20.04.2017 Gefährdung der fragilen IoT-Architektur

Das Internet der „sicheren“ Dinge?

Von: Jürgen Kolb

Laut Gartner wächst der Bereich des Internet of Things (IoT) um fünf Millionen Geräte pro Tag, Milliarden jedes Jahr. Dabei kommt bei Konsumenten ein wichtiger Aspekt hinzu: Der Endnutzer kann die gesamte, ohnehin fragile IoT-Architektur durch zu viel Sorglosigkeit gefährden.

Klar ist, dass das Internet of Things von Automatismen lebt.

Kein Internet of Things ohne Daten. Und schon hier fängt die Gefahr an. Nicht, weil die Kaffeemaschine eventuell zu früh und in zu großer Menge die sich dem Ende zuneigenden Bohnen nachbestellt, sondern weil sie auch Hinweise über Gewohnheiten gibt. Wann sind die Wohnungseigentümer zu Hause, wann nicht? Wann lohnt sich ein Einbruch, wann nicht? Oder: Wie kann man das ERP-Systems eines Industrieunternehmens so geschickt angreifen, dass man sein Dasein mit dem Diebstahl von Bestelldaten oder der Schädigung eines Lieferanten ernsthaft gefährdet?

Desweiteren wird im Zusammenhang mit dem Internet der Dinge über die Weitergabe von Gesundheitsdaten via Smartwatches an Krankenkassen diskutiert. Hier ist die Sorge der Verbraucher groß, dass die Kassen die gesammelten Daten gegen sie verwenden. Sogar im Handel hat IoT mit Kassen- sowie Bezahlsystemen Einzug gefunden und bringt z.B. durch unverschlüsselte Verbindungen die Datensicherheit oder den Kontostand ins Wanken: einmal gehackt, einmal überwiesen, einmal bankrott – und zwar Verbraucher ebenso wie Systemanbieter, deren Ruf bei einem solchen Angriff für alle Zeit ruiniert sein dürfte.

Wer muss schützen ...


Wer ist aber nun dafür verantwortlich, dass der Datenaustausch via IoT sicher ist? Beide: Der Anwender muss achtsam mit seinen Informationen umgehen, ähnliche Appelle wie bei der Nutzung von Social Media verhallen hier sicher aufgrund der greifbareren Risikolage nicht ganz so schnell. Der Anbieter hingegen trägt die größere Verantwortung, seinen Kunden und auch seinem Unternehmen gegenüber. Vor diesem Hintergrund lautet die nächste Frage: Wie schützt man sich bestenfalls datenschutzkonform, bezahlbar und rund um die Uhr?

Klar ist, dass das Internet of Things von Automatismen lebt. „Mach es selbst“ lautet die Devise. Doch „Mach es sicher“ darf als Nachsatz nicht fehlen. Problematisch wird dies allerdings u.a. durch die Schnittstellenproblematik, aber auch durch die Entfernung zwischen lokalisierten Geräten und Maschinen, was durch Unterbrechungen wiederum zu Problemen bei Updates führt. Fehlende Netzwerksegmentierung, Verschlüsselungsmängel und Konfigurationsfehler der Geräte tun ihr Übriges. Somit sind agentenbasierte IT-Sicherheitslösungen erforderlich, die dezentral arbeiten können und unterbrechungsunabhängig sind. Auch die Bedeutung von Web- und Infrastruktur-Security (DNS) und damit von Verschlüsselung, Vulnerability- und Passwort-Management wächst.

De facto existieren in der IoT-Welt noch keine umfassenden Sicherheitsprodukte, weswegen ein zentraler Log-Management-Ansatz sinnvoll erscheint. Das heißt: Alle Daten und Devices müssen in eine sogenannte Security-Information-and-Event-Management-Lösung (SIEM) beispielsweise von der iQsol GmbH integriert und die Überwachung per Überprüfung von Log-ins, der Feststellung von Netzwerk­lasten sowie der Dokumentation von Zugriffen adaptiert werden. Klassisch bedeutet das: Events an den Geräten wahrnehmen, bei Ungewöhnlichem alarmieren und eingreifen. Bei scheinbarem Normalzustand reicht es aus, die Daten zu archivieren und zur späteren forensischen Analyse vorzuhalten.

Da es bislang keine Sicherheitsstandards in der Maschinenwelt gibt und Security-Produkte in klassischer Form nicht existieren, sollten hier neue Wege beschritten werden. Viele Branchen setzen aktuell auf mehrere Ansätze, um eine Sicherheitsumgebung aufzubauen: Smartmeter benötigen genauso Sicherheitskonzepte und Produkte wie der Gesundheitssektor, der besonders von den Datenschützern ins Visier genommen wird. Sicherheitsanbieter erforschen und entwickeln gerade mit Industriepartnern erste Konzepte, neue Produkte und Services, die in den nächsten Jahren zum Einsatz kommen werden.

SIEM allein macht nicht glücklich


Log-Management-Lösungen sind seit Langem auf dem Markt. Die immer noch US-dominierte Software-Generation konzentriert sich dabei auf Echtzeiterkennung, Big-Data-Analysen und Security-Operation-Center-Management. Das Bauchgefühl wird nicht besser, wenn der Betrieb in der Cloud laufen soll, die Lizenzierung volumenabhängig und die Implementierung in die Office-IT schon „heikel“ ist. Der Trend geht daher zu kleineren Projekten mit spezifischen Anforderungen, wo dann auch IoT-Projekte ins Spiel kommen.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Etwas altbacken kommt SIEM daher, denn wichtig ist die Integrierbarkeit in die eigene Umgebung und die Rücksichtnahme auf die Geschäftsmodelle, die oft noch gar nicht feststehen und sich flexibel entwickeln. Da helfen eine starre Lizenzierung und eine geschlossene Entwicklungsplattform nicht weiter. Eine moderne, einheitliche Sicherheitsplattform für Produktionsumgebungen, Office-IT, Kassen- oder Energiesysteme ist die Anforderung an die neue IoT-Welt.


Checkliste: Log Management (SIEM)

  •   Lizenzierungsmodell (pro Server/Bandbreite/Nodes) sorgfältig auswählen
  •   laufende Betreuung unbedingt erforderlich (Personal/Managed Service)
  •   Anbindung in IoT- oder Produktions­umgebung erforderlich
  •   umfassendes IT-Security-Know-how notwendig
  •   Cloud-Ansatz in diesem Umfeld nicht empfehlenswert
  •   externe Unterstützung bei Cyber-Angriff oder Alarmauslösung einplanen
  •   hohes Datenspeicheraufkommen durch Log-Daten bedenken
  •   Flexibilität und Know-how des Dienstleisters (Resellers) vor Ort notwendig


Idealtypischer Projektablauf

  •   Identifikation der Anforderungen (Security, Compliance, Datenschutz, ­Monitoring)
  •   Festlegung des Budgets unterstützt bei Anbieterauswahl
  •   Evaluierung der Anbieter, Pflichtenheft und Ausschlusskriterien
  •   Entscheidung, ob Eigenbetrieb oder ­Managed-Security-Service
  •   Überprüfung von Usability, Lizenzierung, Folgekosten der Lösungen
  •   praktische Evaluierung, Beurteilung, Entscheidung
  •   Gesamtpaket betrachten, Gesamtkosten auf Laufzeit durchkalkulieren

Quelle: iQsol GmbH


Bildquelle: Fotolia/zapp2photo

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH