Ohne Cybersecurity kein IoT
Das Internet of Things absichern
Das Risiko von Cyberangriffen auf IoT-Netzwerke wächst stetig. Integrierte Security und ein standardisierter Ansatz sind entscheidend, um es zu verringern.
Laut dem Beratungsunternehmen Cybersecurity Ventures werden die Kosten der Cyberkriminalität bis 2025 auf 10,5 Billionen US-Dollar pro Jahr steigen. Neben dieser erschreckenden Zahl zeigt sich die Realität der zunehmenden Bedrohung in den ständig neuen Nachrichten über große Datenschutzverletzungen und Cyberangriffe, die gewöhnliche Unternehmen und bekannte Marken betreffen.
Die eigentlichen Opfer sind meist die Kunden der betroffenen Unternehmen: Sie sind die Leidtragenden - von der Offenlegung ihrer privaten Daten über den Verlust des Zugangs zu wichtigen Diensten bis hin zu hohen finanziellen Verlusten. Besorgniserregend ist, dass auch kritische Infrastrukturen in Bereichen wie Gesundheit, Energie, Lebensmittel, Wasser und Kommunikation ins Visier geraten sind.
Auch die Zahl der Cyber-Angreifer hat rapide zugenommen. Sie sind sowohl technologisch, etwa durch künstliche Intelligenz, als auch organisatorisch besser geworden, und die Angriffe werden von unterschiedlichen, gut ausgerüsteten und koordinierten Gruppen durchgeführt.
Erhöhtes Risiko
Die meisten Unternehmen sehen sich deshalb einem wachsenden Cyber-Risiko ausgesetzt. Entscheidende Faktoren dafür sind die wachsende Abhängigkeit von Digitaltechnik und die Erzeugung und Anhäufung von immer mehr Daten. Ersteres birgt das Potenzial, weitreichende Störungen zu verursachen, während letzteres den finanziellen Wert gestohlener Informationen erhöht.
Bis zur Mitte dieses Jahrzehnts wird es laut den Analysten von IDC fast 42 Mrd. IoT-Geräte geben. Die Zunahme vernetzter Geräte macht sie aus mehreren Gründen zu einem immer attraktiveren Ziel für Cyberkriminelle. Erstens: Je mehr vernetzte Geräte es gibt, desto größer ist die »Angriffsfläche«, also die Zahl der potenziell angreifbaren Ziele, die ein Angreifer ausnutzen kann. Zweitens stellen die großen Datenmengen, die von vernetzten IoT-Geräten erzeugt und zwischen ihnen übertragen werden, selbst ein lohnendes Ziel für das Abfangen von Daten dar.
Andere IoT-Bedrohungen machen deutlich, wie hoch das Sicherheitsrisiko ist. Forscher befürchten seit langem Hackerangriffe auf vernetzte Geräte, die sensible persönliche Daten sammeln, wie Herzschrittmacher, Insulinpumpen und Überwachungskameras.
Aktuelle Herausforderungen
Nach Angaben des Cybersecurity-Anbieters Kaspersky ereigneten sich im ersten Halbjahr 2021 etwa 1,5 Mrd. Angriffe auf IoT-Geräte - doppelt so viele wie in den sechs Monaten zuvor. Dies kommt nicht ganz unerwartet, denn laut McKinsey ist digitales Vertrauen nur für etwa 30 Prozent der Anbieter von IoT-Lösungen von entscheidender Bedeutung, verglichen mit etwa 60 Prozent der Käufer. Auch wenn Selbstgefälligkeit eine Rolle spielen mag, könnte die Zunahme erfolgreicher Angriffe auf IoT-Geräte auch eine Folge von deren besonderen Eigenschaften sein.
So verfügen IoT-Geräte im Vergleich zu anderen IT-Produkten wie Smartphones und PCs nur über begrenzte Ressourcen in Form von Rechenleistung, Speicher und Energie. Dies begünstigt vereinfachte oder abgespeckte Sicherheitsimplementierungen in IoT-Geräten, was sie anfälliger für Angriffe macht.
Der physische Zugang zu IoT-Geräten - die häufig in Reichweite öffentlich zugänglicher Orte, etwa in intelligenten Städten, eingesetzt werden - erhöht auch ihre Anfälligkeit für physische Angriffe und Manipulationen. Ferngesteuerte Angriffe über das Netz sind ebenfalls eine Bedrohung.
