Unser Alltag ist von der Digitalisierung geprägt. Das Internet of Things ist auf dem Vormarsch. Im Privatleben nutzen wir schon heute ganz selbstverständlich Smartphones oder Smart-Home-Anwendungen, in den Produktionsstätten halten Industrie 4.0-Konzepte Einzug. Doch wie steht es dabei eigentlich mit der IT-Sicherheit?
Wir leben mitten im digitalen Zeitalter. Ein Handy ist schon längst nicht mehr nur zum Telefonieren da, es ist inzwischen "smart" geworden. Wir nutzen es als Fotoapparat, surfen damit im Internet, planen unsere Termine, sehen uns Videos an oder kommunizieren via Instant Messenger. Doch das Handy ist nicht das einzige intelligente Gerät, das wir im Alltag nutzen. Das Internet der Dinge (IoT) wächst rasant. Wegbereiter ist die fortschreitende Digitalisierung in allen Bereichen unseres täglichen Lebens. Doch Digitalisierung ist nicht gleich IoT. Insbesondere, wenn es um die Datensicherheit geht, zeigen sich die Unterschiede. Das lässt sich gut an der Design-Grundlage für Kommunikationsmodelle und Computernetze, dem OSI-Schichtenmodell (Open Systems Interconnection Model), veranschaulichen.
Open Systems Interconnection Model Foto: Luna2631 - shutterstock.com
Die Schichten eins bis vier sind transportorientierte Schichten, bei denen es um Bitübertragung oder Routing geht. Hier ist die Digitalisierung einzuordnen. Die Verschlüsselung zur Absicherung der Daten erfolgt auf diesen Ebenen kommunikationsbasiert, etwa über VPN- und SSL-Verbindungen oder Firewall-Technologien. Mit dem IoT hingegen wird die Technik "smart". Es geht nicht mehr nur um den reinen Datenaustausch, sondern darum, dass Geräte und Dinge untereinander kommunizieren, Steuerbefehle austauschen und interagieren.
Maschinen tauschen heute mehr aus als reine Datenströme. Foto: Monkey Business Images - www.shutterstock.com
Hier kommen Mechanismen, Verfahren und Protokolle der OSI-Anwendungsebenen fünf bis sieben zum Einsatz, die eine andere Sicht auf das Thema IT-Sicherheit erfordern. Konkret bedeutet das: In dieser Kategorie geht es nicht mehr nur um die reine Leitungsverschlüsselung. Vielmehr gilt es, eine konsequente Ende-zu-Ende-Verschlüsselung sicherzustellen. Ob dies mittels symmetrischer oder asymmetrischer Verschlüsselung erfolgt, hängt vom Anwendungsfall ab. Ein weiterer Unterschied zur Ebene der Leitungsverschlüsselung ist das deutlich komplexere Schlüsselmanagement. Es gilt, die Schlüssel zu generieren, zu verteilen und auch auszutauschen, und zwar auf der Ebene der Endgeräte.
Industrie 4.0 - ein Familienmitglied des IoT
Wo lässt sich nun das Konzept Industrie 4.0 einordnen? Ganz klar in das Umfeld IoT. Das Internet hält Einzug in die Fabrik, unterschiedliche Komponenten innerhalb einer Produktionsanlage sind miteinander vernetzt: Steuer-, Regel-, Mess- und Datenverarbeitungseinheiten, also die Grundelemente der Industriesteuerung, sind an das Internet gekoppelt und interagieren untereinander. Es entsteht ein kompliziertes Geflecht aus eingebetteten Systemen (Embedded Systems), das es abzusichern gilt. Die Frage ist nur, wie?
Industrie 4.0: Ein Leitfaden für CIOs
Industrie 4.0 - Leitfaden für CIOs Stephen Prentice (Gartner) legt den IT-Verantwortlichen zwölf Dinge ans Herz, die sie für den IT-Beitrag zu Industrie 4.0 beachten beziehungsweise tun sollten:
1. Nur keine Panik! Industrie 4.0 ist kein Sprint, sondern ein Marathon. Die gute Nachricht: Wenn man nicht so genau sieht, wo es hingeht, kann man bislang auch nicht wirklich eine Gelegenheit verpasst haben.
2. Integrieren Sie Informationstechnik und operationale Technik! Unter operationaler Technik (OT) versteht Gartner Ingenieurtechnik mit einer Langzeitperspektive. Sie liefert Information über das, was im Inneren der Produktionssysteme vor sich geht. Dabei ist sie digital, aber nicht integriert.
3. Steigern Sie den Reifegrad Ihres Fertigungsprozesses! Lernen Sie Ihre Mitspieler auf der Produktionsseite kennen. Verstehen Sie deren Sorgen und Hoffnungen und planen Sie den gemeinsamen Fortschritt auf einem fünfstufigen Weg.
4. Integrieren Sie Ihre Informations-Assets! Reißen Sie Ihre Silos nieder und öffnen Sie Ihre Unternehmenssysteme auch für externe Informationsquellen: Wetterdaten, Social Media etc. "Ihre wertvollsten Daten könnten von außerhalb Ihres Unternehmens stammen", konstatierte Gartner-Analyst Prentice.
5. Verinnerlichen Sie das Internet der Dinge! Das Internet of Things (IoT) ist der international gebräuchliche Begriff für das, was die Grundlage der Industrie 4.0 - und des digitalen Business - bildet.
6. Experimentieren Sie mit Smart Machines! Virtuelle Assistenten für die Entscheidungsunterstützung, neuronale Netze, cyber-physikalische Systeme, Roboter und 3D-Druck mögen aus der heutigen Perspektive noch als Spielerei erscheinen. Aber es lohnt sich, ihre Möglichkeiten auszuloten.
