Sicherheit im Internet der Dinge
Verhindern Sicherheitsbedenken den IoT-Durchbruch?
Nur wenige deutsche Firmen scheinen sich mit dem IoT anzufreunden. Eine kürzlich von IDC Research veröffentlichten Studie ergab, dass gerade einmal 34 Prozent der deutschen Unternehmen IoT-Pläne umsetzen. Aber warum?
Dieses Ergebnis steht allerdings im Widerspruch zu der offensichtlich großen Nachfrage nach IoT-Implementierungen: 68 Prozent der Befragten haben vor, dieses Jahr ein Budget für IoT-Projekte bereitzustellen. Was hält sie nun aber zurück?
Etwa ein Viertel der Befragten schreckt vor der hohen Komplexität des IoT zurück und weitere 20 Prozent hätten lieber ein „Rundumsorglospaket“ von IoT-Anbietern, das ihnen den Weg ebnet. Am aussagekräftigsten ist aber vielleicht, dass 20 Prozent das IoT aus Sicherheitsgründen meiden.
Mehr als eine Studie belegt, dass die unzureichende Sicherheit eindeutig eins der größten Hindernisse für die flächendeckende Nutzung des IoT ist. In einem weiteren Bericht von der Economist Intelligence Unit ist zu lesen, dass 26 Prozent der Unternehmensführer das Thema Sicherheit die größten Kopfschmerzen bereitet. In einer weiteren Studie von Vanson Bourne gaben 59 Prozent der IT-Mitarbeiter an, dass ihre Sicherheitsbedenken sie davon abhalten, IoT-Projekte umzusetzen. Und sie haben gar nicht so unrecht.
Es ist weithin bekannt, dass das IoT sehr anfällig für Cyberangriffe ist. Von Autos bis zu IP-Kameras werden unzählige IoT-Geräte von kritischen Schwachstellen heimgesucht. Besonders besorgniserregend ist, wie grundlegend einige dieser Mängel eigentlich sind: Standardpasswörter, keine Möglichkeit für Patches und Datenübertragung ohne Verschlüsselung – viele IoT-Geräte scheinen geradezu nach einem Angriff von Cyberkriminellen zu rufen. Babyphones können in Überwachungsgeräte, Router in DDoS-Botnets verwandelt werden und ein schlecht gesicherter Drucker kann zum Zusammenbruch eines ganzen Unternehmens führen.
Die riesige Nachfrage nach solchen Geräten ist es auch, die sie attraktiv für mögliche Angreifer gemacht hat. Diese umwerfende neue Technologie begeistert Unternehmen und Verbraucher gleichermaßen, was wiederum dazu führt, dass viele Hersteller schnell preiswerte Geräte auf den Markt bringen möchten, ohne sich überhaupt Gedanken darüber zu machen, wie sie ihrem Eigentümer eventuell schaden könnten. Ein gehackter Kühlschrank mag vielleicht nicht wie ein großes Problem wirken, aber selbst kleine Schwachstellen können einen möglicherweise fatalen Angriffspunkt für Heim- und Unternehmensnetzwerke bieten.
Ein weiterer Aspekt ist die Schwierigkeit, mit dem IoT gesetzliche Vorgaben zu erfüllen. Seit Ende Mai gilt in der EU die Datenschutz-Grundverordnung (DSGVO). Sie verpflichtet Unternehmen dazu, personenbezogene Daten mit hoher Sorgfalt zu behandeln. Diese müssen sicherstellen, dass sie ausreichend geschützt, portabel und für die Kunden auf Anfrage verfügbar sind.
Zudem sind Unternehmen auch für die Sicherheit von Dritten und Unternehmen aus der Lieferkette verantwortlich. Durch diese neue Gesetzeslage könnten große Unternehmen, die das IoT nutzen, schon bald für die Schwachstellen in ihren Geräten haften. Wer IoT-Projekte umsetzen möchte, muss also sicherstellen, dass die Geräte, auf denen sich personenbezogene Daten befinden, ausreichend Schutz bieten und diese Daten nicht irgendwohin senden, wo sie nichts verloren haben. Die DSGVO gilt übrigens nicht nur für Unternehmen mit Sitz in der EU, sondern für alle, die die personenbezogenen Daten von EU-Bürgern in irgendeiner Form speichern bzw. verarbeiten.
