IoT-Sicherheit: So schließen Sie die wichtigsten Sicherheitslücken
0Durch das Internet of Things (IoT) erstreckt sich das Unternehmensnetzwerk heute bis in Maschinen, Anlagen und die Gebäudeautomation hinein. Für Ihre IT entstehen dadurch Sicherheitsrisiken, sind doch selbst kleinste Komponenten mit Webanschluss potenzielle Angriffsziele für Hacker. Schützen Sie Ihr Unternehmen deshalb unbedingt mit IoT Sicherheitsmaßnahmen und bedenken Sie: Die größte Schwäche ist der Mensch! Neben technischen Standards sollten Sie sich deshalb auch im Ihr Personal kümmern.
Wie stellt IoT eine Bedrohung für die Cybersicherheit dar?
Für PC, Rechner und andere Endgeräte ist ein aktueller Virenschutz heute das Mindeste und mittlerweile eine absolute Selbstverständlichkeit. Selbst branchenferne Unternehmen haben meist ein umfangreiches Sicherheitskonzept. Doch während die klassische IT bestens geschützt ist, werden Maschinen, Geräte und Anlagen viel zu oft komplett vernachlässigt. Dabei können IoT Security Standards nicht nur die Geräte, sondern im Angriffsfall sogar die komplette Firma schützen.
IoT Sicherheitstechnik alleine reicht nicht aus
Selbst wenn die Unternehmens-IT gut geschützt ist, bleibt der Faktor Mensch unberechenbar, wenn es um IT-Sicherheit geht. So gelangen Cyberkriminelle oft über Social Engineering oder Phishing-Mails ins Unternehmensnetzwerk und verschlüsseln, manipulieren oder stehlen dort Daten. Deshalb ist die regelmäßige Schulung der gesamten Belegschaft ein zentrales Element einer umfassenden Security-Strategie. Denn entsprechend sensibilisierte Mitarbeiterinnen und Mitarbeiter erkennen Angriffsversuche, bevor ein Schaden entsteht.
Social Engineering:
Dabei gewinnt der Täter das Vertrauen des Opfers, um ihm z.B. wichtige Daten oder Passwörter zu entlocken.
Phishing-Mails:
Es werden täuschend echte E-Mails verschickt, die den Empfänger dazu verleiten sollen, auf einen falschen Link zu klicken, sich Dateien aus dem Anhang herunterzuladen oder sensible Daten preis zu geben.
Welche Knackpunkte erwarten mich bei IoT-Security?
Darüber hinaus benötigen das Netz, die dort laufende Software sowie die angeschlossene Hardware einen umfassenden technischen Schutz. Dabei stellen die IoT-basierten Anwendungen besondere Herausforderungen an alle Beteiligten. Allein die rasant wachsende Zahl an Komponenten, die geschützt und überwacht werden muss, kann zur Herausforderung werden.
Getrennte Welten und Protokolle
In den meisten Unternehmen nutzen mehrere Bereiche IoT-Anwendungen. Deshalb ist es ratsam, die Zuständigkeiten detailliert festzulegen.
Zudem befinden sich in der Automatisierung oft Feldbus-basierte Steuerungen. Diese sind meist über Gateways an das Datennetz angeschlossen. Hier ist genau festzulegen, wie weit die Security-Maßnahmen in die Steuerungen hinein reichen sollen und welche Sicherheitsfunktionen das Gateway bereitstellen muss.
Echtzeitanforderungen
Zudem dürfen die Sicherheitsmaßnahmen die Funktionen nicht beeinträchtigen. Eine ungünstig konfigurierte Firewall darf also nicht dazu führen, dass eine Steuerung nicht mehr in Echtzeit reagieren kann.
Gewachsene Strukturen und lange Laufzeiten
Die größte Herausforderung im industriellen Umfeld sind die langen Standzeiten der Maschinen und Anlagen von oft 20 Jahren und mehr. Sobald auf Maschinen ein Onlinezugriff möglich ist, muss das Security-Team selbst bei veralteten Betriebssystemen eine Lösung finden, diesen Zugriff sicher zu gestalten.
Mit dem Einzug von IoT-Komponenten ist in vielen Unternehmen eine Schatten-IT gewachsen. Nicht jedes Gerät mit Webzugriff ist in einer Dokumentation erfasst. Und nicht jedes erhält regelmäßige Firmware-Updates, um es vor aktuellen Cyberrisiken zu schützen.
Wie erstelle ich eine Risikoanalyse?
Für ein auf die konkreten Bedingungen abgestimmtes Sicherheitskonzept müssen zunächst alle Prozesse und die damit verbundene Hard- und Software erfasst und analysiert werden. Das gilt für die kleinsten IoT-Komponenten mit ihren Apps genauso wie für Gateways, Server, Steuerungen, Maschinen und Anlagen sowie für Verteiler-, Steuer- und Serverschränke mitsamt der dort betriebenen Software. Für die Risikoabschätzung sollten Sie sich zu jedem betrachteten Geschäfts- und Produktionsprozess folgende Fragen stellen:
- Welche Hard- und Software ist damit verknüpft?