8. Scheuen Sie sich nicht, den Maschinen ein paar Entscheidungen anzuvertrauen! Der Fachbegriff dafür ist Advance Automated Decision Making. Es gibt schon einige Bereiche, wo Maschinen statt des Menschen entscheiden, beispielsweise bei der Einparkhilfe für Kraftfahrzeuge.
9. Denken Sie wirklich alles neu! Jedes Produkt, jeder Service, jeder Prozess und jedes Device wird früher oder später digital sein. Denken Sie sich einfach mal Sensoren und Connectivity zu allem hinzu.
10. Führen Sie bimodale IT ein! Die Koexistenz zweier kohärenter IT-Modi (einer auf Zuverlässigkeit, einer auf Agilität getrimmt) gehört zu den Lieblingsideen der Gartner-Analysten. Stabilität und Schnelligkeit lassen sich so in der jeweils angemessenen "Geschwindigkeit" vorantreiben.
11. Kollaborieren Sie! Werden Sie ein Anwalt für Industrie 4.0. Schließen Sie sich Peer Groups, Konsortien und Standardisierungsgremien an. Denn die besten Ideen müssen nicht zwangsläufig aus dem eigenen Unternehmen kommen.
12. Halten Sie die Augen offen! Die Dinge verändern sich - ständig. Erfolgreiche Unternehmen wie Google und Amazon wissen das. Sie sind immer auf der Suche nach neuen Entwicklungen und Möglichkeiten.
7. Werden Sie ein Digital Business Leader! Der CIO sollte sich für das digitale Business engagieren. Dazu muss er aber seinen Elfenbeinturm verlassen. Denken Sie von innen nach außen, rief Prentice die IT-Chefs auf, und verbringen Sie etwa 30 Prozent Ihrer Arbeitszeit mit Menschen von außerhalb Ihrer Organisation.
Hauptfehlerquelle von Embedded Systems ist die Firmware. So schleichen sich etwa bei der bei der Anbindung neuer Sensoren oder der Erweiterung von Kommunikationsprotokollen, beispielsweise für einfache, erweiterte Statusmeldungen, häufig Fehler bei der Implementierung ein. Das eröffnet Cyber-Kriminellen Einfallstore, um sich im System zu verankern. Im schlimmsten Fall zeigen Maschinen Disfunktionen und erzeugen immensen Schaden. Daher muss jederzeit sichergestellt sein, dass die Firmware genau dem Stand entspricht, den die Entwicklungsabteilung freigegeben hat - und keine Schadsoftware Änderungen vornehmen kann. Dafür braucht es Sicherheitsmechanismen, die das Aufspielen fehlerhafter oder schadhafter Firmware auf die Microcontroller verhindern. Beispiele dafür sind das gesicherte Booten und die Verankerung der Firmware-Prüfung im Bootloader oder aber die gesicherte Ablage des Firmware-Codes innerhalb eines geschützten Speicherbereichs.
Der Schlüssel macht's
Hinter Sicherheitsmaßnahmen wie diesen steckt im Grunde immer eine Technologie, um die Software mit kryptografischen Verfahren digital zu unterschreiben. Diese Signatur wird dann innerhalb des Gerätes - etwa in der Steuerung - geprüft. Nur bei einem positiven Ergebnis kann die Software starten. Um die Firmware oder die Authentizität des Steuerelements zu sichern, sind also immer kryptographische Schlüssel nötig. Der Aufwand für eine gesicherte Erzeugung und Verwaltung ist bei einer Vielzahl an Geräten jedoch nicht zu unterschätzen. Das lässt sich gut am Beispiel Stromzähler verdeutlichen: Es existieren Millionen Geräte, die individuelle Schlüssel brauchen. Diese Aufgabe übernehmen Hardware-Sicherheitsmodule (HSM). Sie bilden einen zentralen Vertrauensanker, der Schlüssel durch einen hochwertigen Zufallszahlengenerator erzeugt, einsetzt, speichert und verwaltet. So entsteht eine durchgehende Sicherheitskette bis hin zu Embedded Systems.
Die Security-Trends 2016
Security-Trends 2016 Viren, Cyberkrime, Erpressung, Kreditkartenbetrug - die Liste der digitalen Gefahren im Internet ist mittlerweile langgeworden. Wir haben die Top-10-Bedrohungen für 2016 zusammengestellt.
Malware Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen.
Datenschutzverletzungen Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen.
Cyberkrieg Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken.
Internet of Things Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist.
BYOD Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter.
Wearables Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen.
TOR Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art.
Unbekannte Schwachstellen Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert.
Mobile Zahlungssysteme Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig.
Cloud-Speicher Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.
Zwar gibt es hinsichtlich der Verwaltung und Verteilung der Schlüssel im Embedded-Umfeld derzeit noch keine durchgängigen Standard-Konzepte. Doch erste Schritte sind gemacht: So regelt beispielsweise das KMIP (Key Management Interoperability Protocol) die Schüsselverwaltung beim Zugriff von einem zentralen Schlüsselverwaltungssystem auf unterschiedliche Geräte. Aber es gibt weitere Aspekte zu bedenken - etwa die Lightweight-Implementierung, also die Leichtgewichtigkeit des Protokolls zugeschnitten auf den Microcontroller-Einsatz, oder die Echtheitssteuerung. Sie erfordern Anpassungen im Hinblick auf Schnelligkeit und Reaktion.
Doch ganz unabhängig davon, wie die Verschlüsselung erfolgt, etwa über einen zentralen Verwaltungsserver oder eine sichere Einheit auf den Geräten: Die sichere Verwaltung des Schlüsselmaterials bildet den Vertrauensanker - und ist die Basis für den erfolgreiche Umsetzung und Weiterentwicklung von Industrie 4.0-Konzepten. (sh)