Darüber hinaus schätzen Cyber-Angreifer Komplexität - je mehr Geräteebenen oder -knoten, Softwareintegrationen oder Drittanbieter beteiligt sind, desto wahrscheinlicher ist es, dass es eine Schwachstelle oder ein Schlupfloch gibt, das sich ausnutzen lässt. Damit sind IoT-Implementierungen im Vergleich zu anderen IT-Implementierungen einem höheren Risiko ausgesetzt. Dies macht deutlich, wie wichtig es ist, dass die einzelnen Komponenten und Geräte selbst sicher sind, damit das Gesamtsystem geschützt ist.
Anreize und die einfache Datenanbindung spielen ebenfalls eine Rolle. In den letzten Jahren nahm das Potenzial des IoT, Vorteile wie Effizienz, Innovation und verbesserte Kundenerfahrung zu erzielen, immer mehr zu. Zugleich sanken die Kosten für ICs, so dass der wirtschaftliche Anreiz, jedes Produkt zu einem vernetzten Gerät zu machen, unwiderstehlich wurde.
Sicherheit kostet Geld. Der wirtschaftliche Nutzen des Schutzes dieser Geräte stellt sich daher nicht sofort ein. Die Folge war, dass viele vernetzte Geräte entwickelt und auf den Markt gebracht wurden, deren Sicherheitsstandards mangelhaft oder gar nicht vorhanden waren.
Trend zum integrierten Schutz
Mit zunehmender Sensibilisierung für Cyber-Angriffe hat sich das Blatt jedoch gewendet. Auch die Erwartungen der Öffentlichkeit an IoT-Geräte haben sich deutlich verändert. Eine Umfrage der britischen Regierung aus dem Jahr 2020 ergab, dass neun von zehn Anwender heutzutage erwarten, dass intelligente Geräte über grundlegende integrierte Funktionen zum Schutz der Privatsphäre und der Sicherheit der Nutzer verfügen.
Zu einer Zeit, als Sicherheit noch keine Priorität war, mussten die Hersteller ihr Bestes geben, um die Mindestanforderungen zu erfüllen. Außerdem wurde Sicherheit oft erst am Ende des Entwicklungsprozesses berücksichtigt und entweder nachträglich oder erst nach der Entdeckung von Sicherheitsproblemen einbezogen. Das Konzept des »Nachrüstens« von Sicherheit in einer späten Phase des Entwicklungsprozesses führte nicht nur zu anfälligeren Ergebnissen, sondern »machte die Lösung in vielen Fällen auch teurer«, heißt es in einem Bericht von Deloitte.
Heute zeichnet sich ein Umdenken hin zu IoT-Geräten ab, die sowohl »Secure by Design« als auch »Secure by Default« sind. Ersteres bedeutet, dass Sicherheitsanforderungen bereits in den frühen Phasen des Produktdesigns berücksichtigt werden, so wie ein Entwickler die Batterielebensdauer oder die Benutzeroberfläche einbezieht.
Die Entwicklung hin zu »Secure by Default« ist offensichtlich. Die im IoT verwendeten Funkprotokolle haben sich von einer optionalen Sicherheit zu einer standardmäßig in die Spezifikationen integrierten Sicherheit entwickelt. Dies gilt nicht nur für die Ebene des Datenaustauschs, sondern auch für die Geräteebene mit Funktionen wie sicherem Booten und sicheren Firmware-Updates.
Unternehmen wie Nordic Semiconductor haben daher eine Reihe grundlegender Sicherheitsziele definiert, die standardmäßig in ihre Produkte einfließen. Dazu gehört, dass nur autorisierte Software in einem Gerät ausgeführt und aktualisiert werden kann, dass vertrauenswürdige und nicht vertrauenswürdige Dienste in den Geräten voneinander getrennt sind und dass eine sichere Speicherung die Vertraulichkeit und Integrität von Daten und Werten sicherstellt.
Entwicklung der Sicherheitsstandards
Trotz dieser Fortschritte bleibt die mangelnde Standardisierung eine Herausforderung für die IoT-Sicherheit - sie führt zu fragmentierten, inkonsistenten und letztlich unzureichenden Sicherheitsniveaus bei IoT-Implementierungen.