- Welche Schwachstellen haben diese, welche Angriffsflächen bieten sie?
- Wie hoch ist die Eintrittswahrscheinlichkeit?
- Welche Auswirkungen hat dies im schlimmsten Fall?
- Welche anderen Prozesse sind dadurch gefährdet?
Mithilfe dieser Informationen lassen sich die Gefahrenpotenziale für die einzelnen Prozesse bewerten und darauf abgestimmte organisatorische und technische Maßnahmen zur Absicherung ergreifen.
Welche Security-Maßnahmen sind bei IoT-Umgebungen unverzichtbar?
IoT-Sicherheit erfordert Security-Lösungen, die auf die speziellen Anforderungen der jeweiligen Automationsumgebung abgestimmt sind und somit mit den Umgebungsbedingungen vor Ort zurechtkommen. Außerdem muss die Lösung die jeweils eingesetzten Protokolle beherrschen und zum Beispiel für echtzeitfähige Systeme eine extrem niedrige Latenz aufweisen.
Die folgende Checkliste enthält grundlegende Maßnahmen für sichere IoT-Anwendungen:
- Best Practices: Bei der Umsetzung des Sicherheitskonzeptes sollten Sie bewährte Standards und Frameworks wie den IT-Grundschutz des BSI oder das Cyber Security Framework der US-Standardisierungsbehörde NIST nutzen.
- Security Awareness: Sensibilisieren Sie Ihre Belegschaft für potenzielle Gefahren und bieten Sie mindestens halbjährlich Security-Awareness-Schulungen an.
- Segmentierung des Netzwerks: Mit einer Aufteilung eines größeren Netzwerks in logisch getrennte Zonen, die autark arbeiten, lässt sich der Schaden eines Angriffs in Grenzen halten.
- Multifaktor-Authentifizierung: Damit steigt die Zugriffssicherheit auf IoT-Geräte und -Anwendungen erheblich gegenüber einem reinen Passwortschutz.
- Verschlüsselung: Nutzen Sie aktuelle Verschlüsselungsalgorithmen, um die Kommunikation zwischen Geräten und Gateways sowie die Verbindung zum Backend zu schützen.
- Zentrales Geräte- und Zertifikatsmanagement: Damit lässt sich die Identität und Echtheit aller vernetzten Geräte feststellen und gewährleisten.
- Least-Privilege-Prinzip: Jeder Nutzer, jedes System erhält nur die Rechte, die für eine spezielle Funktion notwendig sind.
- Netzwerk-Gateways mit Sicherheitsfunktionen: Die integrierten Sicherheitsfunktionen sammeln Daten der IoT-Endpunkte und übertragen sie für die Analyse sicher in das Netzwerk.
- Security by Design: Wenn bereits bei der Entwicklung von IoT-Geräten und -Anwendungen Sicherheitsmechanismen mit integriert werden, sind besonders platzsparende und smarte Lösungen möglich.
- Langfristige Update-Strategie: Regelmäßige Software- und Firmware-Updates sind wichtig, um Sicherheitslücken auf den Endgeräten und im Backend schnell schließen zu können.
- Granulares Monitoring: Mit einer Überwachung der Anwendungen und Benutzeraktivitäten im Netzwerk erkennen Sie ungewöhnliches Verhalten und können darauf reagieren.
- Angepasste Security-Techniken: Nutzen Sie State-of-the-Art-Security-Techniken wie Identity und Access Management( IAM) oder Intrusion Prevention Systeme (IPS) zur Erkennung und Abwehr von Angriffen. Der Markt bietet zudem Speziallösungen an, die für bestimmte Umgebungsbedingungen und Protokolle ausgelegt sind, etwa zum Schutz von IoT-Geräten und -Anwendungen oder für Industrieanlagen sowie für kritische Infrastrukturen.
- Threat Intelligence: Hierbei werden die gesammelten Informationen zum IoT-Datenverkehr mithilfe von Machine Learning analysiert, um Anomalien und Hinweise auf mögliche Angriffe zu erkennen.
Ein Security-Konzept sollte immer gemeinsam mit Experten aus allen beteiligten Unternehmensbereichen erstellt werden. Insbesondere in der Automation ist das Know-how der Ingenieure entscheidend, um Funktion und Echtzeitbetrieb aufrecht zu erhalten.
Fazit
Diese übergreifende Zusammenarbeit ist auch sinnvoll, wenn Sie Ihre IoT-Umgebung weiter ausbauen möchten. Denn dann benötigt das Sicherheitskonzept ebenfalls eine Erweiterung. Nur so bleibt die Gesamtinstallation umfassend geschützt. Sie haben Fragen zur IT-Sicherheit? Unsere Security-Experten stehen Ihnen gerne beratend zur Seite.