Das Internet of Things (IoT) bezeichnet die zunehmende Vernetzung von „smarten“ Geräten, die über Prozessoren und Sensoren via IP-Netz miteinander kommunizieren und interagieren. Als Schnittstelle zwischen virtueller und realer Welt stellen IoT-Systeme auch für Unternehmen einen immer größeren Mehrwert dar und gelten mittlerweile als Schlüsseltechnologie der digitalen Transformation. Gleichsam müssen den Chancen aber auch mögliche Risiken entgegengesetzt und beide gegeneinander abgewogen werden. Wie also gelingt die sichere Implementierung von IoT-Geräten im Unternehmen?
Die Experten Martin Heise und Thomas Nittel, Berater für Informationssicherheit, IT-Sicherheit, Datenschutz und Infrastruktur der Computer System GmbH Ilmenau wissen um Chancen und Sicherheitslücken von IoT-Geräten und erklären, was Unternehmen in puncto IT-Sicherheit und Datenschutz beachten sollten:
-
Welche Vorteile bietet das Internet of Things?
IoT-Geräte bieten im Unterschied zu klassischen (Offline-)Geräten die Möglichkeit, die von ihnen gesammelten Daten kontinuierlich von selbst – und bis hin zur Echtzeit – an den Betreiber senden zu können. Ebenso kann der Betreiber die Geräte analog dazu auch entsprechend fernsteuern. Das ermöglicht die Funktion der Fernwartbarkeit: Kennlinien, Messparameter oder auch Betriebssoftware können so für den jeweiligen Einsatzzweck angepasst und stetig aktualisiert werden.
Dadurch ergibt sich ein insgesamt dynamischeres Verhalten – und das nicht nur abstrakt in fernen Rechenzentren, sondern konkret vor Ort, wo Sensoren Daten erfassen oder Aktuatoren Steuer- und Regelfunktionen ausführen sollen. Bei entsprechender Programmierung können somit mehrere IoT-Geräte ihre Daten untereinander austauschen und auf vorgegebene Umwelteinflüsse im Verbund selbsttätig reagieren.
Darüber hinaus können Hersteller von IoT-Geräten durch eine permanente Anbindung an das Internet in Zusammenarbeit mit dem Kunden und – basierend auf im Feldeinsatz gewonnenen Daten – die Funktionen fortlaufend aktualisieren und somit verbessern. Dies kann beispielsweise die „time to market“, also die Zeit bis zur Markteinführung, verkürzen, was wiederum den Anwendern durch eher zur Verfügung stehende Technik zugutekommt.
-
Was ist das Kernproblem mit dem IoT in Bezug auf die IT-Sicherheit?
Im Gegensatz zu herkömmlicher IT interagieren IoT-Geräte direkt mit ihrer physischen Umwelt. Daher muss vor allem der Zugriff auf eingebaute Sensoren und Aktuatoren geschützt werden. Nicht zuletzt hängen Privatsphäre, Gesundheit und eventuell sogar Leben davon ab.
Wie die aktuellen Entwicklungen zeigen, liegt der Fokus von Angreifern inzwischen auf mobilen Endgeräten und IoT-Systemen. Hier zeigt sich die regelmäßige Anbindung an ein IT-Netzwerk über eine direkte Kommunikation mit der Cloud von Drittanbietern als problematisch, da sich Geräte mit proprietärer Software und Zugriff von außen direkt im eigenen Netzwerk befinden. Dies bietet Herstellern wie auch Angreifern neben dem Zugriff auf die Schnittstellen zur physischen Welt des Anwenders auch ein potentielles Einfallstor in lokale IT-Netze. Erschwerend kommt hinzu, dass insbesondere IoT-Geräte primär für den Massenmarkt produziert werden, was zur Folge hat, dass zur Minimierung der Herstellungskosten und der „time to market“ die Funktionalität oft auf Kosten der Sicherheit in den Vordergrund gestellt wird.
In der Grundkonfiguration hat der Anwender zumeist keine Kontrolle darüber, welche Daten erfasst und wohin übertragen werden. Weiterhin sind Einstellmöglichkeiten seitens des Nutzers meist nur begrenzt oder nicht vorhanden. Hier fehlen verpflichtende Sicherheitsstandards; der Anwender ist auf eigene Audits angewiesen. Dies betrifft gleich mehrere Bereiche: den Datenschutz, die Datensicherheit und auch die Zuverlässigkeit. Selbst wer die Risiken versteht, hat meist keine Handhabe oder muss enormen Aufwand betreiben, um ungewollte Datenübermittlungen zu unterbinden.
-
Können Unternehmen IoT trotz der Sicherheitslücken für sich nutzen?
Um IoT sinnvoll für sein Unternehmen zu nutzen, sollten zunächst Zeit und andere Ressourcen genaustens einkalkuliert werden, um dessen Einführung vernünftig zu planen und umzusetzen. Es ist hierbei keinesfalls ausreichend, IoT-Geräte einfach nur zu kaufen und in den Standard-Einstellungen in Betrieb zu nehmen. Eine gesunde Evaluierungsphase, die auch beinhaltet, ob der Einsatz des IoT überhaupt sinnvoll ist, ist daher wichtiger Teil der Strategie. Zu Beginn steht immer die Frage: Welche Probleme kann man mit dem IoT lösen, für die man keine andere Variante hat?
