Achillesferse Security: IoT muss sicherer werden

Das Internet der Dinge (Internet of Things, IoT) bietet grundsätzlich vier Einfallstore für Hacker und andere Cyberkriminelle: die Endgeräte, die App auf dem mobilen Gerät, das Backend und die Übertragungswege. Doch viele Anbieter und auch Kunden von IoT-Anwendungen vernachlässigen bei der Entwicklung den Faktor Sicherheit. Daher überrascht es nicht, dass die Teilnehmer des COMPUTERWOCHE-Round-Tables "IoT - im Spannungsfeld zwischen Security und Safety" für die aktuelle Sicherheitslage im IoT auf einer Skala von 1 (=sicher) bis 10 (=katastrophal) im Schnitt eine 8,5 bis 9 vergaben.

"Es ist teilweise erschreckend, was die Kunden tun. Sie erstellen einen Proof of Concept ihrer Anwendung und gehen dann so schnell wie möglich produktiv. Die Sicherheit steht dabei im Hintergrund, da sie zu viel Aufwand kostet", sagte Matthias Schorer, Lead Business Development Manager IoT, EMEA, bei VMware. "Das ist fatal, da die Gefahren und die Komplexität durch die zunehmende Vernetzung weiter steigen."

Josef Meier, Manager Sales Engineering Germany bei Fortinet, sieht das ähnlich: "Bei vielen disruptiven Technologien stehen zunächst die Vorteile im Vordergrund. Der Gedanke an Sicherheit kommt erst nach einer gewissen Zeit der Nutzung. So ist es auch beim Thema IoT." Eine weitere Security-Problematik sieht er im großen Spektrum der IoT-Anwendungen, die von Wearables über das vernetzte Auto bis hin zu Produktionsanlagen reichten.

Industrie besser geschützt als Privatanwender

Die Teilnehmer des Round Tables waren sich einig, dass man zwischen verschiedenen Anwendungsszenarien differenzieren müsse. "Im IoT sind die Scheunentore aktuell bei Privatanwendern noch weitaus offener als bei den Firmen. Unternehmen sind zwar meist besser geschützt, müssen aber die Innovationen des IoT weiterhin mit Sicherheit verknüpfen. Diese Sicherheit muss dabei bereits am Zugangspunkt von IoT-Geräten gewährleistet werden", erklärt Nicolai Blonner, Account Manager bei Alcatel-Lucent Deutschland.

Auch Andreas Kaiser, Director von Rohde & Schwarz Cybersecurity, ist der Meinung, dass große Industriebetriebe schon relativ sicher seien und in vielen Fällen bereits auf Security by Design setzten. "Das IoT forciert die Konvergenz zwischen dem öffentlichen Internet und dem bisher geschlossenen Raum der Industrieanlagen. Firmen müssen daher Security ganzheitlich betrachten. Im privaten Bereich ist Security für viele Nutzer zu komplex. Daher würde ich hier auf der Skala von 1 bis 10 den Faktor 10 ansetzen."

Smart-Home-Lösungen, Thermostate oder andere vernetzte Geräte in Privathaushalten werden zunehmend zum Ziel von Hackern. "Sicherheit ist hier immer auch eine Kostenfrage", gibt Paul Haigh zu bedenken, Country Manager Germany IoT bei Vodafone. "IP-Kameras gibt es beispielsweise für 25 Euro, aber auch für 500 Euro. Ein teureres Gerät eines etablierten Herstellers hat wahrscheinlich auch ein viel sicheres System im Hintergrund."

Umstritten: Erhöhen Standards den Schutz?

Endanwender haben bei der Wahl von IoT-Lösungen eine große Auswahl. "Die Vielfalt der Produkte erschwert aber die Entwicklung von Standards. Wir brauchen einige IoT-Standards, um die Sicherheit zu erhöhen, etwa bei den Schnittstellen", fordert Axel Hansmann, VP M2M Portfolio & Strategy bei Gemalto. "Sicherheit darf nicht nur auf höhere Anlaufkosten reduziert werden, sondern kann als Wegbereiter neuer Geschäftsmodelle auch mehr Wertschöpfung ermöglichen."

