Maschinensicherheit im IoT IoT-Sicherheit bedeutet Komplexität beherrschen

Autor / Redakteur: Gonda Lamberink * / Sebastian Gerstl

Das Internet der Dinge, Smart Buildings und vernetzte Autos sind mittlerweile allgegenwärtig. Doch Cybersicherheit wird bei der Entwicklung von IoT- und intelligenten Geräten oft vernachlässigt. Dabei werden nicht nur unsere Systeme und Anwendungen immer ausgeklügelter, sondern auch die Methoden von Cyberkriminellen und anderer böswilliger Akteure. Um echte IoT-Sicherheit zu erreichen, muss daher auch die Komplexität smarter Geräte gemeistert werden.

Firmen zum Thema

(Bild: ©leowolfert - stock.adobe.com)

Der Markt für intelligente, vernetzte Geräte und IoT-Anwendungen boomt. Ob Smart Homes, vernetzte Autos oder industrielle IoT-Anwendungen (IIoT) - dieser anhaltende Wachstumstrend wird sich bis in die absehbare Zukunft fortsetzen. In naher Zukunft werden bereits mehr als 50 Milliarden Geräte - darunter Autos, intelligente Zähler und Wearables - miteinander vernetzt sein, so die Schätzungen vom GlobalWebIndex.

Obwohl der Begriff IoT für „Internet der Dinge” steht, muss darauf hingewiesen werden, dass sich viele smarte Geräte nicht unbedingt direkt mit dem Internet verbinden, sondern Proxys wie Hubs oder lokale Verbindungen über Bluetooth und Zigbee nutzen. Darüber hinaus nutzen die meisten IoT-Systeme Begleit-Apps oder zusätzliche Cloud-Dienste, die für den effektiven Betrieb des IoT-Geräts selbst benötigt werden.

Für die Zwecke dieses Artikels wird der Begriff IoT für jede Sammlung von Funktionen, die mindestens eine physische Komponente umfasst, die über ein geschaltetes oder drahtloses Netzwerk verbunden werden kann, verwendet. In den Anwendungsbereich dieser Definition fallen alle Komponenten des Systems: seine physischen Komponenten, die Software, die in den verschiedenen Rechenelementen eingesetzt wird, sowie jede zusätzliche Software, die in einer mobilen Anwendung oder einer Cloud-basierten Instanz eingesetzt wird.

In diesem Artikel wird auf verschiedene Anwendungsfälle eingegangen, in denen das IoT zum Einsatz kommt, wie z. B. in Fabriken oder im Smart Home, während speziell auf eine Gemeinsamkeit dieser Fälle hingewiesen wird, nämlich die ihnen zugrunde liegende Sicherheitsinfrastruktur.

Die Nachfrage nach nach dem industriellen Internet of Things (IIoT) boomt

Die Einführung des Industrial Internet of Things (IIoT) - die Anwendung von vernetzten Geräten für industrielle Zwecke - nimmt rasant zu. Immer mehr Fabriken werden durch den Einsatz von Sensoren und Computern, die die von der Fabrik erzeugten Daten analysieren und ihre Leistung optimieren, intelligent. Der Markt erfährt ein starkes Wachstum.

Die Einführung von Smart-Home-Geräten schreitet stetig voran

Smarte Geräte finden ihren Weg in unsere Häuser. Es wird erwartet, dass der globale Smart-Home-Markt bis 2023 einen Wert von 138 Mrd. US-Dollar (USD) haben wird. Die Anzahl an Haushalten mit Smart Home Geräten wird von 14,9 % im Jahr 2017 auf 61 % im Jahr 2021 ansteigen. Bis dahin wird der durchschnittliche Verbraucher Dutzende von persönlichen Geräten besitzen, darunter Smartphones, Tablets und Bluetooth-fähige Peripheriegeräte. Hinzu kommt eine ganz neue Generation von vernetzten Produkten, darunter Wearables, Sicherheitskameras, Lautsprecher und eine Flut von Smart-Home-Produkten, wie zum Beispiel Küchengeräte, die miteinander kommunizieren können und vernetzbar sind.

Anwender sind oft nachlässig in ihren Sicherheitsanforderungen

Die meisten von uns sind noch nicht so sehr an smarte Geräte gewöhnt, da viele dieser Produkte erst seit kurzem weit verbreitet sind. Daher unterschätzen viele Menschen immer noch die inhärenten Sicherheitsrisiken von smarten Geräten und die Schäden, die eine Sicherheitsverletzung mit sich bringen kann. Verbraucher von smarten Geräten brauchen Sicherheit.

Intelligente Geräte müssen sicher sein

Während immer mehr vernetzte Produkte auf den Markt kommen, ist die Gestaltung der Sicherheitsfunktionen manchmal das schwächste Glied im Produktdesign. Allzu oft finden Hacker immer noch Mittel und Wege, Schwachstellen in diesen Geräten auszunutzen.

