Umfassendes Security Management für IoT

Internet of Things braucht sichere Prozesse

09.01.2016
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

IoT-Sicherheit braucht Prozesssicherheit

In seinem Vortrag "Beyond The Toaster Oven - Building A Secure Future For The IoT" auf den ISD 2015 wies Paul Vixie auf die besonderen Herausforderungen im Internet of Things hin. Dazu gehören (zu) optimistische Vorstellungen zu den vorhandenen IT-Sicherheitsrisiken, die Geschwindigkeit der Time-to-Market-Prozesse bei der Entwicklung, die oftmals niedrigen Produktpreise, die häufig lange Lebensdauer der Produkte, die geringen Möglichkeiten für eine Interaktion zwischen Produkt und Nutzer sowie der mangelnde Wille des Nutzers, die IoT-Lösungen zu warten.

Die Sicherheitsarchitektur müsse zu dem initialen und finalen Produktdesign gehören und auf zahlreiche Fragen eine Antwort liefern können, darunter

  • die Gewährleistung eines sicheren Betriebs außerhalb einer durch Firewalls geschützten Umgebung,

  • eine Minimierung der Angriffsflächen durch Härtung des Systems (Verzicht auf unnötige Funktionen, zumindest aber Deaktivierung),

  • die Klärung des Identitäts- und Zugriffsmanagements,

  • ein Prozess zur Fehlersuche und zur Reaktion auf entdeckte Fehler und Schwachstellen sowie

  • die Schaffung der (Hardware-)Voraussetzungen für eine starke Verschlüsselung.

Ohne ein Security und Privacy Assessment innerhalb des Design-Prozesses und ohne Sicherheitstests vor der Freigabe solle keine IoT-Lösung auf den Markt kommen.

Entwickler und IT-Sicherheitsexperten müssen stärker kooperieren

Security by Design wird generell gefordert, um den steigenden IT-Sicherheitsrisiken zu begegnen. Für das Internet of Things ist Security by Design allerdings unumgänglich, da mögliche Fehler in der Entwicklung später durch Patches kaum noch behoben werden können.

IT-Sicherheitsexperten stufen das Einspielen von Sicherheitspatches als wichtigste IT-Security-Maßnahme ein. Im Fall von IoT-Geräten ist dies allerdings oftmals nicht möglich.
IT-Sicherheitsexperten stufen das Einspielen von Sicherheitspatches als wichtigste IT-Security-Maßnahme ein. Im Fall von IoT-Geräten ist dies allerdings oftmals nicht möglich.
Foto: Google

Eine Umfrage von Progress Software unter Entwicklern für IoT-Apps zeigt, dass Entwickler den Schutz der Privatsphäre (20 Prozent) als die größte Herausforderung bei der Erstellung und dem Einsatz von IoT-Apps sehen. Knapp dahinter bewerten sie offene und interoperable Standards sowie den Schutz der Daten vor Cyber-Angriffen als größte Knackpunkte (jeweils 19 Prozent).

IoT-Lösungen und IoT-Entwickler brauchen somit dringend Unterstützung durch die IT-Sicherheit, allerdings nicht nur in Form von spezialisierten Security-Angeboten, sondern auch in Form einer Kooperation zwischen IT-Sicherheitsexperten und Entwicklungsexperten direkt in der Design- und Konzeptionsphase für IoT-Lösungen.

"Sicherheit im Internet der Dinge, und in der IT überhaupt, ist keine reine Technologiefrage. Vielmehr kommt es darauf an, effektive und dynamische Strategien zu definieren, die präventive Kontrollen, investigative Prozesse und eine schnelle Reaktion auf Sicherheitsvorfälle miteinander kombinieren", so Bob Griffin, Chief Security Architect bei RSA, anlässlich der IT-Security-Messe it-sa 2015.

Der G DATA Sicherheitsexperte Eddy Willems sieht allerdings einen Engpass bei den IT-Sicherheitsexperten: "Zweifelhaft ist, wie Sicherheitsexperten die Fülle der IoT-Unternehmen unterstützen können, da dieser Markt exponentiell wächst. Schon heute haben IT-Security-Fachleute alle Hände voll zu tun: Sie arbeiten kontinuierlich daran, das Internet sowie die Betriebssysteme und Geräte, die wir als Anwender nutzen, sicherer zu machen. Die beste Methode, mit diesen Gefahren des Internets der Dinge umzugehen, ist folglich ein ganzheitliches und systemisches Konzept."

Mehr QS-Zeit für längeres Produktleben

Das Internet of Things braucht ein integriertes Security Management, das von der ersten Lösungsidee bis zum Ende des Produktlebenszyklus reicht und nicht nur auf den Schultern der IT-Sicherheit ruht. Dazu gehört auch ein Notfallmanagement, das auf Sicherheitsprobleme bei den IoT-Lösungen umgehend reagiert.

Sind keine Fehlerbehebungen möglich und reicht der Schutz durch abschirmende Security-Lösungen gegen mögliche Angriffe nicht aus, muss das Ende des Produktlebenszyklus eingeläutet werden, die IoT-Lösung muss bei entsprechender Gefahr für Nutzer oder Nutzerdaten vom Markt genommen werden.

Wenn eine IoT-Lösung lange auf dem Markt verfügbar sein soll, geht dies nur bei ausreichend langer Zeit für Qualitätssicherung und IT-Sicherheitsmanagement. Dr. Paul Vixie zum Beispiel empfiehlt als zusätzliche QS-Maßnahme, verschiedene Red Teams (Sicherheitstester, die nicht zum Entwicklungskernteam gehören) einzuladen, am Prozess der Produktentwicklung teilzunehmen, diesen Teams Anreize und Kompensation zu bieten, wenn sie die ersten sind, die einen Fehler finden, sowie gemeinsame Pressemeldungen anlässlich der Produkteinführung vorzusehen, in denen die Redteams ihre Fähigkeiten herausstellen dürfen. IT-Sicherheit und Qualitätssicherung gelangen so in den Fokus des Internet of Things. Andernfalls gerät das Internet of Things zunehmend in den Fokus der Angreifer. (sh)