanalyse. Wer seine Risiken kennt, kann die richtigen Vorkehrungen treffen und seine IoT-Landschaft vor den größten Bedrohungen schützen.

Die Bedrohungs- und Risikoanalyse besteht aus grundsätzlichen Fragen wie: Von wem geht das größte Risiko für das Geschäftsmodell aus? Wie wahrscheinlich ist ein Angriff? Wie handelt ein potenzieller Angreifer? In welchem Bereich drohen die größten Gefahren? Welche Daten sind unternehmenskritisch, welches Risiko ist für sie akzeptabel? Was kann im schlimmsten Fall passieren?

Aus dieser Risikobewertung ergeben sich letztendlich die notwendigen Schritte für den Schutz der IoT-Umgebung.

IoT-Security: die Checkliste

In der folgenden Checkliste haben wir einige grundsätzliche Maßnahmen für sichere IoT-Anwendungen zusammengestellt:

1. Segmentierung des Netzwerks: Aufteilung eines größeren Netzwerks in mehrere, logisch getrennte Zonen, die autark arbeiten
2. Multifaktor-Authentifizierung für den Zugriff auf IoT-Geräte und -Anwendungen
3. Verschlüsselung bei den Geräten, beim Gateway oder der Verbindung zum Backend
4. Zentrales Geräte- und Zertifikats-Management, um die Identität und Echtheit aller vernetzten Geräte festzustellen und zu gewährleisten
5. Least-Privilege-Prinzip: Jeder Nutzer, jedes System erhält nur die Rechte, die für eine spezielle Funktion notwendig sind.
6. Granulare Kontrolle der Anwendungen und Benutzeraktivitäten im Netzwerk
7. Security by Design: Sicherheit bei der Entwicklung von IoT-Geräten und -Anwendungen von Anfang an mitdenken
8. Technik: Einsatz von Security-Lösungen wie IAM (Identity und Access Management), Intrusion Prevention Systemen (IPS) zur Erkennung und Abwehr von Angriffen oder Speziallösungen etwa zum Schutz von IoT-Geräten und -Anwendungen, Industrieanlagen oder anderer kritischer Infrastruktur
9. Langfristige Update-Strategie zum Schließen von Sicherheitslücken auf den Endgeräten und im Backend
10. Bewährte Standards, Frameworks und Bibliotheken nutzen
11. Spezieller Schutz für mobile Geräte, die an die Produktionsumgebung angeschlossen sind
12. Threat Intelligence: Sammeln von Informationen zum IoT-Datenverkehr etwa über Software-Sensoren und Analyse mit Hilfe von Machine Learning, um Anomalien und Hinweise auf mögliche Angriffe zu erkennen.
13. Einsatz von Netzwerk-Gateways mit integrierten Sicherheitsfunktionen, die Daten der IoT-Endpunkte sammeln und sie zur Analyse sicher in das Netzwerk oder die Cloud übertragen.
14. Security Awareness: Sensibilisierung und Schulung der Mitarbeiter zu den potenziellen Gefahren

Wie Firmen mit Hilfe von IoT-Plattformen ihre Anwendungen besser schützen können, lesen Sie zudem im Artikel IoT und Cloud in der Industrie: So erreichen Sie mehr Sicherheit.

Titelbild von jeferrb auf Pixabay

Beitragsbild von Darwin Laganzon auf Pixabay