VMware-Mann Matthias Schorer ist beim Thema Standards etwas skeptischer. "Es dauert ewig, bis ein Standard umgesetzt ist. Die technische Entwicklung ist hier zu schnell. Und Standards alleine helfen nicht, wenn die IoT-Software Schwachstellen aufweist." Laut Schorer gibt es in der Industrie rund 2.000 verschiedene Protokolle, jeder Gateway-Hersteller setze seine eigene Linux-Software ein, der Wildwuchs an Betriebssystemen sei nur schwer in den Griff zu bekommen.

Martin Böker, Director B2B bei Samsung, fordert vor allem Schnittstellen-Standards für die sichere Kommunikation zwischen den vernetzten Geräten. "Die Geräte sollen offen sein, müssen sich aber in einem geschlossenen Umfeld bewegen. Die Standardisierungsgremien müssen hier ihre Prozesse überdenken und beschleunigen, damit sich die Standards schneller an neue Entwicklungen anpassen lassen."

Standards seien insbesondere für die funktionale Sicherheit und Anwendungen notwendig, in denen menschliches Leben auf dem Spiel steht, meint Andreas Kaiser von Rohde & Schwarz Cybersecurity. "Das autonome Auto funktioniert ohne Standards nicht. Auch in kritischen Infrastrukturen und der Industrie geht nichts ohne Standards und Zertifikate für den Zugang zum Netz. Wir müssen wissen, was passiert, wenn sich ein Gerät mit einem Netzwerk verbindet."

Das Netzwerk muss transparent sein

Basis für ein sicheres IoT sind die Netzwerke. Notwendig sind intelligente Netze, die Geräte einwandfrei identifizieren, weiterleiten und ihnen dann entsprechend ihrer Rechte Zugriff gewähren. Doch angesichts der enormen Zahl der vernetzten Geräte besteht die Gefahr, dass blinde Flecken entstehen und Firmen den Überblick verlieren.

"Unternehmen benötigen neben einer Risikoanalyse eine genaue Übersicht der Endpoints in ihrem Netzwerk. Ich kann nur das schützen, was ich kenne. Es geht um Security through Visibility", erläutert Markus Auer, Regional Sales Director DACH bei Forescout. "Hier helfen agentenlose Lösungen, die Geräte automatisch klassifizieren und feststellen, was sich hinter welcher MAC-Adresse verbirgt. Diese Transparenz bildet dann die Basis für weitere Maßnahmen wie etwa die Segmentierung des Netzwerks."

Netzwerk-Segmentierung ist die Trennung oder Isolation von Netzwerken beziehungsweise die Aufteilung eines größeren Netzwerks in mehrere logische, autark arbeitende kleinere LAN-Segmente. Aus Gründen der Sicherheit haben diese Segmente keine Verbindung mit anderen Netzen oder dem Internet. "Die Smart Devices bewegen sich zwischen verschiedenen sicheren oder unsicheren Netzen. Das vernetzte Auto beispielsweise verbindet sich mit dem WLAN zuhause oder dem Händlernetz. Segmentierung, Verschlüsselung und sichere Authentifizierung sind hier unabdingbar, um Hacker-Attacken oder die Verknüpfung verschiedener Smart Devices zu einem Botnetz zu verhindern", betont Josef Meier von Fortinet. Auch Paul Haigh, Country Manager Germany IoT bei Vodafone sieht das Netzwerk als Schlüssel für ein sicheres Internet der Dinge: "Um den besten Schutz zu ermöglichen, sollte IoT grundsätzlich in einem geschlossenen privaten IP-Netz ablaufen."

