IoT-Sicherheit für Unternehmen und Organisationen

Das Internet of Things (IoT) oder Internet der Dinge gestattet die Vernetzung beliebig vieler Geräte, wie sie beispielsweise im Haushalt (Smart Home), in Büros oder auch in der verarbeitenden Industrie vorkommen. Über das Netzwerk lassen sich alle angeschlossenen Geräte untereinander verbinden, so dass sie miteinander kommunizieren können.

Zu den Smart Objects zählen unter anderem Küchengeräte, intelligente Komponenten der Haustechnik, Sprachassistenten und Fahrzeuge. Außerdem kann im Grunde jedes Gerät, das über eine Sensortechnologie verfügt, Teil des IoT sein. Die Identifikation geschieht über die jeweils zugeordnete Internetadresse.

Wie bei jedem Netzwerk, das nach außen via Internet kommuniziert, ist auch das IoT nicht vor Bedrohungen, Schwachstellen und Sicherheitslücken gefeit. Das liegt zu einem großen Teil daran, dass das Internet der Dinge noch weitgehend in den Kinderschuhen steckt - und die IoT-Security ebenfalls. So liefen nach einer US-amerikanischen Studie (Stand 2020) rund 98 % des Verkehrs von IoT-Geräten noch unverschlüsselt, wodurch vertrauliche und personenbezogene Daten offen zugänglich waren.

Erschreckende Zahlen zeigte die Studie auch für das Gesundheitswesen. Auf 83 % aller IoT-Geräte befanden sich nicht mehr unterstützte Betriebssysteme wie Windows 7. Rund 72 % der VLANS vermischten IT- und IoT-Ressourcen. Eventuelle Malware oder Botnet-Attacken hätten dabei leichtes Spiel, sich von infizierten Benutzerrechnern auf IoT-Geräte im gleichen Netzwerk zu übertragen.

Mittlerweile wird die Zahl der weltweit vorhandenen IoT-Endpunkte auf 5 Milliarden geschätzt. Bis 2025 sollen mehr als 40 Milliarden Endpunkte - zum Teil drahtlos - vernetzt sein, die eine fast schon unvorstellbare Menge an Daten erzeugen werden, und zwar knapp 80 Zetabyte, was 1 Milliarde Terabytes entspricht. Das birgt einerseits ein riesiges Potenzial an Innovationen quer durch alle Branchen, schafft aber andererseits auch zahllose Einfallstore für Angreifer, die die Cybersicherheit massiv gefährden. Ohne eine geeignete IoT-Sicherheitslösung und ein Sicherheitszertifikat wird es kaum Sinn machen, die generierten Daten zu analysieren auf dieser Basis wichtige Entscheidungen für Geschäftsprozesse zu treffen.

Operational Technology (OT) heißt übersetzt Betriebstechnologie. In diesen Bereich des IoT fallen Hard- und Software, deren Aufgabe es ist, physische Geräte und Maschinen zu steuern und zu überwachen. Das können Produktionsanlagen sein, aber auch Einrichtungen in der Medizintechnik oder bei Wasser- und Energieversorgern. Im Grunde gibt es hierfür keinerlei Einschränkungen. Bedeutende Komponenten der Operational Technology sind vor allem industrielle Steuermodule (Industrial Control System oder ICS), bei denen es nicht um einzelne Produkte geht, sondern immer um komplexe Prozesse. Auch für die OT-Sicherheit müssen passende Lösungen gefunden und immer wieder an Sicherheitsrisiken angepasst und vor Cyberattacken geschützt werden. 

Da sich OT mit Prozessen befasst, können diese durch Cyberkriminelle nicht nur unterbrochen, sondern auch verändert werden. Für komplexe Systeme wie die Energieversorgung oder die Verkehrsführung in Ballungsräumen entsteht dadurch eine Bedrohungslandschaft, die ungeahnte Ausmaße annehmen kann. Denn jeder einzelne Endpunkt innerhalb eines solchen Netzes kann zum Sicherheitsproblem werden. Deshalb beschäftigt sich OT-Security mit Sicherheitsmechanismen, die der Absicherung von Netzwerken und einzelnen Geräten in OT-Umgebungen dienen.

Im Einzelnen geht es dabei um organisatorische Technologien, Maßnahmen und Prozesse zur Überwachung und Kontrolle der Systemintegrität und Verfügbarkeit - mit dem zentralen Ziel, jederzeit einen störungsfreien und sicheren Betrieb zu gewährleisten, ohne eine Angriffsfläche zu bieten. Dabei unterscheiden sich Lösungen für die OT-Sicherheit je nach Anforderung und Position der Nutzer. Ein Betreiber von Maschinen und Anlagen wird andere Bedürfnisse haben als ein Hersteller einzelner Komponenten oder ein Integrator. Sicherheitskonzepte im Bereich der OT müssen deshalb immer individuell entwickelt und umgesetzt werden. Gleichzeitig ist das Sicherheitsbewusstsein bei allen mit OT Beschäftigten zu schärfen, da der Mensch auch hier die größte Schwachstelle darstellt.

Netzwerke im Bereich der Operational Technology sind deutlich komplexer als IT-Netzwerke und Infrastrukturen. Es kommen sehr viele Assets von zahlreichen unterschiedlichen Herstellern zum Einsatz, die in der IT unbekannt sind und nicht genutzt werden, wie die erwähnten ICS oder Sensoren und Aktoren.

Dadurch bieten sich mehr Angriffsziele und Angriffsvektoren für Cyberkriminelle, die das

Sicherheitsrisiko in der OT vergrößern. Zudem gibt es in der OT spezifische Protokolle und Übertragungswege, die in der IT so nicht vorkommen, etwa eine Bus-Technologie mit elektrischer Übertragung von Signalen statt einer Ethernet-Verbindung.

Insgesamt ist festzustellen, dass sich durch die Vernetzung von IT und OT größere Angriffsflächen eröffnen. Attacken auf die IoT-Sicherheit mittels Ransomware, die zuvor der IT galten, können jetzt auch gezielt auf die OT gerichtet werden.