Foto: BeeBrighter/Shutterstock.com
In der IT-Steinzeit, in der wir leben, zählen wir noch, wie viele Geräte wir nutzen. Eines der deutlichsten Anzeichen der anbrechenden IT-Neuzeit ist die schiere Masse an vernetzten IT-Devices, die Großteils unsichtbar sind und zunehmend unseren Alltag und unser Wirtschaftsleben steuern. Der grundlegende Unterschied zwischen dem neuzeitlichen Internet of Things (IoT) und der Machine-to-Machine-Communication (M2M) in der Frühsteinzeit: M2M-Netzwerke waren separat - sie hatten keine Anbindung an das öffentliche Internet. Mit Geldautomaten und Überwachungskameras begann es dann - das Internet der Menschen und das Internet der Dinge verschmolzen miteinander. Jetzt müssen wir dafür sorgen, dass uns diese Dinge keine Probleme bereiten.
Services statt Maschinen verkaufen
In Unternehmen hat die IT bis dato vor allem für schnellere Abläufe und höhere Effizienz gesorgt. Im Zuge der Digitalen Transformation werden die Abläufe dagegen grundlegend verändert mit dem Ziel einer neuen Effektivität. Das Internet of Things ist ein Resultat dessen, wie viele Beispiele zeigen. Vernetzte Dinge ermöglichen es Unternehmen, ganze Wertschöpfungsketten zu verändern. Zum Beispiel, weil Unternehmen anderen Unternehmen nicht mehr Klimasysteme, Fahrzeuge und Bohrmaschinen verkaufen, sondern Luft, Kilometer und Löcher.
Sicherheitsbedenken sind angesichts dieser Entwicklung durchaus angebracht, aber fundamentaler Widerstand gegen die Richtung der Evolution ist zwecklos. Im Rahmen der Digitalisierung nimmt der effektivitätsgetriebene CEO dem effizienzgetriebenen CFO die IT-Verantwortung ab. Er sorgt dafür, dass sein Unternehmen die Chancen und Erlösmodelle des Internet of Things nutzt. Es bleibt die Aufgabe, mittels Security of Things die digitale Transformation zu sichern.
Diese Aufgabe ist undankbar. Denn was heute an Dingen im Internet hängt, ist leicht zu finden und zu knacken. Ein Test des Sicherheitsforschers Robert Graham zeigte kürzlich, dass eine haushaltsübliche Überwachungskamera ohne zusätzliche Schutzmaßnahmen innerhalb von 98 Sekunden nach Verbindung mit dem Internet infiziert war. Die Attacken sind deshalb so leicht, weil jedes Gerät über einen Webserver verfügt und von überall her darauf zugegriffen werden kann. Auch die meisten Kombinationen von Betriebssystemen und Schnittstellen von Industrie-Controllern stammen aus einem vergangenen Zeitalter. Man kann sie gar nicht patchen oder härten, selbst wenn man wollte. Hat sich eine kriminelle Organisation Zugang zu einem dieser Geräte verschafft, zum Beispiel, weil sie das Standard-Kennwort oder eine Sicherheitslücke kennt, kann sie den Angriff automatisieren, weltweit ausführen und die Geräte dauerhaft unter Kontrolle halten.
Die Ziele der Kriminellen
Dabei gibt es drei Szenarien, um das Gerät zu missbrauchen und Nutzen daraus zu ziehen. Entweder die Cyberkriminellen nehmen es als Einfallstor in das Netzwerk, in dem sich das gehackte Ding befindet - unter anderem für Datendiebstahl und Spionage - oder sie nutzen es als Waffe nach außen, als Bot (Web Robot) für Distributed Denial of Service (DDoS) Angriffe. Mit denen können sie Webseiten ausschalten, Rechenzentren zum Absturz bringen oder ganze industrielle Infrastrukturen außer Gefecht setzen. Und zu schlechter Letzt können Kriminelle direkt das Verhalten der Geräte ändern und - denken wir nur an vernetzte Fahrzeuge - erheblichen Schaden anrichten.
