IT-Security und das Internet der Dinge (IoT)

von Dirk Größer (Kommentare: 0)

Cyber-Angriffe: (Beinahe) ein Alltagsphänomen?

Die Welt um uns herum wird immer digitaler. Das Internet der Dinge (IoT) dringt zunehmend in unseren Alltag vor. Immer mehr Prozesse werden überführt und digital abgebildet bzw. nachgebildet, was auch beispielsweise an den allgegenwärtigen Smartphones zu sehen ist. Jedes digitale (smarte) Gerät sammelt Informationen, welche wiederum häufig auf Servern im Internet gespeichert werden. Damit entstehen immer mehr Daten, bzw. Datentöpfe.

Der Nutzen der Vernetzung webbasierter Dienste und der Austausch von Informationen zeigt sich in vielen Bereichen von Industrie 4.0 über Mobilität und Energie bis hin zu Gesundheit und Wohnen. Die „Digitale Transformation“ ist eine grundlegende und tiefgreifende Veränderung der Gesellschaft und der Wirtschaft.

Die damit verbundene, immer weiter steigende Komplexität der IT, die Verlagerung von Geschäftsprozessen ins Internet, viele neue Technologien und Entwicklungen erzeugen dabei permanent neue Flanken für Cyber-Angreifer. Immer öfter ergeben sich weitreichende Möglichkeiten Informationen auszuspähen oder Prozesse zu sabotieren. Zudem rüsten Cyber-Angreifer kontinuierlich auf und entwickeln ihre Angriffsmethoden und -mittel rasant weiter. Dabei ist ein hoher Professionalisierungsgrad zu erkennen.

IoT: Willst Du ein „S“ kaufen?

Bevor wir dieses oben beschriebene Szenario etwas näher betrachten, noch ein paar Anmerkungen zum Thema IoT-Devices: Das „S“ in der Abkürzung IoT steht für Sicherheit. Dieser Running-Gag, gibt (leider) die Realität sehr gut wieder. So wie es kein „S“ in IoT gibt, so sucht man häufig auch das Sicherheitsbewusstsein der Hersteller von IoT-Komponenten vergebens. Dieses ist oft nicht einmal im Ansatz erkennbar!

Das Internet der Dinge hat eine hohe Komplexität, die auch für erfahrene Entwickler eine Herausforderung darstellt. Außerdem erfordert die Integrationstiefe der IoT-Produkte oft ein Zusammenspiel von unterschiedlichen Fachspezialisten und Zulieferern. Industrie-Netze, Gebäudetechnik und diverse andere Anwendungen nutzen verschiedene Dialekte bei Feldbussen, Ethernet-Verkabelungen und drahtloser Kommunikation. Oft sind diese Standards herstellerspezifisch. So kennt allein das Industrial Ethernet sechs unterschiedliche Standards. Aber auch die Datenstrukturen von IoT-Geräten sind oft herstellerspezifisch und aus diesem Grund nicht zueinander kompatibel.

In dieser Gemengelage sind Fehlermöglichkeiten zu Lasten der Informationssicherheit und des Datenschutzes geradezu vorprogrammiert, wenn man sich als Hersteller keine Gedanken für eine langfristig tragfähige Konzeption gemacht hat.

Cyber-Angriffe: (Beinahe) ein Alltagsphänomen?

Aber nun wieder zurück zur aktuellen Bedrohungslage: Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) wurden in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Dadurch ist ein Schaden von rund 55 Milliarden Euro pro Jahr entstanden. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden.

Ohne Informationssicherheit keine Digitalisierung

Digitalisierung kann nur gelingen, wenn die damit verbundenen Risiken beherrschbar bleiben. Nur so können die Chancen und Potenziale der Digitalisierung ausgeschöpft werden. Ohne das Vertrauen der Anwender in die Integrität und die Verlässlichkeit digitaler Lösungen wird es unmöglich, für diese Lösungen eine dauerhafte Akzeptanz zu schaffen.

Und genau an dieser Stelle zeigt sich das Dilemma: Die Herausforderung für die Hersteller, Betreiber und Anwender der digitalen Lösungen und Prozesse ist es, einen lückenlosen Schutz aufzubauen und zu erhalten. Wohingegen die jeweiligen Angreifer nur eine kleine Schwachstelle identifizieren und ausnutzen müssen. Denn – die überwiegende Mehrheit erfolgreicher Cyberangriffe beruht auf nicht gut programmierter, schlecht gewarteter oder mangelhaft konfigurierter Software und Systemen.

