Das Internet of Things (IoT) als globales Ökosystem hat einen entscheidenden Makel: Es ist primär auf den Nutzen und das Geschäftspotenzial ausgerichtet. Sicherheitsaspekte rücken, wenn überhaupt, erst viel zu spät ins Blickfeld. Somit fehlt ein konsistenter globaler Sicherheitsansatz. Die Folgen: Es bestehen unterschiedliche Standards für die einzelnen Regionen, eine einheitliche Regelung ist schwierig. So finden Angreifer, die ein System für kriminelle Ziele missbrauchen wollen, auch meistens schnell ein Schlupfloch.
Richtungsweisende Guidelines für die Sicherheit des IoT kommen nun von höchster US-Instanz - ein eindeutiges Indiz dafür, dass das Thema langsam ernst genommen wird. Die sechs in der US-Richtlinie "Strategic Principles for Securing the Internet of Things (IoT)" des U.S. Department of Homeland Security genannten Prinzipien sind zwar für die weltweiten Akteure nicht verbindlich. Sie liefern aber eine empfehlenswerte Anleitung, um die IT-Sicherheit im IoT zu erhöhen.
Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Zertifizierter Datenaustausch
Die aus unserer Sicht wichtigste Empfehlung steht ganz oben auf der Liste: Das Thema Sicherheit in die Riege der wichtigsten Designkriterien aufzunehmen. Gerade in Deutschland besteht durchaus Potenzial, um dieser Forderung nachzukommen. Insbesondere die Maschinenbau- und Automobil-Branche verfügen schon heute über das Know-how, Komponenten mit Sicherheitsmechanismen wie kryptografischen Schlüsseln in die Geräte zu integrieren. Auch das US-Ministerium empfiehlt den Einsatz von Hardware mit integrierten Sicherheitsfunktionen wie Verschlüsselung und Anonymisierung.
Eine abgesicherte Gerätekommunikation könnte in der Praxis so aussehen: Über eine sichere Verbindung statten Hersteller während des Produktionsvorgangs alle Geräte mit einer eindeutigen Identität, zum Beispiel in Form von Zertifikaten, aus. Die Geräte sind so in der Lage, sich jederzeit zu authentifizieren und über verschlüsselte Kanäle sicher zu kommunizieren. Besonders sicher und hochverfügbar ist diese Lösung, wenn das Backend mehrere Server umfasst - Stichwort "Defense in Depth". Hardware-Sicherheitsmodule gewährleisten hier, dass alle Schlüssel sicher gespeichert, verwaltet und angewendet werden.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Branchenweite Lösungen statt punktuelle Eigenentwicklungen
Ebenfalls relevant ist die Aufforderung, branchenspezifische Vorgaben als Basis für die Sicherheitspraxis zu schaffen. In vielen Bereichen fehlen noch verbindliche Security-Standards, sei es beim Industrial Internet of Things (IIoT), im Umfeld Connected Car oder Smart Home. Hier handelt es sich bei Security-Implementierungen meist um punktuelle Eigenentwicklungen, die stets der Funktionalität untergeordnet sind. Vorreiter wie der Energiesektor, für den das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der technischen Richtlinie eine verbindliche Grundlage für den Umgang mit kritischen Daten im Smart-Metering-Umfeld geschaffen hat, können hier als Vorbild dienen.
Eines kommt in der US-Richtlinie allerdings zu kurz: Der Schutz von Kundendaten. Hier gelten in Deutschland und Europa schon immer andere Maßstäbe. Diese Kluft zeigt sich auch beim EU-US-Privacy Shield, über dessen Zukunft 2017 der Europäische Gerichtshof (EuGH) entscheiden wird. Umso wichtiger ist es, dass der Gesetzgeber im Rahmen von verbindlichen Branchenrichtlinien klare Vorgaben schafft.
Wer nicht hören will...
Eine besonders brisante Frage in diesem Kontext wird angesichts der jüngsten Hacker-Angriffe auf Telekom-Router oder große Internetdienste diskutiert: Sollten Hersteller unzureichend gesicherter IT-Produkte zur Rechenschaft gezogen werden? Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) fordert spürbare Strafen bei Verwendung unsicherer IT.
Dem können wir nur zustimmen: Jeder Betreiber kritischer Infrastrukturen und Verwalter wichtiger Daten muss lückenlos und detailliert nachweisen, dass er seine Systeme umfassend und nach dem jeweiligen Stand der Technik schützt. Hersteller eingesetzter Sicherheitsprodukte sollten sich wiederum durchaus mit Strafen auseinandersetzen müssen, wenn sie ihr Versprechen von Sicherheit nur als Feigenblatt vor sich hertragen und keine durchgängigen Vertrauensketten garantieren können. Das betrifft natürlich auch Produkt- und Gerätehersteller: Jeder, der Infrastruktur zur Verfügung stellt oder Endgeräte entwickelt und produziert, muss seine Hausaufgaben in Sachen Sicherheit machen und ein ganzheitliches Sicherheitskonzept von Anfang an mit einbinden.
Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Fazit: IoT nur mit Netz und doppeltem Boden
Security by Design lautet das Credo. Noch ist es nicht zu spät, ein Sicherheitsnetz um das IoT zu spannen - und zwar mit einheitlichen, fest verankerten Sicherheitsstandards. Die US-Richtlinie ist ein erster Schritt. Hoffen wir, dass 2017 weitere folgen. (fm)