Wie bei allen anderen Teilen der IT-Infrastruktur des Unternehmens ist auch das IoT mit in das Informationssicherheitsmanagement einzubinden. Dabei muss sich konkret mit den Risiken des IoT in Bezug auf IT-Sicherheit und Datenschutz beschäftigt werden. Kann dies nicht selbst vom Unternehmen geleistet werden, so sollte bei der Wahl eines externen Dienstleisters darauf geachtet werden, dass mit diesem gemeinsam ein Sicherheitskonzept erstellt und umgesetzt wird.
-
Was sollten Unternehmen, die vom Internet der Dinge Gebrauch machen wollen, konkret tun, um ihre Daten zu schützen?
Bereits in der Planungs- und Implementierungsphase sollte man sich über einige Punkte Gedanken machen und technische Details beachten. Dazu gehört eine Evaluierung vor Einsatz der IoT-Geräte in Bezug auf Sicherheit und Funktionalität: Welche Aufgaben sollen die IoT-Geräte schließlich erfüllen? Auf welche Dienste muss von den IoT-Geräten zugegriffen werden können? Gibt es besondere Anforderungen an die Verfügbarkeit der IoT-Geräte oder an die Vertraulichkeit und Integrität der gespeicherten oder verarbeiteten Daten?
Aus diesen allgemeinen Anforderungen ergeben sich wiederum weitere spezifische Ansprüche an die IoT-Geräte:
- Authentisierung: Welche Art der Benutzer-Authentisierung soll genutzt werden? Ist es erforderlich, Benutzer einzurichten?
- Administration: Wie sollen die IoT-Geräte administriert werden? Werden alle Einstellungen lokal vorgenommen oder sollen beziehungsweise können die IoT-Geräte in ein zentrales Administrations- und Konfigurationsmanagement integriert werden?
- Netzdienste und Netzanbindung: Die Netzanbindung der IoT-Geräte sollten geplant werden. Hier sollten vor allem notwendige Einschränkungen und Überwachungsmaßnahmen berücksichtigt werden.
- Protokollierung: Auch bei IoT-Geräten spielt die Protokollierung eine wichtige Rolle, beispielsweise bei der Diagnose und Behebung von Störungen oder bei der Erkennung und Aufklärung von Angriffen. Sinnvollerweise sollte bereits in der Planungsphase festgelegt werden, wie und zu welchen Zeitpunkten Protokolldaten ausgewertet werden sollen.
Wird das IoT-Gerät zusammen mit einem Betriebssystemen und/oder einer Anwendungssoftware beschafft, so muss festgelegt werden, welche sicherheitsrelevanten Merkmale diese aufweisen sollen. Achten Sie im Besonderen auf die Nutzung sicherer Kommunikationsprotokolle, die Absicherung von Zugang und Zugriff, korrekte Installation und Aktualisierung, Benutzer- und Rechteverwaltung sowie Protokollierung und Alarmierung. Ziele einer sicheren Grundkonfiguration sollten sein, dass:
- die IoT-Geräte gegen Angriffe über das Netz abgesichert sind;
- niemand durch reine Neugierde oder gar zufällig Zugriff auf sensitive Daten erlangen kann, die nicht für ihn bestimmt sind;
- niemand beim Arbeiten mit den IoT-Geräten durch reine Bedienungsfehler schwerwiegenden Schaden an den IoT-Geräten oder sogar Menschen verursachen kann;
- die Auswirkungen kleinerer Fehler so weit wie möglich begrenzt sind.
Die Einstellungen, die im Rahmen der Grundkonfiguration überprüft und angepasst werden sollten, betreffen Einstellungen für Systemadministratoren, Benutzerkennungen und Benutzerverzeichnisse sowie Einstellungen für den Zugriff auf das Netz und die Deaktivierung von „calling home“-Funktionen, welche über das Internet Kontakt zum Hersteller und dessen Server herstellen können.
Dabei bieten sich einige konkrete Maßnahmen an: Beispielsweise empfiehlt sich die Netztrennung, das heißt, dass der Betrieb von IoT-Geräten nur in separaten, speziell abgeschotteten Netzwerken und idealerweise ohne Internetzugang – also ohne Cloud – möglich ist. Weiterhin können Unternehmen auch Geräte wählen, bei denen man den „command & control“-Server, der ebenfalls unabhängig von der Cloud ist, selbst betreibt. Doch Vorsicht: Dies bedeutet allerdings auch, dass man die Verantwortung für Updates selbst übernehmen muss!
Alternativ eignen sich Geräte, auf die man eigene Software aufspielen kann oder bei der die Schnittstellen und optimalerweise die Software offengelegt ist (z.B. open source). Darüber hinaus empfiehlt sich die genaue Kontrolle über die Verwendung von Registrierungsdaten („Logins“) und die Absicherung von Kanälen, die von den IoT-Geräten zur Kommunikation genutzt werden. Tipp: Nicht nur bei der Verwendung von IoT-Geräten sollte daran gedacht werden, überall unterschiedliche Registrierungsdaten zu verwenden. Weiterhin sollten auch Aktuatoren und Sensoren geschützt und deren physische Reichweite gegebenenfalls beschränkt werden. Vergessen Sie zuletzt nicht, dass auch hier Sicherheitsaudits regelmäßig durchgeführt werden müssen.
Vielen Dank an Martin Heise und Thomas Nittel für das spannende Expertengespräch zum Internet der Dinge. Wenn Sie sich einen Überblick über die Implementierung von IoT-Produkten oder zu den Themen IT-Sicherheit und Datenschutz in Ihrem Unternehmen verschaffen möchten, so stehen wir Ihnen für eine Erst- und Orientierungsberatung per E-Mail, Telefon und Videokonferenz gerne unter wirtschaft@thueringen40.de zur Seite.
Autor: Eyleen Sinnhöfer