Um die Widerstandsfähigkeit der digitalen Produkte oder Prozesse gegenüber Cyberbedrohungen zu steigern, ist es notwendig, die Anforderungen der Informationssicherheit im gesamten Lebenszyklus einer digitalen Lösung oder eines Prozesses im erforderlichen Umfang zu berücksichtigen. Also von der Planung und Konzeption, der Umsetzung, dem Betrieb bis hin zur Stilllegung.

In diesem Artikel gehe ich überblickartig auf die Phasen: Planung, Konzeption und Umsetzung ein. Da oftmals gerade dort entscheidende Versäumnisse bestehen, mit denen sich im Anschluss die Betreiber im Rahmen ihres Informationssicherheitsmanagements herumschlagen müssen.

„IT-Security by Design“: Informationssicherheit gehört in die Spezifikation

Bereits beim Design und der Planung müssen sicherheitsrelevante Anforderungen in den Spezifikationen der Anwendungen berücksichtigt werden. Denn gehört Security nicht zu den Design-Kriterien bei der Entwicklung, wird sie von den Entwicklern auch nicht abgearbeitet. Der Fokus der Architekten und Entwickler liegt gerade in dieser Phase primär auf den funktionalen Aspekten und Anforderungen der Anwendungen. Die meist nicht-funktionalen Anforderungen der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Nicht-Abstreitbarkeit, etc.) und die daraus abgeleiteten funktionalen Anforderungen, fallen dabei oft durch das Raster der Architekten.

An dieser Stelle ist es daher besonders wichtig, durch „IT-Security by Design“, die möglichen Sicherheitslücken, Schwachstellen und somit die Angriffsfläche von Anfang an zu reduzieren. Im Idealfall fließt der Sicherheitsaspekt so bereits in den Prototyp ein und wird durch alle weiteren Produktionsstufen mitgetragen. Die Hersteller verringern durch „IT-Security by Design“ ihr Haftungsrisiko und die späteren Aufwände für die Produktpflege.

Auf Anwenderseite werden zukünftige Aufwände für Wartungsprozesse reduziert, da deutlich seltener Sicherheits-Patches erstellt, getestet sowie verteilt und installiert werden müssen. Dadurch vermindern sich die Kosten einer Software im Betrieb, was letztlich als gutes Verkaufs- und Marketinginstrument taugen kann.

DevOps trifft Informationssicherheit

Der Wunsch nach „Security by Design“ ist allerdings einfacher formuliert, als in der Praxis umgesetzt. Denn gerade die oft verwendeten agilen Entwicklungsmethoden stellen die bisherigen eher sequenziell ausgerichteten Prozesse der Informationssicherheit vor die Herausforderung, mit dem Entwicklungstempo und den dynamischen Entwicklungsprozessen Schritt halten zu müssen.

Das bedeutet, dass hier sowohl auf Seiten der Entwickler und Architekten, als auch auf Seiten der Informationssicherheitsberater ein Umdenken erforderlich ist. Es muss diskutiert und bewertet werden, ob und wie sich eine (funktionale) Idee unter Sicherheitsgesichtspunkten überhaupt realisieren lässt. Wie muss die funktionale Sicherheitsanforderung aussehen und lässt sie sich konkret über alle relevanten Funktionen hinweg umsetzen?

Dabei kommt dem Risikomanagement-Prozess eine wesentliche Rolle zu. Denn man wird nicht immer alle Risiken vollständig kompensieren können. Gerade bei verbleibenden (Rest-)Risiken muss immer eindeutig sein wer das Risiko trägt und wie damit umgegangen wird. Insofern ist es notwendig, einen standardisierten und wirkungsvollen Risikomanagement-Prozess etabliert zu haben. Und diesen dann auch zu nutzen!

Typische Fragen betreffen beispielsweise in diesem Zusammenhang oft:

