Was gehört unbedingt auf die IoT-Sicherheitscheckliste?

Mathias Hein, Consultant, Buchautor, Redakteur
Mathias Hein, Consultant, Buchautor, Redakteur

Eine der Voraussetzung für eine große Verbreitung von IoT-Geräte (Internet of Things) ist deren geringer Beschaffungspreis. Ein niedriger Preis kann jedoch zur Folge haben, dass der Hersteller an der Sicherheit der Geräte sparen musste. Auch kann der Aspekt der Sicherheit beim Einsatz von IoT-Geräten übersehen werden. Aus diesen Gründen muss die IT aktiv und bei der Planung und Installation von IoT-Lösungen eingebunden werden, damit das Unternehmen mögliche Risiken im Zusammenhang mit der Einführung von IoT-Geräten richtig beurteilen kann und keine Schatten-IoT in der Firma entsteht.

Die IoT-Sicherheit erfordert eine Betrachtung aller Sicherheitsaspekte, sowohl im Makro- als auch im Mikrobereich. Der Planer muss ein IoT-Projekt sowohl von der globalen als auch von der ganzheitlichen Seite betrachten und darf sein Augenmerk nicht nur auf die IoT-Geräte legen. Zu einem IoT-Projekt gehören immer auch die Netzwerke (also die Verbindungen zwischen den IoT-Komponenten), die Managementplattformen und die relevanten Compliance- und Regulierungsstandards.

Eine starker IoT-Sicherheit umfasst immer auch Identifizierungs- und Authentifizierungsprozesse, unabhängig davon, ob die Lösung im industriellen oder privaten Umfeld genutzt wird.

Da die IoT-Daten wahrscheinlich über das Internet übermittelt werden, muss sichergestellt werden, dass die Daten verschlüsselt werden. Darüber hinaus muss gewährleistet sein, dass die derzeit genutzte Managementplattform die IoT-Geräte auch unterstützt.

Soll eine Edge-Computer-Lösung realisiert werden, dann muss untersucht werden, ob diese Lösung die notwendigen Sicherheitsfunktionen bereitstellt und die Edge-Computer-Lösung muss auf mögliche Angriffsflächen und Schwachstellen untersucht werden.

Bei aller Technologie darf jedoch nicht vergessen werden, die für das betreffende Unternehmen (bzw. der jeweiligen Branche) relevante Compliance- und regulatorische Anforderungen in Bezug auf die Übertragung und Speicherung von IoT-Daten zu überprüfen.

Angriffsflächen und Schwachstellen

Das Open Web Application Security-Projekt (OWASP) hat inzwischen eine lange Liste von IoT-Sicherheitsproblemen (https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project#IoT_Attack_Surface_Areas_Project) zusammengestellt. Diese bekannten Sicherheitsprobleme sollten bei der Planung und bei einer Integration von IoT-Technologien berücksichtigt werden. Die OWASP-Liste umfasst derzeit 17 Angriffsflächen im Bereich der Hardware, der Speicherung, der Netzwerke, der Schnittstellen, der Anwendungen, der APIs, der Authentifizierung und Autorisierung, und weiteren speziellen 131 Sicherheitslücken aus allen Bereichen.

Diese Liste der Sicherheitslücken ist ein guter Ausgangspunkt für die Beseitigung von Sicherheitslöchern im IoT-Bereich. Diese Checkliste ist jedoch ein „lebendes Objekt“ und daher noch nicht vollständig. Da man immer wieder neue Aspekte der Sicherheit entdeckt und die Erfahrungen im Sicherheitsbereich immer weiter anwachsen, sollten folgende zusätzlichen Sicherheitsvorschläge beim Einsatz von IoT-Geräten beachtet werden:

  • Man muss sicherstellen, dass nur starke Passworte verwendet und eine mehrstufige Authentifizierung implementiert wird. Es sollten niemals IoT-Produkte mit fest codierten Passwörtern verwendet werden. Solche Minibarrieren werden von den Angreifern problemlos überwunden. Auch müssen die Regeln der Berechtigungen für den Zugriff auf die IoT-Geräte festgelegt werden. Im Idealfall erfolgt dies auf Basis einer privilegierten Zugriffsverwaltung.
  • Es dürfen keine Annahmen bei der Umsetzung der Sicherheits- und Datenschutzrichtlinien zugelassen werden. Diese Anforderung schließt natürlich die Verwendung von IoT-Geräten mit geringen Sicherheits- und Datenschutzfunktionen aus. Die IoT-Geräte sollten in einem separaten Netzwerk betrieben werden. Auch sollte dieses Netz über eigene Überwachungsfunktionen verfügen und nur über eine Firewall mit dem Rest des Unternehmens kommunizieren.
  • Auf den IoT-Geräten gilt es alle Funktionen zu deaktivieren, die nicht benötigt werden. Über (unnötige) Zusatzfunktionen können leicht die Steuerelemente und Sicherheitsprozesse umgangen werden.
  • Der physische Zugriff auf wichtige Steuerelemente des Geräts sollte blockiert werden. Die Schaltflächen für das Zurücksetzen oder Ändern von Ports und Passworten müssen gesperrt bzw. entfernt werden. Automatische Verbindungen über drahtlose Netzwerke sind auszuschließen. Unter Umständen sollte auch die Isolierung von Netzwerkkomponenten in Betracht gezogen werden, um eine Infiltration der IoT-Geräte zu verhindern.
  • Wird der eingehenden Datenverkehr nicht vollständig blockiert, muss sichergestellt werden, dass die Software-Ports, die die Konfiguration und die der Fernsteuerung ermöglichen, entsprechend ausgeschaltet bzw. deren Zugang beschränkt wird. Wo immer es geht, ist eine Verschlüsselung zu nutzen. Wenn keine Verschlüsselung zur Verfügung steht, dürfen die IoT-Gerät nicht im Netzwerk betrieben werden. Unter Umständen kann in einem solchen Fall ein VPN benutzt werden.
  • Erfordert das Aktualisieren der Firmware oder der Software einen manuellen Prozess oder muss die Funktion lokal ausgeführt werden, sollte auf den Kauf des betreffenden Produkts verzichtet werden.
  • Es ist unbedingt darauf zu achten, dass die IoT-Geräte aus dem Netzwerk entfernt werden, wenn diese das Ende ihrer Lebensdauer erreicht haben bzw. vom Hersteller keine Aktualisierung mehr erfolgt.

#Netzpalaver