Standard für IoT-Security
Heilsamer Schock für die IoT-Sicherheit
Es war ein Schock als ein massiver DDoS-Angriff mit Hilfe von tausenden infizierten IoT-Geräten durchgeführt wurde. Er war heilsam, weil seither das Thema IoT-Sicherheit intensiv diskutiert wird; niemand wagt es noch, es herunterzuspielen. Andererseits: Auf den Durchbruch wartet man noch immer.
Dabei war der Mirai-Angriff auf der IoT-Seite noch einigermaßen harmlos. Die betroffenen Geräte wurden zwar missbraucht, Rechenkraft, Speicher und Internetbandbreite wurden abgezweigt, aber sie funktionierten trotzdem – und man möchte gar nicht wissen, wie viele von ihnen noch heute unverändert in Betrieb sind. Folgenreicher wäre der Vorfall bei IoT-Systemen gewesen, die in Unternehmen für wichtige Prozesse eingesetzt werden. Besonders in Industrie und Logistik breitet sich IoT in rasendem Tempo aus: Maschinen und Anlagen an jedem Ort zu überwachen und zu steuern, vom Aufzug über LKWs und Straßenlampen bis zu Turbinen, das ist geradezu eine Paradedisziplin für IoT-Systeme. Gartner prognostiziert bis 2020 mehr als 20 Milliarden vernetzte IoT-Endgeräte. Und IoT ist längst auch in kritischen Infrastrukturen zu Hause, beispielsweise bei der Strom- und Wasserversorgung; in manchen Krankenhäusern wurden auch schon 5.000 IoT-Systeme gezählt. Angriffe, die in solchen Anwendungsszenarien erfolgreich sind, können nicht nur Rechenkraft missbrauchen, sie können Anlagen zerstören, Unternehmen ruinieren und letzten Endes auch Menschenleben gefährden.
Die Sicherheit all dieser Geräte ist generell noch immer unzureichend und wir müssen uns darauf einstellen, dass dieser höchst unbefriedigende Zustand trotz des gestiegenen Risikobewusstseins auch noch eine Weile andauert. Denn erst allmählich setzt sich die Erkenntnis durch, dass die Sicherheitsverfahren, die sich in der IT etabliert haben, nur sehr bedingt auf IoT übertragbar sind. So sind IoT-Systeme schon aus Kostengründen nur sparsam mit Ressourcen ausgestattet. Übliche Sicherheitsfeatures wie Verschlüsselung funktionieren daher schon technisch nicht auf jedem Gerät. Auch haben industrielle Systeme, anders als PCs, eine lange Lebensdauer; 15 oder 20 Jahre sind keine Seltenheit; in solchen Zeiträumen denkt die IT nicht. Welcher Security-Experte möchte seine Hand dafür ins Feuer legen, dass der Verschlüsselungsalgorithmus, den er heute implementiert, auch noch im Jahr 2035 sicher ist? Natürlich kann man Updates von IoT-Geräten per Fernwartung durchführen – abgesehen davon, dass auch dafür nicht jedes Gerät geeignet ist, man schafft durch diese Möglichkeit gleich eine weitere Angriffsfläche. Alternativ ein Update vor Ort vorzunehmen, ist freilich auch nicht überall möglich; in einem Offshore-Windpark wird das schon recht schwierig, und hatte man nicht gerade auf IoT gesetzt, um nicht vor Ort sein zu müssen? Vor allem aber werden IoT-Systeme noch immer primär funktionsorientiert entwickelt: Erst kommt die Funktionalität, und dann überlegt man, wie man das Ganze auch noch absichern könnte – Security by Design ist vielleicht kein Fremdwort mehr, aber trotzdem nur selten gelebte Realität.
Generell lässt sich festhalten, dass das IoT dringend eine neue Sicherheitskultur benötigt. Zu dieser gehört neben dem Grundsatz, dass Security schon im Produktdesign verankert werden muss, auch dass Standards für die Sicherheit im Internet der Dinge verbindlich formuliert werden müssen. Trotz des IoT-Booms ist man davon noch weit entfernt. Wenn man bedenkt, was in Unternehmen alles geregelt und standardisiert ist – von der Breite des Flurs bis zur Sitzhöhe eines Drehstuhls – dann ist es eine geradezu groteske Situation, dass daneben Systeme von zentraler Bedeutung kaum gesichert via Internet erreichbar sind.
So wichtig Standardisierung ist, sie ist auch nicht unproblematisch, weil der Bereich, auf den sie sich bezieht, einem starken technologischen Wandel unterliegt, zumal IoT noch immer ein recht neues Feld ist. Sicherheitsstandards für IoT dürfen nicht die weitere Entwicklung einengen, weil möglicherweise zu starre Regelungen die Verbesserung der Sicherheit sogar verhindern.
Generell sollten neue IoT-Standards nicht detaillierte Konzepte vorgeben, sondern, ähnlich wie ISO 27001, allgemeine Anforderungen formulieren, die risikoadäquat umgesetzt werden müssen. Sie sollen sich daher keinesfalls bis auf Protokollebene herunterbegeben und etwa den Einsatz bestimmter Protokolle vorschreiben. Derzeit gibt es im IoT-Umfeld mehr als 500 verschiedene Protokolle und es ist absehbar, dass die Mehrzahl von ihnen nicht die Lebensdauer der IoT-
Geräte erreichen wird.
Wichtig wäre also ein „IoT-Security-Standard“ als Grundschutz, der einen Rahmen vorgibt und dabei beispielsweise von Herstellern erst mal überhaupt eine genaue Bewertung von Risiken, die aus dem Betrieb ihrer Systeme entstehen, verlangt. Auch eine genaue Unterscheidung von „Security“ und „Safety“ wäre in diesem Zusammenhang nötig, weil es, auch wenn der Begriff „Sicherheit“ hier nicht differenziert, in der Praxis einen großen Unterschied ausmacht, ob die Prozesse eines Systems gefährdet sind oder Gesundheit und Leben von Menschen. Schließlich muss sich ein IoT-Grundschutz auch der Frage nach den unterschiedlichen Lebenszyklen von Standards, Software und Geräten stellen. Es muss beispielsweise verbindlich festgelegt werden, wie lange Updates bereitgestellt werden. Sechsmonatige Garantiezeiten dürften jedenfalls nicht ausreichen, schon gar nicht im Safety-Bereich.
Grundschutz heißt nicht, ein paar unverbindliche Regeln aufzustellen und im Detail macht dann weiterhin jeder, was er will. Der ISO 27001-Standard formuliert mit seinen Vorgehensweisen und Anforderungen so einen Rahmen für die herkömmliche IT und hat sich damit durchaus bewährt. Ähnliches wäre auch für die speziellen Gegebenheiten des IoT nötig, vielleicht ebenfalls aus der Feder der ISO. Mit der IEC 62443 (ISA-99) und IEC 62264 (ISA-95) gibt es aktuell schon Sicherheitsstandards für industrielle Kommunikationsnetze und Leitsysteme. Wichtig ist allerdings auch eine regulatorische Compliance-Anforderung zur Einhaltung beispielsweise auf europäischer Ebene. Mit einem Standard für Sicherheit im Internet der Dinge wird man natürlich nicht alle Risiken ausschalten, aber man könnte das Gefahrenpotenzial doch erheblich reduzieren. Wie groß dieses tatsächlich ist, davon hat der Mirai-Schock nur eine erste Vorahnung geliefert.
Christian Koch ist Senior Manager GRC & IoT/OT bei NTT Security
Lesen Sie mehr zum Thema
