Angriffspunkt Drahtlos-Netzwerke Keine IoT-Sicherheit ohne Netzwerksicherheit

Drahtlose Netzwerke sind bequem – nicht nur für die Betreiber, sondern auch für Angreifer. Sie können auf IoT-Geräte zugreifen, ohne vor Ort sein zu müssen. Umso wichtiger ist es, mehrstufige Sicherheitsmechanismen schon bei der Errichtung eines Netzwerks zu installieren und nicht erst im Nachhinein.

Das Internet der Dinge (IoT) strebt durchgängig verbundene eingebettete Geräte an, die potentiell von jedem Punkt der Welt aus zugänglich sind. Die drahtlose Vernetzung trägt zu dieser Entwicklung bei, indem sie Barrieren wie Kabelinstallation und hohe Kosten beseitigt. Andererseits erhöhen die Funknetzwerke aber auch die Wahrscheinlichkeit von Cyber-Angriffen auf die IoT-Welt. Daher muss eine mehrstufige Verteidigungsstrategie (Defense-in-Depth) zum Einsatz kommen – und zwar bereits während die IoT-Infrastruktur entsteht. Denn herkömmlicher Netzwerk- und Endpunktschutz kann heutige Cyber-Bedrohungen nicht ausreichend eindämmen.

Die potentiellen Schwachstellen eines IoT-Systems lassen sich gut an einem SCADA-System zeigen: ein Netzleitsystem für die Überwachung, Steuerung und Optimierung von Industrie-Anlagen. In diesem Beispiel geht es um eine Computer-Infrastruktur in den Bereichen Energiegewinnung einschließlich intelligenter Netzsteuerung (Smart Grid Management) und Öl-/Gas-Förderung mit dazugehörigen Verteilungssystemen. Die Cyber-Angriffe auf Infrastrukturen einschließlich des berüchtigten Stuxnet-Virus, der es schaffte, eine iranische Atomanlage zu infizieren und manipulieren, zeigen wie verwundbar selbst scheinbar Systeme sein können.

Die eingebetteten Geräte oder ‚Dinge‘ sind typischerweise mit einem physischen Gegenstand verknüpft. Ihre Hauptaufgabe ist es, mit dieser physischen Einheit zu kommunizieren. Die Kommunikation kann ausschließlich lesend (z.B. überwachen) oder lesend und schreibend (überwachen und steuern) erfolgen. Die kommunizierten Daten werden entweder von Menschen oder Maschinen (M2M) gelesen oder initiiert. Die physikalischen Systeme können intelligente Zähler (Smart Meter), Schalter, Ventile und Durchflussmesser für Öl und Gas sein. In jedem Fall sind die Qualität und Sicherheit der Daten von höchster Wichtigkeit für die zuverlässige Funktion des Systems. Diese eingebetteten Geräte sind miteinander vernetzt um Daten zu empfangen oder zu senden, in der Regel aber nicht direkt an das Internet angeschlossen, sondern vielmehr an ein proprietäres Netzwerk der Stätten angebunden, wo sich die ‚Dinge’ auch physisch befinden. Größenmäßig kann eine solche Stätte eine Trafostation sein oder aber eine ganze Öl- bzw. Gasproduktionsanlage. Zu Vor-IoT-Zeiten waren dies relativ sichere Netzwerke, da Zugang nur der erhielt, der auch körperlich anwesend war. Physische Sicherheitsmaßnahmen (Wachen, Stacheldraht, etc.) reichten daher zur Abschottung aus. Seit jedoch die drahtlose Vernetzung in diese lokalen Netzwerke Einzug hielt können Hacker auch außerhalb des physischen Standorts drahtlos auf das Netzwerk zugreifen. Aus diesem Grund ist ein effektiver Schutz sowohl des eingebetteten Geräts als auch des lokalen Netzwerkes nötig.

Dieses Szenario steht allerdings vergleichsweise am unteren Ende des Sicherheitsrisiko-Spektrums an Sicherheitsrisiken, verglichen damit, wohin diese Daten als nächstes wandern (Bild 1).

In einer allgegenwärtigen IoT-Welt müssen die Daten dieser eingebetteten jetzt zusammengeführt und an die Menschen oder Maschinen weitergeleitet werden, die diese Daten nutzen sollen. Beispielsweise zur Verwaltung des Stromnetzes und Abrechnung des Stromverbrauchs, Fabriklogistik und Ertragsmangement oder Sicherheit und Steuerung von Öl- und Gasanlagen. Wenn diese Datenkonsumenten sich nicht vor Ort befinden, müssen die Daten schnell an einen anderen Ort transportiert werden, typischerweise unter Nutzung desselben Internets, mit dem jeder andere auf der Welt auch verbunden ist. Wieviele Daten den Standort verlassen hängt letztendlich von der jeweiligen Anwendung der Daten ab sowie davon, wie viel digitale Intelligenz, Datenaggregation und Speicherplatz zur Verfügung stehen.