Schwachstellen im IoT der Industrie unterstreichen die Bedeutung von sicheren Verbindungen

Laut Aussage des führenden Analystenhauses Gartner Group werden bis zum Jahr 2020 in über 50 % aller wichtigen neuen Geschäftsprozesse und -systeme Elemente des Internets der Dinge (IoT) enthalten sein. Das IoT bietet überaus interessante Möglichkeiten hinsichtlich der Revolutionierung bestehender Geschäftsmodelle. Zweifellos haben es industrielle Hersteller eilig, aus dieser virtuellen Welt voller Möglichkeiten – in der neue Umsatzströme durch Management und Betreuung von Kundengeräten per Fernzugriff generiert werden – Kapital zu schlagen.

Doch bevor sich alle von diesen Möglichkeiten mitreißen lassen, sollte man einen Moment innehalten und sich bewusst machen, dass mit dem Digitalisierungsrausch auch gleichzeitig ein Risiko einhergeht: das Risiko, dass Cybersecurity-Überlegungen von diesem IoT-Wachstum überflügelt werden.

IoT ist ein Versprechen an die größten Unternehmen weltweit: Es verspricht Verbesserungen hinsichtlich Effizienz, Automatisierung und Informationen in unvorstellbarem Ausmaß. Wir sehen die Technologie bereits in nahezu sämtliche Bereiche der Industrie Einzug halten, angefangen bei Systemen zur Supervisory Control and Data Acquisition (SCADA) im Energie- und Fertigungsbereich bis hin zu Steuerungssystemen, medizinischer Ausrüstung und vernetzten Fahrzeugen.

Allerdings gibt es auch eine Schattenseite. Die Begeisterung der gewerblichen Unternehmen über die Möglichkeiten, mit IoT neues Vermögen zu generieren, motiviert gleichfalls Cyberkriminelle und Hacker. Diese sind beflügelt von der Aussicht, durch Ausnutzung von IoT-Sicherheitsschwachstellen Daten sammeln zu können, die ihnen Informationen – und damit schließlich Reichtum – auf Kosten aller anderen bringen. Insbesondere große Marken haben dabei viel zu verlieren. In den USA gab es bereits die ersten IoT-Gerichtsprozesse, in denen die Sorgfaltspflicht der Unternehmen gegenüber dem Kunden genauestens unter die Lupe genommen wurde.

Das IoT bringt eine Welt voller neuer Risiken mit sich. In einem Bericht vom Januar 2016 über die Absicherung des Internets der Dinge, herausgegeben vom Unternehmen Telefónica, wird der mögliche Konflikt zwischen Ingenieuren und der IT-Abteilung diskutiert: Auf der einen Seite stehen die Ingenieure mit ihren Anforderungen an industrielle Steuerungssysteme, ununterbrochen rund um die Uhr zu laufen. Auf der anderen Seite steht die IT-Abteilung mit ihrem Wunsch nach Wahrung der Datenintegrität um jeden Preis.

Laut Aussage des Medienunternehmens MIT Technology Review berücksichtigen Netzwerkadministratoren häufig nicht, dass Hacker ein Unternehmen über Heiz- und Kühlsysteme attackieren könnten. An anderer Stelle stellte Senator Ed Markey in seinem detaillierten Bericht über vernetzte Fahrzeuge fest, dass die meisten Hersteller keine wirksamen Methoden zur Datensicherung beschreiben konnten. Forscher des Unternehmens Kaspersky hingegen haben gezeigt, wie einfach ein Angriff auf ein Krankenhaus oder auf medizinische Geräte ist.

Sicherheitsbedrohungen im Zusammenhang mit IoT-Geräten unterscheiden sich nicht von anderen Netzwerkbedrohungen. Es ist einfach so, dass Maßnahmen zur Sicherheitsregulierung komplett hinter der Entwicklung von IoT-Geräten zurückbleiben. Dazu kommt, dass einst eigenständige Systeme plötzlich vernetzt werden. Der Wettlauf der IoT-Hersteller um den ersten Platz bei der Markteinführung hat auch Auswirkungen auf die Kompatibilität der Geräte. Doch nicht alle Geräte sind gleich und es gibt keine Garantie, dass sie mit anderen Geräten kompatibel sein werden. Selbst bei älteren Versionen der gleichen Geräte gibt es keine Kompatibilitätsgarantie. Die Hersteller wissen das.

Einige der größeren Hersteller haben sich an die allgemeine Öffentlichkeit gewandt und diese gebeten, als „Prüfstand“ zu fungieren. GM beispielsweise hat diesen Monat ein neues Bug-Bounty-Programm veröffentlicht. Mittels öffentlichem Crowdsourcing sollen damit Schwachstellen in den zunehmend komplexen Cybersystemen der vernetzten Fahrzeuge gemeldet werden.

Hacker und Netzwerkeindringlinge sehen im IoT die schwächste Stelle beim Zugriff auf ein Netzwerk. Die einfachste und zuverlässigste Methode zum Schutz von Machine-to-Machine (M2M)-Verbindungen ist die Verbindung via VPN. Gute VPN-Softwarelösungen lassen sich einfach in die bestehende Infrastruktur integrieren und erfordern keine zusätzliche Hardware. Darüber hinaus wird der Datenverkehr im Gerät selbst gesichert. Somit wird dafür gesorgt, dass keine unverschlüsselten Daten die Maschine verlassen. Drei Bereiche sollten bei der Einrichtung eines VPNs in einer M2M-Umgebung berücksichtigt werden:

• Verbindungen: Es sollte festgelegt werden, ob die Anwendung bei Bedarf oder ständig Zugriff erfordert und ob Kommandozeilen- oder API-Steuerung benötigt wird.
• Authentifikation: Sichere Authentifikation kann mittels Netzwerkzertifizierung von Software/Hardware erreicht werden.
• Zentrales Management: Es sollte möglich sein, die IoT-Geräte via Remote Access zentral zu konfigurieren, entweder durch Rollout eines Systemabbilds oder Softwareverteilung, Software-Patches/Updates, Skalierung der VPN-Vernetzung und Authentifikationsmanagement.

Alles in allem revolutioniert IoT den Datenzugriff in Unternehmensnetzwerken rasant – und zwar dermaßen, dass Sicherheitsüberlegungen eventuell außer Acht gelassen werden. Network Access Control mittels VPN-Anwendung kann IoT-Sicherheitsbedrohungen erheblich mindern beziehungsweise komplett eliminieren. Werden im Zusammenhang mit IoT keine stabilen VPN-Verbindungen genutzt, besteht für die Maschinen im Netzwerk das Risiko von Störungen oder Ausfällen. Diese führen zu Stillstand, Gewinneinbußen und sogar zu Rechtsstreitigkeiten. Zur Verwaltung und zum Schutz der Verbindungen von Tausenden von Maschinen im Netzwerk und deren Interaktion mit dem Rechenzentrum kann die VPN-Software einfach skaliert werden.