IoT muss durch das Netzwerk abgesichert werden

security-1802613_1280Aus ökonomischen Gründen können nicht alle Geräte des Internets der Dinge mit integrierter Sicherheit auf den Markt gebracht werden. Aus diesem Grund muss die Sicherheit an einer anderen Stelle im Gesamtprozess bereitgestellt werden.

Jeder, der am Internet of Things (IoT) beteiligten Unternehmen (vom Hersteller über den Netzwerk-Provider bis hin zum Integrator und Kunden) leistet einen entsprechenden Beitrag zur Sicherheit. Im Umkehrschluss bedeutet dies, dass die beteiligten Unternehmen durch den zunehmenden IoT-Einsatz die Sicherheit gefährden. Das Kennzeichen aller IoT-Geräte besteht in deren Möglichkeiten zur Vernetzung. IoT-Geräte können nicht wie ein Toaster eigenständig betrieben werden, sondern sind immer Teil eines Netzwerks. Dadurch generieren die IoT-Komponenten einen Mehrwert.

Derzeit fokussiert sich die Aufmerksamkeit der Medien zu sehr auf die Verbraucherseite. Das Thema IoT ist „hip“ und es lassen sich viele Geräte im Heimbereich verkaufen. In vielen Fällen bleiben jedoch die IoT-Produkte in den Grundzügen stecken. Niemand denkt darüber nach, welche Auswirkungen, die für den Consumer-Bereich entwickelten IoT-Technologien, in Fabrikumgebungen haben, wenn 10.000 oder 20.000 Roboter mit entsprechenden IoT-Sensoren bestückt sind.

Es ist eine bekannte Tatsache, dass IoT in vielen Bereichen erhebliche Sicherheitsprobleme aufweist. Auch diese Tatsache ist nicht neu. Windows 95 litt ebenfalls unter erheblichen Sicherheitsproblemen. Die Ursache für viele Windows-95-Sicherheitsprobleme waren darin zu suchen, dass das Betriebssystem niemals auf Sicherheit ausgelegt war.

Bei den IoT-Komponenten finden wir vielfach simple Betriebssysteme vor, die auf simplen Hardware-Lösungen arbeiten. Diese Komponenten sind nicht auf Sicherheit ausgelegt.

 

Die Verantwortung für die Sicherheit teilen

Die IoT-Sicherheit unterscheidet sich nicht von der Absicherung der anderen Kategorie an Computergeräten im Unternehmen. Die große Differenz besteht lediglich in der Größe des Gerätepools und in der eingeschränkten Rechenleistung der IoT-Komponenten. Dies macht die Aufgabe jedoch zu einer großen Herausforderung. Würden wir das gleiche Maß an Sicherheit an einem Auto akzeptieren wie an einem Sensor, der vielleicht unsere Fenster im Bad öffnet? Die beiden Einsatzbereiche sind einfach nicht vergleichbar. Da bestimmte Einsatzbereiche weniger wertvoll sind, müssen wir akzeptieren, dass die Endpunkte unterschiedliche Sicherheitsstufen aufweisen.

Auf den Endgeräten, im Netzwerk und in der Cloud wird ein Patchwork aus unterschiedlichen Sicherheitsimplementierungen genutzt. Aus diesem Grund sind wir gezwungen, unsere Sicherheit so ganzheitlich wie möglich zu konzipieren. Dies erfordert viel Arbeit, Mühe und Investitionen. Aufgeben gilt nicht! Niemand anderes als wir kann sich um die Sicherheitslöcher und Sicherheitsrisiken in unseren Unternehmen kümmern.

Das Netzwerk ist der Schlüssel zur zukünftigen IoT-Sicherheit. Dies hat vielfach wirtschaftliche Gründe. Viele IoT-Endpunkte können einfach nicht ohne ein entsprechendes Investment abgesichert werden. Kostet beispielsweise ein Versandkarton mit integrierten hochsicheren IoT-Endpunkten zu viel, dann wirkt sich das auf das gesamte Geschäftsmodell eines Unternehmens aus.

Aus diesem Grund muss die IoT-Sicherheit anders angegangen werden. Heute konzentriert man sich in Sachen Sicherheit auf den Endpunkt. Dies entspricht dem klassischen IT-Modell. Dabei könnte das Netzwerk tatsächlich ein Ort sein, an dem die Sicherheit für die IoT-Komponenten bereitgestellt wird, die nicht für die Umsetzung von hohen Sicherheitsanforderungen geeignet sind.

Mobile-Carrier werden zukünftig eine wesentliche Rolle bei der Absicherung von IoT spielen. Angesichts der Tatsache, dass immer mehr IoT-Geräte LTE, LoRaWAN und sogar 5G nutzen, können die Carrier einen nicht unerheblichen Beitrag zur Sicherheit leisten und die Daten kontrollieren, bösartige Geräte blockieren und andere aktive Sicherheitsmaßnahmen bereitstellen. Mobile-Carrier müssen damit aufhören, einfach nur einen simplen Übermittlungskanal bereitzustellen und verstehen, dass durch ihr Zutun die Sicherheit in einer Ende-zu-Ende-Beziehung schnell und preiswert verbessert werden kann.

Im IoT-Bereich bestehen inzwischen vier Sicherheitssäulen:

  1. Die erste Säule beschäftigt sich mit der Sichtbarkeit. Diese geht weit über die Frage: „Welche Geräte arbeiten im Netzwerk?“ hinausgehen und stellen daher die Fragen „Was macht dieses Gerät tatsächlich?“ und „Wer empfängt die Daten, die das Gerät sendet?“ Das Netzwerk darf einfach nicht mehr die Fragestellung ignorieren: „Was passiert in meinem Netzwerk?“.
  2. Die zweite Säule beschäftigt sich mit der Analyse. Da intelligente Unternehmen diese Analyse bereits zum geschäftlichen Nutzens betreiben, sollte es keine große Aufgabe sein, diese Analyse auf die Sicherheit auszudehnen.
  3. Aus der Sichtbarkeit der Daten und der Analyse folgt zwangsläufig, dass die notwendige Automatisierung realisiert werden kann. Dadurch wird die menschliche Arbeitslast bei der Verwaltung von IoT-Netzwerken reduziert.
  4. Lassen sich die Prozesse wiederholen, führt dies zur letzten Sicherheitssäule, der Konsistenz. Das Haupthindernis hierbei besteht im Patchwork in der von der Industrie genutzt IoT-Standards und die Herausforderung mit all diesen Standards zu kommunizieren.
Mathias Hein, Consultant, Buchautor, Redakteur
Mathias Hein, Consultant, Buchautor, Redakteur

Um für die IoT-Komponenten die gleiche Sicherheit bereitzustellen, wie diese für PCI- oder ERP-System bereits Realität ist, muss das Netzwerk den Endpunkten und den IoT-Ressourcen entsprechende Sicherheitsfunktionen liefern. Die Unternehmen können ihren eigenen Beitrag zur Erhöhung der Sicherheit leisten. Hierzu gehört die Auswahl eines vertrauenswürdigen Anbieters bzw. Integrators, der dafür sorgt, dass die Sicherheit ernst genommen wird und keine Marketingphrase bleibt.

#Netzpalaver