Ist IoT ein Sicherheitsalbtraum?
Von der Industrieanlage bis zur elektrischen Zahnbürste: Das Internet der Dinge (IoT) ist gekommen, um zu bleiben. Sascha Maier erklärt, was IT-Profis und -Entscheider wissen müssen, damit IoT nicht zum Einfallstor für Cyberkriminelle wird.
So unterschiedlich das Internet der Dinge (IoT) in Unternehmen und Privathaushalten auf den ersten Blick aussehen mag, eines haben alle Komponenten gemeinsam: Sie können gefährliche Sicherheitslöcher aufreissen.
Im Falle der Operational Technology (OT), also der Hard- und Software, die physische Geräte in Industrieunternehmen überwacht und steuert, gehen die Sicherheitslücken oftmals auf das Konto des Alters der Komponenten. Sie wurden entweder ohne Netzwerkschnittstelle entworfen oder Sicherheitsmechanismen spielten mangels vorstellbarer Angriffsszenarien beim Entwurf der Architektur keine Rolle.
Dazu kommt die Langlebigkeit der Komponenten.Typischerweise laufen speicherprogrammierbare Steuerungs-Geräte (SPS) rund um die Uhr und das über Jahre oder gar Jahrzehnte. IT-Sicherheitsfachleute, die mit der in der Büro-IT üblichen Geisteshaltung ans Thema «Sicherheitsupdates in der OT-Umgebung» herangehen, machen sich keine Freunde auf Seiten der OT-Spezialisten – schliesslich fährt man eine Produktionsanlage nicht einfach runter, nur weil es einen Patch gibt.
Sicherheitsupdates in der OT-Umgebung
IT-Experten müssen sich daher relevantes Grundwissen über die Produktionsprozesse im Unternehmen aneignen und verstehen, wie die OT-Kollegen ticken. Denn nur, wenn beide Hand in Hand arbeiten, lassen sich vernetzte Produktionsumgebungen absichern.
Übrigens: Zum Glück für die Restbevölkerung führen erfolgreiche Attacken auf schlecht geschützte Industrial-IoT-Installationen in Chemieanlagen, Wasserwerken oder bei Energieversorgern bislang nicht zu Umwelt- oder sonstigen Katastrophen. Sie dienen den Kriminellen vielmehr als Sprungbrett ins Büro-IT-Netzwerk des Opfers. Die Folgen hieraus sind im Zeitalter von Ransomware leicht vorstellbar.
Vom Potential zur Praxis: Internet of Things (IoT) im Einsatz |
Tollhaus Consumer-IoT
Gehen die Sicherheitslücken in industriellen IoT-Komponenten oftmals auf Ihr Alter zurück, tun sich bei vernetzten Endgeräten für den Haushalt ganz andere, scheunentorgrosse Lücken auf. Wahrscheinlicher Grund: Mangelnde Sorgfalt beim Entwickeln der jeweiligen Firmware. Noch gibt es weltweit keine gesetzlichen Regelungen, die Hersteller zum Einhalten gewisser Mindeststandards zwingen würden.
Entsprechend häufig stossen wohlmeinende und kriminelle Hacker auf Schwachstellen in Web-, Überwachungs- und Baby-Cams, Netzwerkfestplatten beziehungsweise den von diesen Gerätschaften verwendeten Kommunikationsprotokollen. Und selbst wenn die betroffenen Produzenten Sicherheitsupdates bereitstellen: Mangels automatischem Update-Mechanismus finden die Patches kaum Verbreitung. Endkunden wissen oftmals gar nicht, wo die Firmware-Downloads zu finden sind.
Verschärft wird das Problem durch mögliche sowie bereits praktizierte Attacken auf die so gut wie immer bei einem Hyperscaler, wie Amazon Web Services, laufenden Backend-Systeme. Einem solchen Angriff können im Erfolgsfall die Login-Daten sämtlicher Nutzer zum Opfer fallen.
Sicherheitsexperten brauchen Fachwissen in Consumer-IOT
Warum Consumer-IoT auch ins Sicherheitskonzept einer Organisation gehört? Weil sich die IT-Assets des Unternehmens dank Homeoffice im gleichen Netzwerk finden wie die IoT-Komponenten. Es ist durchaus wahrscheinlich, dass Unternehmen auch nach dem Ende der Pandemie weiterhin flexible Arbeitskonzepte anbieten werden – und sich das Homeoffice damit fest im Cyber-Sicherheitskonzept verankert. Cyber-Sicherheitsprofis sind daher gut beraten, ihr Fachwissen auch in der Konsumenten-IoT fit zu halten.
Denn ganz egal, wie fatal einzelne Schwachstellen auch sein mögen: Das Vernetzen von Dingen – sei es in der Produktion in Form der vielzitierten Industrie 4.0 oder zu Hause – lässt sich nicht aufhalten. IoT ist gekommen, um zu bleiben. Es ist daher an den IT-Security-Fachleuten, das Beste aus dieser Situation zu machen.