Die Hersteller müssen eine sorgfältige Bewertung der Risiken vornehmen

Die Sicherheit muss von Anfang an in das Design des intelligenten Geräts integriert werden. Um dies zu erreichen, muss das Designteam die Risiken verstehen, denen dieses System ausgesetzt ist und welche Motivation ein Hacker hätte, das System zu kompromittieren und zu verletzen.

Im Wesentlichen bedeutet dies, dass eine gründliche Abwägung zwischen der Leichtigkeit, mit der die Sicherheit des Systems durchbrochen werden kann, und dem Wert, der aus den Daten des Systems gewonnen werden kann, vorgenommen wird. Dies ist eine einfache Kosten-Nutzen-Analyse seitens des Hackers, um zu entscheiden, ob es sich lohnt, das System anzugreifen.

In den meisten Fällen sind die Daten des Benutzers das Ziel einer Attacke. Das heißt, alle Merkmale des Smart-Geräts und seines Systems - der Speicher, die Verarbeitungsleistung, die Bandbreite und Output-Daten, die Netzwerkfunktionen und der Standort eines Geräts - können als wertvolle Ziele durch einen böswilligen Angreifer betrachtet werden. Der Grund dafür ist, dass der Angreifer möglicherweise nicht einmal hinter den Daten eines Benutzers her ist, sondern vielmehr versucht, ein Gerät zu kapern, um unerlaubt Daten auf dem Gerät zu speichern oder es in ein Botnetz einzubinden.

Ein Hacker kann es zum Beispiel auf die Daten abgesehen haben, die eine Person auf ihrem Gerät gespeichert oder auf die sie zugegriffen hat, um sie zu stehlen und zu verkaufen oder sie zu verschlüsseln und dem Inhaber anzubieten, sie gegen eine Lösegeldzahlung zu entschlüsseln. Ebenso kann der Angreifer darauf abzielen, das Gerät wegen seiner Rechenleistung zu kapern, da er es zum Mining von Kryptowährungen verwenden möchte. In einem weiteren Fall könnte der Hacker sogar auf die Netzwerkfunktionen des Geräts abzielen, um dessen Bandbreite zu nutzen, um einen DDoS-Angriff (Distributed Denial of Service) auf ein anderes System durchzuführen. Die Motivationen eines Angreifers können vielfältig sein.

Ob ein Teil eines IoT-Systems oder eines intelligenten Geräts bedroht ist oder nicht, hängt dabei weniger davon ab, was es ist, sondern wo es sich befindet und für welchen Zweck das Gerät verwendet wird. Zum Beispiel ist eine angeschlossene Kamera, die direkt mit dem Internet verbunden ist und Innenansichten eines Hauses oder einer Fabrikhalle liefert, ein hochwertiges Ziel für Hacker. Das Gleiche gilt für jedes Gerät, das über große Verarbeitungs- und Bandbreitenressourcen verfügt. Auf der anderen Seite ist ein Bluetooth-Lautsprecher, der lediglich die Funktion hat, Musik von einem verbundenen Telefon abzuspielen, in der Regel kein attraktives Ziel für Angreifer.

Anwender müssen wachsam bleiben

Anwender – ob Unternehmen oder Privatpersonen – müssen wachsam bleiben und sich der Sicherheitsrisiken bewusst werden, die mit vernetzten Geräten verbunden sind. Insbesondere brauchen sie das Vertrauen - vor allem von einer unabhängigen Partei - zu wissen, dass das Gerät, das sie kaufen, getestet ist und seine Sicherheit überprüft wurde. Eine Überprüfung durch eine dritte Partei kann den Verbrauchern dieses Vertrauen geben.

Das Testen und Verifizieren von Ansprüchen kann die Sicherheit bieten, die alle beteiligten Parteien benötigen

Die Verifizierung von Angaben über die Sicherheit und Funktionalität eines intelligenten oder vernetzten Geräts kann Herstellern und Verbrauchern gleichermaßen Sicherheit bieten und auch als Unterscheidungsmerkmal auf dem Markt dienen. Die Sicherheit von IoT-Geräten durch Bewertungen zu adressieren, hilft, Vertrauen auf dem Markt zu schaffen. Drittanbieter-Konformitätsbewertungsstellen und Zertifizierungsunternehmen wie UL führen eine gründliche Bewertung des IoT-Geräts durch.

Gründliche Tests und Validierungsverfahren sind wichtig

Test- und Validierungsverfahren müssen gründlich sein. Dies kostet sowohl Zeit als auch Geld. Bei Sicherheitstests sollten keine Abstriche gemacht werden. Für mehr Sicherheit müssen detaillierte und gründliche Tests an dem betreffenden Gerät durchgeführt werden. Ein gründlicherer Test der Sicherheit eines Geräts wird mehr Zeit in Anspruch nehmen als ein weniger gründlicher Test, aber alles in allem kann der gesamte Testprozess zeitnah abgeschlossen werden.

Da die Gewinnspannen bei IoT-Systemen bereits dünn sind, werden die Hersteller wahrscheinlich nicht in der Lage sein, diese Kosten an die Verbraucher weiterzugeben. Das bedeutet aber, dass die Hersteller einen Kosten-Nutzen-Abgleich vornehmen müssen, wenn sie entscheiden, auf welchem Niveau sie ihre verschiedenen Produkte testen.