Foto: Anucha Cheechang/Shutterstock.com
Hacker können über das Einfallstor der vernetzten Dinge die bekannten Schadprogramme einschleusen. Bisher mussten sie es schaffen, dass ein User einen infizierten Mail-Anhang öffnet. Dieser lästige Zwischenschritt im Hack fällt nun weg: Eine infizierte Überwachungskamera ist genauso geeignet, sich Zugang zu allen anderen Netzwerkressourcen zu verschaffen wie ein infizierter PC. Dadurch, dass in der Regel niemand die Kamera managt oder überwacht, ist sie sogar noch besser geeignet. Ist das Gerät Teil einer sicherheitsrelevanten Infrastruktur, etwa von Energieversorgern, stehen alle Türen offen, um einen immensen wirtschaftlichen Schaden anzurichten oder sogar Menschenleben zu gefährden.
Viel Aufmerksamkeit erhielt die in ihrer Wucht früher kaum vorstellbare DDoS-Attacke auf den Internetdienstleisters DynDNS, der unter anderem Twitter, Amazon, Netflix und Spotify k.o. geschlagen hat. Früher galten solche Dienste als praktisch unverwundbar durch DDoS, weil der Aufwand, ein Botnet mit hunderten von Millionen von Geräten zu erstellen, als zu groß galt.
Hunderte Millionen IoT-Waisenkinder
Heute ist der Aufwand überschaubar. Selbst große Unternehmen managen IoT-Geräte kaum mit der gleichen Ernsthaftigkeit wie einen PC oder Server. Selten werden sie gepatcht, ihre Integrität kontrolliert oder der ein-und ausgehende Datenverkehr durch geeignete Firewall-Regelungen eingeschränkt. IoT-Geräte sind die Waisenkinder der IT. Und davon gibt es in der anbrechenden IT-Neuzeit bereits einige hundert Millionen.
IoT absichern
Analog zu den grundlegenden Zielrichtungen der Attacken, gibt es vor allem zwei Wege, zu verhindern, dass die Digitale Transformation durch kompromittierte IoT-Geräten gebremst wird: Erstens Sicherheit auf den Geräten selbst (Security by Design) und zweitens vorgeschaltete Sicherheitsmechanismen (Security by Architecture). Der erste Weg, die Sicherheit auf den Geräten selbst zu erhöhen, besteht vor allem aus den folgenden Elementen: Verschlüsselung von ruhenden und bewegten Daten, starke Authentifizierung für den Zugriff, automatische Patches für Sicherheitslücken und Alarmierung bei auffälligen Verhaltensweisen.
Doch auf Security by Design müssen die Anwender warten, bis der Hersteller sie liefert. Die gute Nachricht ist, dass Unternehmen selbst sträflich ungesicherte IoT-Endpoints sichern können. Der zweite Weg zur Security of Things ist der Schutz der Geräte von außen. Eine vorgelagerte Instanz schirmt das vernetzte Ding dann vor illegitimen Zugriff sowie vor Malware ab und unterbindet ungewünschten Traffic. Dies übernehmen klassischerweise Firewalls, wobei die Firewalling-Funktionalität nicht unbedingt im 19-Zoll-Rack daher kommen muss.
Security of Things
Security of Things ist also, technisch gesehen, erreichbar. Wo ist dann das Problem? Zunächst stehen die Hersteller von IoT-Devices vor großen technischen Herausforderungen. Produktmanager von Industrie-Hardware, Maschinen oder gar Consumer-Hardware wissen meist weder über vernetzte IT noch über Endpoint-Sicherheit ausreichend gut Bescheid. Wer jahrelang Gefriertruhen für Supermärkte, Flotten-Management-Lösungen in der Logistik oder Bohrmaschinen für die Industrie entwickelt hat und diese Geräte jetzt für neue Geschäftsmodelle Internet-fähig und smart gestalten will, unterschätzt die Sicherheitsherausforderungen. Gerade die erfahrenen Ingenieure hatten in ihrer bisherigen Karriere nicht unbedingt mit automatisierten Attacken aus aller Welt zu kämpfen.
Selbst die IT-Fachleute, welche die Produkt-Manager möglicherweise zu Rat ziehen, kennen sich nur mit klassischen Netzwerken mit allenfalls einigen hundert Geräten aus, aber nicht mit der neuartigen Vernetzung zehntausender Maschinen oder Sensoren. IT-Security-Personal ist ohnehin rar. Eine der Konsequenzen: Viele der heute erhältlichen Security-Lösungen für IoT-Endpoints starten lediglich eine Applikation zur Datenverschlüsselung. Dieser oberflächliche Schutz hilft aber zum Beispiel nicht vor dem Missbrauch der Geräte in Bot-Netzen.
