Die IT-Sicherheit gehörte bisher nicht zu den notwendigen Kernkompetenzen zur Realisierung einer Beleuchtung oder anderer Infrastrukturobjekte in einem Gebäude. Mit der Integration von Internet of Things (IoT) in diese Gewerke muss die Sicherheit aber von Anfang an auch in diesen „Nicht-IT-Projekten“ konsequent umgesetzt werden.
Das Internet der Dinge (IoT) ist spannend und entwickelt sich mit rasender Geschwindigkeit weiter. Aber vor lauter Entwicklungseifer werden bei vielen IoT-Projekten die grundlegenden Sicherheitsregeln verletzt. Das geht so lange gut, bis man eines Tages vor einem Scherbenhaufen steht und sich fragt: „Wie konnte es nur so weit kommen?“
Mit LED-Beleuchtungen lässt sich sehr viel Geld sparen. Dieser Einsparfaktor macht jedoch auch viele Unternehmen blind. Alles, was die Manager noch wahrnehmen, sind die zu erzielenden Einsparungen. Da diese Systeme jedoch über die Unternehmensnetzwerke gesteuert werden, wird meist die Investition in die für den Betrieb notwendige Sicherheit unterschlagen.
Vor nicht allzu langer Zeit wohnte ich einer Einweihung eines neu installierten LED-Beleuchtungssystems in einem großen Unternehmen bei. In den Gebäuden steuert ein Facility-Manager die Lichter über einen zentralen Controller bzw. über die darauf arbeitende Anwendung. Die Software erzeugt die benötigten Beleuchtungsschemata und schaltet die Lichter zeitbezogen ein bzw. aus. Die in den Steuerungssystemen einmal eingestellten Beleuchtungsschemata bleiben normalerweise konstant, aber durch neue Technologien lassen sich inzwischen die Beleuchtungsfarben und die Lichtintensität individuell einstellen.
In dem dargestellten Projekt nutzte das Lichtsystem den offenen Port 80 zur Kommunikation mit dem Rest der Welt. Somit konnte sich jeder Nutzer am angeschlossenen Unternehmensnetz problemlos von seinem Browser auf das sündhaft teure Beleuchtungssystem zugreifen und es nach belieben steuern. Darüber hinaus hatte das Unternehmen dem Auftragnehmer (Installateur) mitgeteilt, dass das Beleuchtungssystem über Smartphones oder andere mobile Geräte (via dem hauseigenen WLAN) zugreifbar sein muss. An den Schutz des Lichtsystems hat kein Mensch gedacht.
Da das Beleuchtungssystem von Haus aus nicht sicher war, bestand eine schnelle Lösung zur Abwehr der schlimmsten Angriffe darin, den Zugangs-Port für die Webschnittstelle des Controllers zu ändern und diesen Zugang auch noch mit einem Kennwort zu belegen. Wir legten fest, dass das Passwort neben den normalen Buchstaben auch ein Sonderzeichen enthalten sollte. Wir setzten das Passwort….. und mussten Erkennen, dass der Controller sofort nicht mehr zu erreichen war.
Aufgrund früherer Erfahrungen, vermutete ich, dass das Sonderzeichen die Ursache für das Problem sein könnte. Als ein Vertreter des Herstellers vor Ort eintraf, nutzten wir dessen Spezial-Software, um auf das System zuzugreifen. Der Vertreter des Herstellers konnte jedoch auch nicht auf das System zugreifen. Erst durch die Eingabe des Standardbenutzernamens (admin) und Eingabe des Passworts, das ich für den Controller festgelegt hatte, erhielten wir endlich den gewünschten Systemzugriff.
Als nächstes haben wir das Passwort geändert und das Sonderzeichen daraus entfernt. Dadurch erhielten wir wieder einen Zugriff über die Webschnittstelle des Systems. Der Vertreter des Herstellers bemerkte dann, dass seine Beleuchtungsprogramme mit den Namen „Lights Day“ und „Lights Low“ nicht mehr funktionierte. Nach längerer Suche entdeckten wir, dass wir die Programmnamen einfach ändern mussten, dass diese wieder korrekt arbeiteten. Diese Programme heißen jetzt: „Day Lights“ und „Low Lights „.
Solche Feinheiten treten jedoch nicht nur bei Beleuchtungssystemen auf, sondern auch andere Produkte verfügen über nicht dokumentierte und oftmals wenig überprüfte Features. In einem Fall mussten wir die technische Supportgruppe eines Herstellers wegen diverser Probleme öfter konsultieren. Meist bekamen wir Gelegenheiten die gleiche Antwort: „Sie müssen einfach nur das Programm von einer SD-Karte löschen und dann ihr Backup-Programm für die Beleuchtungssteuerung abzüglich der Passwortanforderung laden!“ So offensichtlich wie dies aus des Herstellers Mund klang, war es für uns Techniker vor Ort jedoch nicht.
Ein schwerwiegendes Problem bei der Einrichtung von IoT in Unternehmensnetzen stellen die Firewalls dar. Die Filterung von Inhalten bringt Ordnung in die Datenströme, aber die Filter können auch bestimmte Daten blockieren. Will man ein solches Verhalten vermeiden, müssen Regeln definiert werden, die die betreffende Firewall durchlässiger macht. Dies hat jedoch den Nachteil, dass die Sicherheit aufgeweicht wird.
Die langfristige Antwort auf diese Frage lautet: die für IoT genutzte Hard- und Software muss durch etwas Sichereres ersetzt werden. Kurzfristig bleibt dem Anwender jedoch nichts anderes übrig als sich mit dem IoT-Hersteller zu arrangieren und für das Problem ein Workaround zu finden..
Die IT-Abteilung muss eine aktive Rolle bei IoT-Implementierungen übernehmen, da von den meisten IoT-Herstellern keine praxistauglichen Lösungen angeboten werden. Hat man das Ruder als IT-Abteilung in der Hand, dann muss man nicht im Nachhinein die Löcher stopfen, die andere Abteilungen verursacht haben. Wenn man am Steuerrad steht, kann man problemlos den Zugang dieser Komponenten zum Netzwerk verweigern. Damit hält man sich viele Probleme vom Hals und sorgt dafür, dass die im Unternehmen gültigen Sicherheitsrichtlinien auch eingehalten werden.
Fazit
In Zukunft ist zu erwarten, dass die IoT-Flut auch unser Unternehmen erreicht. Immer mehr Geräte drängen dadurch in unser Unternehmensnetzwerk. Alles neue wird ausprobiert und das Management wird diese Neuerungen auch bewilligen, wenn diese versprechen das die Kosten gesenkt oder Prozesse verbessert werden. Wir sollten uns nicht von den Hochglanzprospekten und den Marketingsprüchen blenden lassen, der Großteil der IoT-Komponenten ist noch nicht marktreif oder weist erhebliche Sicherheitsmängel auf. Da uns die Unternehmenssicherheit am Herzen liegt, muss vermieden werden, dass solche „minderwertigen“ Systeme ins Unternehmen gelangen.
#Netzpalaver