Als Reaktion darauf hat PSA Certified, ein Zusammenschluss Cybersecurity-bewusster Unternehmen und Organisationen, wichtige Interessengruppen zusammengebracht, um die fragmentierten Cybersecurity-Ansätze zu einem standardisierten Ansatz für das IoT zusammenzuführen. Die Organisation hat ein vierstufiges Framework entwickelt, das Entwickler durch die nötigen Schritte führt, um das richtige Sicherheitsniveau für ein Produkt zu implementieren. Die wachsende Zahl von IoT-Produkten mit PSA-Zertifizierung zeigt die positiven Auswirkungen auf das Sicherheits-Ecosystem. Nordic selbst hat sich dem Framework angeschlossen.
Standards und Erwartungen werden auch auf nationaler politischer Ebene vorangetrieben. So haben Regulierungsbehörden in mehreren Ländern Erwartungen formuliert und Mindestsicherheitsstandards für IoT-Produkte festgelegt. In der EU wurden Sicherheitsstandards eingeführt, nach denen mit dem Internet verbundene Produkte ein »angemessenes Maß an Cybersicherheit« bieten müssen. In den USA haben die jüngsten Cybersecurity-Vorschriften zur Entwicklung von IoT-Sicherheitsstandards durch das Normungsinstitut National Institute of Standards and Technology (NIST) geführt.
Gemeinsame Anstrengungen zielen auch darauf ab, das Bewusstsein und das Vertrauen der Verbraucher zu stärken. Die Unmöglichkeit, ein sicheres von einem unsicheren IoT-Gerät zu unterscheiden, hat das Vertrauen der Verbraucher immer wieder untergraben.
Als Gegenmaßnahme sind Sicherheits-Kennzeichnungssysteme für IoT-Geräte in Vorbereitung. Nach Angaben der US-Regierung, die im Juli 2023 ein Kennzeichnungsprogramm einführte, werden solche Programme den Verbrauchern die Gewissheit geben, dass die Technik, die sie in ihre Häuser bringen, sicher ist, und den Herstellern einen Anreiz bieten, sichere Geräte herzustellen.
Vorteile der IoT-Security
Die Vorteile eines sichereren IoT zeigen sich an vielen Fronten, nicht zuletzt bei den Unternehmen, die mehr Sicherheit in ihre Produkte integrieren. Eine von PSA Certified durchgeführte Umfrage unter Unternehmen ergab, dass sich die Sicherheit ihrer Produkte bei 96 Prozent der Befragten positiv auf das Geschäftsergebnis auswirkt.
Verbesserte Sicherheit hilft den Entwicklern von IoT-Lösungen auch, engere Kundenbeziehungen aufzubauen, besonders dort, wo Ausfallsicherheit und Zuverlässigkeit entscheidend sind.
Ein Beispiel ist der für flexibles Dimmen entwickelte funkbasierte Empfänger des Beleuchtungsherstellers Fluence, der auf einem Funk-SoC von Nordic Semiconductor beruht und PSA-zertifiziert ist. Das Produkt wurde speziell für den Gartenbausektor entwickelt und ermöglicht es Landwirten, ihre Erträge und die Qualität ihrer Produkte durch optimierte Beleuchtungsbedingungen zu maximieren. Angesichts der erforderlichen Präzision bei der Versorgung der Pflanzen mit Licht müssen solche intelligenten Beleuchtungslösungen unempfindlich gegenüber Störungen oder äußeren Einflüssen sein. Diese Prioritäten und die integrierten Sicherheitsmerkmale erhöhen das Vertrauen der Kunden in das Produkt.
Abgesehen von den Vorteilen für einzelne Hersteller zeigt sich der volle Nutzen verbesserter Sicherheit in den Auswirkungen auf das IoT-Ecosystem als Ganzes. Laut McKinsey würden Manager ihre IoT-Investitionen um 20 bis 40 Prozent erhöhen, wenn »Cybersicherheitsprobleme vollständig unter Kontrolle wären«.
In dem Maße, in dem Anbieter funkbasierter IoT-Technik wie Nordic Semiconductor, Industriekonsortien wie PSA Certified und Regulierungsbehörden weltweit zusammenarbeiten, um der Integration von Sicherheit in IoT-Produkten Priorität einzuräumen, ließen sich diese Risiken mindern. Die Stärkung des Verbrauchervertrauens trägt dazu bei, das Potenzial des IoT voll auszuschöpfen.
Der Autor:
Tiago Monte ist Developer Marketing Manager bei Nordic Semiconductor.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
