Mehr Schutzvorkehrungen denn je nötig

Sicherheitslücken im IoT systematisch schließen

26. Mai 2021, 10:51 Uhr | Von Ian Ferguson

Das IoT erfordert vielfältigere Cybersecurity-Vorkehrungen als alle Netzwerkkonzepte vor ihm. Doch welche Einzelaspekte sind zu berücksichtigen, um den Schutz möglichst lückenlos zu gestalten?

Der Begriff »Internet of Things« wurde 1999 von Kevin Ashton geprägt, wobei die Vernetzung von Systemen mit all ihren Vorteilen schon lange vorher begann. Das Versprechen, Systeme aus der Ferne zu verwalten und einen schnelleren – womöglich sogar echtzeitfähigen – Einblick in deren Funktionalität zu bekommen (und diese eventuell sogar anzupassen), war Gegenstand vieler Investoren-Pitches.

Natürlich zeigt sich die Kehrseite vernetzter Systeme, wenn auf sie mit dem Ziel der Zerstörung, Erpressung oder Spionage zugegriffen werden kann. Als Fan von James Bond könnte man sich vorstellen, dass es in einem Remake des Films Thunderball von 1965 mit der Verbrecherorganisation SPECTRE nicht um den Diebstahl von Atombomben, sondern um die Übernahme wichtiger Datennetze ginge. Das Ergebnis könnte in Bezug auf die finanziellen Auswirkungen deutlich chaotischer sein.

Vor fast vier Jahren wurde berichtet, dass Aufzeichnungen eines Casinos von einem Hacker kompromittiert wurden, der über ein vernetztes Fischbecken auf das Netzwerk zugriff. Dies war sehr aufschlussreich, weil sich – zusammen mit dem Mirai-Angriff Ende 2016 – zeigte, dass es nicht wirklich darum ging, das Gerät, auf das zugegriffen wurde, zu beschädigen. Vielmehr war das Ziel, zu zeigen, was in bestimmten Anwendungen passieren könnte, wenn Hacker in den Besitz wertvoller oder sensibler Daten gelangen oder das Verhalten eines Geräts oder einer Maschine in böswilliger Absicht ändern.

Die jüngst erfolgte Infiltration einer Wasseraufbereitungsanlage in Florida ist ein weiteres Beispiel. Laut Bericht bemerkte ein Anlagenbediener, dass jemand kurzzeitig in das System eindrang. Er fand das nicht ungewöhnlich, weil sein Vorgesetzter regelmäßig aus der Ferne darauf zugriff. Aber ein anderer Mitarbeiter erkannte, dass ein ferngesteuerter Akteur die Kontrolle über das System übernahm und die Software anwies, die Menge an Natriumhydroxid um das 100-fache des normalen Wertes zu erhöhen. Das Problem wurde bemerkt, und angesichts solcher Fälle wird eifrig an funktionierenden Sicherheitsprotokollen gearbeitet. Die Realität aber ist, dass Systeme immer wieder kompromittiert werden können, ohne dass es jemand bemerkt. Als Beispiel gab das Softwareunternehmen Citrix Systems an, dass ein Eindringen sechs Monate lang unbemerkt blieb.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Was muss geschehen?

Erstens: Angriffssicherheit muss als eine vordringliche Priorität behandelt werden. Kein System ist undurchdringlich. Besteht eine Netzwerkverbindung, hat das Unternehmen einzuplanen, dass Personen darauf zugreifen, die andere Absichten haben als die vom Systemarchitekten ursprünglich angenommenen. Safety und Security sollten Vorrang haben vor der Zeitdauer bis zur Inbetriebnahme, der Time to Market. Zusätzliche Mitarbeiter zum Diagnostizieren und Steuern von Maschinen zu benötigen, ist besser als ein vernetztes System, das angriffsanfällig ist. Dinge anzuschließen und zu verbinden, ohne in ausreichendem Maße auf Security zu achten, ist definitiv keine gute Idee.

Zweitens: Es ist auf jeden Fall ratsam, sich Experten ins Haus zu holen. Krankenhäuser beispielsweise sind gut darin, Menschen am Leben zu erhalten sowie Schmerzen und Leiden zu beseitigen – genau darauf sollten sie sich konzentrieren. Das bedeutet aber auch: Sie müssen Leute ins Boot holen, die sich ausschließlich um die IT-Sicherheit kümmern.

Drittens: Unternehmen müssen für die Installation von minderwertigen Rollouts mit einer Geldstrafe belegt werden.

Viertens: Es reicht nicht aus, nur »die Haustür abzuschließen«. Als Microsoft vor einigen Jahren seine Azure-Sphere-Initiative ankündigte, lag eine Analogie nahe: Wenn wir heute unser Haus verlassen, schließen wir die Haustür ab. In der IoT-Welt müssen wir aber auch jede Tür innerhalb des Hauses – zusätzlich zu der, die nach draußen führt – schließen und verriegeln. Auf diese Weise erhält ein IoT-Teilnehmer, der eine Verletzung begeht, nur Zugriff auf einen Teil des im Haus – oder, um bei der Analogie zu bleiben, im IoT – aufbewahrten (Daten-)Vermögens. Soft- und Hardware müssen also Systeme partitionieren, um Funktionen voneinander zu isolieren.

Fünftens: Systeme müssen augenblicklich erkennen, dass sie kompromittiert worden sind. Der erwähnte Wasseranlagenbetreiber bemerkte, dass eine Computermaus des Systems übernommen worden war. Solche ungewöhnlichen Ereignisse müssen dem System auffallen. Dies wird wohl einer der Anwendungsfälle für KI sein: in industriellen IoT-Anwendungen ein Verhalten schnell zu erkennen, das außerhalb der Norm für das betreffende System liegt. Einem Benutzer kann dann eine Entscheidung über die weitere Vorgehensweise übertragen werden (Trennen des Systems vom Netzwerk, Blockieren einer bestimmten IP-Adresse, Deaktivieren bestimmter Systemfunktionen usw.).

Sechstens: Wichtig ist, einzuplanen und sich darauf vorzubereiten, gehackt werden zu können. Kein System ist vollkommen sicher. Systeme müssen die Messlatte in puncto Immunität gegen Angriffe im Laufe der Zeit immer höher legen. Doch gleichermaßen müssen sie in der Lage sein, einen bekannten, sicheren Zustand wiederherzustellen, falls sie kompromittiert werden.

Siebtens: Die Lösung liegt in einer Partnerschaft zwischen den Anbietern von Hard- und Software. Die Hardware-OEMs sollten den Softwarelieferanten nicht die Schuld geben und umgekehrt. Je mehr die Software nicht veränderbare, authentifizierte Informationen in ICs und Plattformen nutzt, desto schwieriger wird es für den externen Hacker.

Der Autor

Ian Ferguson

ist Vice President Marketing and Strategic Alliances bei Lynx Software Technologies. Seine berufliche Laufbahn führte ihn in verschiedene leitende Positionen in Marketing und Vertrieb bei Motorola, IDT, QuickLogic, Enigma Semiconductor und Arm. Er hat einen BSc der Loughborough University (Großbritannien) in Electrical and Electronics Engineering.