  • Das Rollen- und Berechtigungskonzept, welches die Grundlage für die Nutzung und den Betrieb einer Lösung darstellt. Sind alle notwendigen Rollen (Administratoren, Nutzer, Auditoren, ...) vorgesehen und durchgängig implementiert?
  • Die Schnittstellen: Hier ist zu bewerten, ob ein Sicherheitsgefälle und welcher Schutzbedarf besteht. IoT-Geräte sind oft direkt mit dem Internet verbunden, um Monitoring sowie Fernwartung zu ermöglichen. Das bedeutet, dass diese Zugänge der IoT-Geräte gemäß dem Stand der Technik abgesichert (z.B. sichere Authentisierung), als auch mit sicheren Passworten vorbelegt sein müssen („Security by Default“).
  • Das Patchmanagement, z.B. über welchen sicheren Mechanismus können remote Software-Updates bereitgestellt werden?
  • Für welchen Zeitraum sollen Updates bereitgestellt werden? Der verantwortungsvolle Hersteller zeichnet sich dadurch aus, dass er für seine IoT-Geräte über einen im Vorfeld festgelegten (möglichst langen) Zeitraum Software-Updates bereitstellt. Nur mit Updates kann auf neue Bedrohungen durch Hacker reagiert und ein hohes Niveau an Datenschutz und Datensicherheit über längere Zeit gehalten werden.
  • Die kryptografischen Algorithmen, die für die geplante Nutzungsdauer des IoT-Devices dem Stand der Technik entsprechen müssen oder aber über den oben beschriebenen Patch-Mechanismus im Bedarfsfall angepasst werden können.
  • Das Gesamtkonzept: Ist dieses schlüssig und berücksichtigt in allen Bereichen (z.B. in der Infrastruktur, der Middleware, dem Content, den Frameworks, etc.) die Aspekte der Informationssicherheit?

Sicherer Betrieb: Risikomanagement leben und weiterentwickeln

Wenn dann die Prozesse und IoT-Devices betrieben und genutzt werden, ist ein Informationssicherheitsmanagementsystem (ISMS) erforderlich, welches dazu dient, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

So, oder so ähnlich kann man das an unzähligen Stellen in der Literatur nachlesen. Daher möchte ich hier nicht erneut das Thema ISMS in der Tiefe aufgreifen. Zu diesem Thema habe ich in der Vergangenheit bereits einige Blog-Artikel1 veröffentlicht.

Leider wird in der Praxis oft übersehen, dass besagtes ISMS bereits von Anfang an (in den Phasen Planung, Konzeption und Umsetzung) erforderlich ist und nicht erst in der Betriebsphase! Mir geht es in diesem Beitrag um einige Aspekte, die gerade im Zusammenhang mit dem Betrieb von IoT-Devices gar nicht oft genug gesagt werden können.

Wie bereits schon in der Entwicklungsphase festgestellt, ist die Update-Fähigkeit ein wesentliches Merkmal von IoT-Devices. Die Geräte müssen über eine gemäß dem Stand der Technik abgesicherte Schnittstelle (remote) updatefähig und managebar sein, sodass die Betreiber-Organisation Updates verteilen kann, um damit neu bekannt gewordene Schwachstellen schließen zu können. Auch hier ist wieder der Risikomanagement-Prozess der Betreiber-Organisation wichtig. Als Betreiber muss man zeitnah bewerten, in welchem Maß und in welcher Form man von Software-Schwachstellen betroffen ist.

Häufig ergibt sich daraus ein gestaffeltes Verfahren, sodass zeitnah die unmittelbar gefährdeten und direkt aus dem Internet oder von Fremdnetzen aus erreichbaren Devices gepatcht werden. In einem zweiten, zeitlich nachgelagerten Schritt, werden dann die restlichen Devices gepatcht. Oder aber man platziert ergänzende Maßnahmen im Umfeld der betroffenen Devices, um die Ausnutzung von Schwachstellen zu verhindern, wenn noch keine Patches des Herstellers zur Verfügung stehen oder man diese erst in der eigenen Umgebung testen muss.

Die Betreiber-Organisation kann bei diesem Vorgang viel über den Hersteller der jeweiligen IoT-Devices lernen, denn der Umgang des Herstellers mit dem Sachverhalt, lässt unmittelbar Rückschlüsse auf die Qualität und Güte von Entwicklungs- und Betriebsprozessen des Herstellers zu. Somit kann diese Information in den Beschaffungsprozess der Betreiber mit einfließen und u.a. ein zukünftiges Entscheidungskriterium sein, z.B. keine Komponenten von Herstellern zu kaufen, die ihrer Verpflichtung nicht mit der erforderlichen Qualität und Geschwindigkeit nachkommen.

Die Betreiber und Anwender müssen zukünftig umdenken: Ein erforderliches Security-Update bedeutet nicht, dass etwa das gerade gekaufte Gerät schon defekt ist. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt und eine neu identifizierte Schwachstelle schließt.

1 https://ubdg.de/trends/ein-lokales-isms-fuer-die-cloud-nutzung;
  https://ubdg.de/trends/eu-dsgvo-und-informationssicherheit

 

Zurück

Einen Kommentar schreiben