Wie bereits erwähnt, kann das akzeptable Sicherheitsniveau als eine Funktion des Gerätetyps und der Implementierung betrachtet werden: Eine Kamera, die Bilder von einem Haus oder einer Fabrikhalle überträgt, hat ein höheres Sicherheitsbedürfnis als ein Gerät, das nur Musik abspielt. Wie bereits erwähnt, geht es bei der Wahrscheinlichkeit eines Angriffs auf ein System eher um das „Wo” als um das „Was”.

Eine Sache, die hier zu beachten ist, ist, dass nicht alle angeschlossenen Geräte notwendigerweise mit dem Internet per se „verbunden” sind. Zum Beispiel verbinden sich IoT-Glühbirnen oft über Kurzstreckenfunk wie Zigbee und sind daher nicht direkt über das Internet erreichbar. Dies reduziert das Risiko, dass diese Geräte zum Risiko des Gesamtsystems beitragen. Sie können nicht auf das lokale Netzwerk (LAN) des Benutzers - eines Hauses oder einer Fabrik – zugreifen. Dementsprechend können Hacker nicht direkt über das Internet auf sie zugreifen. Auf ihnen sind keine sensiblen Daten gespeichert und ihre Rechenleistung und Bandbreite sind ebenfalls vernachlässigbar.

Wenn sie direkt angeschlossen sind, benötigen Glühbirnen im Allgemeinen keine Sicherheitsgarantie. Allerdings haben ihre Verbindungs-Hubs einen Bedarf dafür.

Router und Firewalls hingegen haben das höchste Sicherheitsbedürfnis, da sie an der „Front” stehen, wenn es um die Gewährleistung der Netzwerksicherheit geht. Daher erfordern diese Produkte die umfangreichsten Tests und Validierungen.

Daraus ergibt sich im Wesentlichen eine mehrschichtige Sicht auf die Netzwerksicherheit und was der richtige Ansatz für das Testen der in Fabriken und Haushalten verwendeten IoT-Systeme ist. Grob gesagt, sollten die Schichten durch die Zugänglichkeit und den Wert des Systems selbst definiert werden.

Unternehmen sollten sich die folgenden Fragen stellen, wenn sie die Sicherheitsanforderungen ihrer Produkte berücksichtigen: Implementiert das System sicherheitsrelevante Funktionen, wie z. B. Netzwerk- oder physische Sicherheit? Benötigt das System eine direkte Verbindung zum Internet oder kann es so konfiguriert werden, dass es eine solche hat? Wenn die Antwort „Ja” lautet, dann benötigen diese Systeme ein hohes Maß an Sicherheit.

Oder bei der Frage, ob das System nur über Netzwerke mit geringer Bandbreite, die nicht über das Internet geroutet werden können, wie z. B. Zigbee oder Bluetooth-Audio, erreichbar ist: Wenn die Antwort „ja” lautet, dann reicht ein geringes Maß an Sicherheit völlig aus.

UL kann Herstellern und Verbrauchern von IoT-Produkten gleichermaßen helfen, zu bestätigen, dass die von ihnen beschafften IoT-Systeme von höchster Qualität sind, dadurch das ihre Sicherheit getestet, validiert und verifiziert wurde. Aus diesem Grund hat UL das IoT Security Rating-Programm entwickelt. Das IoT Security Rating reiht sich in eine wachsende Liste von IoT-Sicherheitslösungen ein, die von UL für unterschiedliche Anwendergruppen und -zwecke entwickelt wurden, darunter das UL Supplier Cyber Trust Level, das UL Cybersecurity Assurance Program, IEC 62443 Lösungen und andere Schulungs- und Beratungsdienste, die sich mit Sicherheitsbewertungen über Ökosysteme hinweg sowie der gesamten Lieferkette sicherheitsregulierter Märkte beschäftigen.

Die Autorin

Gonda Lamberink, Global Senior Business Development Manager bei UL.
Gonda Lamberink, Global Senior Business Development Manager bei UL.
(Bild: UL LLC)

Gonda Lamberink ist Business Development Manager im Bereich Identity Management and Security bei UL, dem weltweit führenden Unternehmen für Sicherheitswissenschaften. Frau Lamberink befasst sich mit Cybersicherheit für IoT-Marktsegmente weltweit, einschließlich Smart Home, Smart Building und Industrie 4.0, mit einem Schwerpunkt auf IoT-Anwendungen mit Fokus auf intelligente Verbraucher- und Haushaltsgeräte, Gebäudesicherheit, Gebäudeautomatisierung, Energiemanagement, Beleuchtung und industrielle Steuerungssysteme. Bevor sie zu UL kam, arbeitete Frau Lamberink als Strategieberater bei PwC Transaction Services in Amsterdam und als Wirtschaftswissenschaftler im niederländischen Wirtschaftsministerium.

(ID:47085184)