KI und Automatisierung erhöhen Sicherheit

Sichere, intelligente und segmentierte Netzwerke, mehr Standards, Verpflichtung der Hersteller zu Security by Design, Verschlüsselung und sichere Authentifizierung - der Strauß an möglichen Maßnahmen zum Schutz des IoT ist bunt. "Im Prinzip brauchen wir einfache Lösungen, die aus der Zusammenarbeit verschiedener Partner entstehen, um das IoT sicher zu gestalten" sagt Christian Pfalz, Sales Director für Cloud Service Provider & Strategic Verticals bei Juniper. "Aber noch gibt es sehr unterschiedliche Konzepte, wie eine entsprechende Security-Referenzimplementierung aussehen kann."

In einem jedenfalls ist er sich sicher: Ohne Anomalie-Erkennungs-Algorithmen und Künstliche Intelligenz (KI) wird eine derartige Lösung künftig nicht mehr auskommen. "Das System wird nach entsprechendem Training mit Hilfe von KI Muster und Anomalien im Datenverkehr erkennen, Korrelationen herstellen und automatisiert mit entsprechenden Schutzmaßnahmen reagieren", so Christian Pfalz. Zudem sollte seiner Meinung nach in den IoT- Geräten Software-Code eingebettet sein, um diese automatisiert schützen zu können. "Dies wäre eine notwendige Ergänzung einer klassischen Firewall", so Pfalz.

Auch für Markus Auer von Forescout stellt die Automatisierung die Basis für eine schnelle Reaktion auf Sicherheitsvorfälle (Incidents) dar: "Die Lösungen sind vorhanden, die angegriffene Systeme identifizieren und binnen Sekunden in Quarantäne schieben, nachdem diese von Malware infiziert wurden. Doch noch zögern viele Unternehmen mit deren Einsatz, da sie der Maschine nicht vertrauen. Hintergrund dafür ist meist die False-Positive-Rate dieser Systeme. Diese wird sich künftig aber weiter verbessern."

Neue Sicherheitskultur notwendig

Natürlich erzeugen unreife Intrusion-Detection-Systeme mit hohen False-Positive-Raten Unsicherheit und Vorbehalte bei den Anwendern. Auer fordert deshalb eine Kultur der Offenheit mit Information der Kunden. "Denkbar wäre eine Art Beipackzettel der Hersteller, der offen legt, über welche Ports die Kommunikation läuft und potenzielle Schwachstellen aufzeigt", erklärt Auer, "hier könnte man die Kunden auch zum Ändern des Passworts etwa bei IP-Kameras auffordern und ihr Bewusstsein für Gefahren schärfen."

Neben Offenheit geht es auch um die Sensibilisierung und Schulung der Mitarbeiter. Der Mensch ist immer noch das schwächste Glied in der Security-Kette. "Wir benötigen einen ganzheitlichen Ansatz mit Schulungen, Zertifizierungen und technischen Maßnahmen. Wir müssen das Sicherheitsbewusstsein bei unseren Mitarbeitern schärfen. Es kann nicht sein, dass sie ihr Notebook offen im Zug stehen lassen oder über sensible Firmenthemen im Abteil laut sprechen. Der Faktor Mensch bleibt immer ein Risiko", sagt Andreas Kaiser von Rohde & Schwarz Cybersecurity.

"Übergreifend geht es auch um organisatorische Sicherheit mit Klassifizierung von Daten, Risikoanalyse, Gebäudeabsicherung, Rechtevergabe, User Awareness oder die Verschlüsselung der wichtigsten Daten. Gegen leichtsinnigen Umgang mit vertraulichen Daten gibt es kaum Möglichkeiten der technischen Absicherung", ergänzt Josef Meier von Fortinet, "und die Firmen müssen grundsätzlich bereit sein, in den aktuellen Stand der Sicherheitstechnik zu investieren."

Zum Thema IoT führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, wie deutsche Manager das Thema IoT in ihren Unternehmen angehen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Franziska Kaufmann (fkaufmann@idg.de, Telefon: 089 36086 882) gerne weiter. Informationen zur IoT-Studie finden Sie auch hier zum Download.