Die Anwenderunternehmen mit ihrem Einkaufsverhalten tragen ebenfalls Verantwortung. Man sollte eben nicht die von Graham getestete Überwachungskamera für 55 Dollar kaufen, die nach wenigen Sekunden bereits infiziert ist. Typischerweise achten Unternehmen, die IoT-Geräte implementieren, nur auf Funktionalität und einen bequemen Zugriff aus der Ferne. Unternehmen sollten all ihre Endpoints auflisten und sich bei jedem fragen, ob er ausreichend geschützt ist. Gegebenenfalls kommen Unternehmen nicht umhin, unsichere, nicht aktualisierbare Hardware gegen sichere auszutauschen.
Firewalls im Alltag
Zu guter Letzt hat auch die Firewall-Industrie vor der Herausforderung des Internets der Dinge versagt. Heute brauchen Unternehmen Firewalling überall, wo Anwender, Daten und Applikationen auftauchen. Die Hardware für eine sichere und skalierbare Verbindung von IoT-Geräten muss klein, leicht, einbaufähig und integrierbar sein. Die heute üblichen Technologien sind funktional mächtig, aber haben den falschen Formfaktor und die falsche Architektur. Eine Firewall for Things, die vielleicht zehntausende von Dingen auf Telefonmasten oder an Windrädern schützen soll, benötigt eine darauf angepasste Architektur. Unverzichtbar ist eine kluge Arbeitsteilung zwischen Aufgaben, die direkt auf der lokalen Firewall-Hardware erledigt werden, und solchen, die andere Instanzen der Firewall erbringen, zum Beispiel in der Cloud, auf einer Aggregator-Ebene oder im Rechenzentrum. Nur so ist die notwendige hohe Leistung bei hoher Sicherheit und geringen Ausmaßen der Hardware erreichbar. Nicht weniger wichtig ist ein umfassendes Management. Die Systeme müssen in der Lage sein, die klassische Unternehmens-IT mit von Menschen bedienten Clients, Backend-IT on Premises und in der Cloud einerseits sowie alle IoT-Endpoints andererseits in einer einheitlichen Sicht darzustellen.
Schutzgelderpressung im IoT
Im Internet of Things wird es noch einige Jahre zugehen wie im Wilden Westen. Da Cyber-Kriminelle ständig nach immer besseren Wegen suchen, um Geld mit ihren Machenschaften zu verdienen, werden IoT-Attacken zunehmen. Sie sind derzeit der billigste Weg und das machtvollste Instrument, um finanzielle oder andere Ziele zu erreichen. Cyberkriminelle werden vor allem das Erpressungspotenzial nutzen, wenn sie Daten verschlüsseln oder geschäftskritische Maschinen oder Prozesse außer Gefecht setzen.
Sie brauchen zum Beispiel nur eine relativ kleine Zahl an Geräten unter ihrer Kontrolle zu bringen, um auf Jahre hinaus für eine "Maschinenversicherung" sizilianischer Prägung zu kassieren. Cyberterroristen werden es auf die Geräte und Maschinen absehen, mit denen sie den höchsten unmittelbaren Schaden anrichten können, zum Beispiel in kleinen, schlechter gesicherten Kraftwerken. Und in der digitalen Kriegsführung (Cyber Warfare) werden Staaten es darauf absehen, möglichst viele Geräte unter ihre Kontrolle zu bringen. So können sie bei Bedarf immer wieder mittels DDoS-Attacken ihre Macht demonstrieren, ganze Regionen und Länder ihrer überlebenswichtigen Grundlagen zu berauben und ganze Armeen, mit ihrer Verpflegungs- und Ausrüstungslogistik lahm zu legen.
Wo die Nutzer der digitalen Dinge selbst geschädigt werden, regelt der Markt voraussichtlich die Herausforderung zuerst. Mit jedem öffentlichkeitswirksamen IoT-Hack werden manche Unternehmen nachhaltig geschädigt und die anderen werden ihre Netzwerke besser schützen. In etwas mehr als fünf Jahren wird diese Seite der Security of Things weitgehend im Griff sein. Anders sieht es aus hinsichtlich der Bot-Netze und DDos-Angriffe. Hier haben die IoT-Anwender selbst keinen unmittelbaren Schaden und bemerken den Missbrauch ihrer Geräte auch nicht. Langfristig und gesellschaftlich entsteht hier aber die größere Gefahr. Sie ruft daher auch nach ordnungspolitischen Maßnahmen, einer Verpflichtung für Hersteller und Anwender, solchen Missbrauch zu erschweren.