Die Gesetzgeber in unterschiedlichen Ländern beginnen gerade erst, sich mit dem IoT zu beschäftigen, und der Druck auf die IoT-Hersteller wächst, sich endlich der Sicherheitsfragen anzunehmen. Bis all das jedoch Wirkung zeigt, müssen die Benutzer solcher Geräte – also auch Unternehmen – sich selbst um die Sicherheit ihrer IoT-Lösungen kümmern.
Ein erster Schritt dafür ist es, sich zu überlegen, wie ein IoT-Projekt mit dem Netzwerk des Unternehmens interagieren würde. Alle Geräte müssen strengen Prüfungen unterzogen werden, um sicherzustellen, dass sie auch wirklich sicher sind. Am besten wäre es, wenn diese Geräte einen Sicherheitsstandard erfüllen würden, damit sie wirklich keinen dieser allzu häufig vorkommenden Schwachstellen aufweisen: keine sichere Authentifizierung und Verschlüsselung, kein Code Signing, unsichere Updates, etc.
Mit welchen Plattformen und Netzwerken werden sich die Geräte verbinden? Mit welchen Daten werden sie arbeiten? Müssen sie wirklich Zugriff auf diese Daten haben oder sich mit diesen Plattformen verbinden? All diese Fragen müssen dringend beantwortet werden.
Als allgemeine Daumenregel gilt: IoT-Geräte sollten niemals Zugriff auf mehr Daten haben, als die, die sie zur Erledigung ihrer Aufgaben benötigen. Und Netzwerke, die nicht miteinander verbunden werden müssen, sollten auch nicht verbunden werden. Durch einfache Maßnahmen wie die Segmentierung von Netzwerken haben Unternehmen schon eine gute Ausgangssituation für die sichere Umsetzung.
IoT-Netzwerke können häufig riesig werden. Sie bestehen dann aus Tausenden oder gar Millionen an Endpunkten, die alle miteinander kommunizieren. In einem unsicheren Netzwerk bieten Tausende Transaktionen auch Tausende Möglichkeiten, diese Daten abzugreifen.
So genannte Public Key Infrastrukturen (PKI) bieten hierbei eine gute Möglichkeit, diese Netzwerke zu schützen. Über mehrere Jahrzehnte haben sie sich zu einem zuverlässigen Standard mit und ohne WebPKI entwickelt. Durch wichtige Schutzmaßnahmen wie Secure Boot und drahtlose Aktualisierungen bieten sie Integrität für Geräte und Systeme. PKI ermöglichen durch die gegenseitige Authentifizierung von Geräten und Benutzern den sicheren Datenaustausch.
Eine auf Zertifikaten basierende PKI-Implementierung verschlüsselt die übertragenen Daten mit der aktuell sichersten Kryptografie, sodass eventuell gestohlene Daten völlig nutzlos für den Angreifer sind.
Am wichtigsten ist vielleicht jedoch der Umstand, dass PKI skalierbar sind und so die Millionen und Milliarden Geräte in globalen Netzwerken aus IoT-Endpunkten zuverlässig schützen. Eine gute PKI kann diese Schutzmaßnahmen im Hintergrund umsetzen, ohne dass unerfahrene Benutzer Passwörter oder andere umständliche Authentifizierungsverfahren verwenden müssen. So profitieren sie gleichzeitig von einer besseren Benutzererfahrung. Es gibt bereits einige Unternehmen, die PKI nutzen, um ihre Innovationen der nächsten Generation zu schützen. Auch IoT-Hersteller wie die Produzenten von medizinischen Geräten, Automobilen und anderen kritischen Geräten setzen auf PKI und werden diese Bemühungen in der Zukunft wahrscheinlich noch verstärken.
Sicherheitslücken sollten niemanden davon abhalten, all diese Innovationen für sich zu nutzen. Es ist aber auch nicht schwer zu verstehen, warum genau das passiert. Um die Zahlen vom Anfang in Perspektive zu rücken, sollte man daher wissen, dass deutsche Unternehmen besonders gefahrenbewusst sind, wenn es um das IoT geht. Als Deutschland die G20 leitete, setzte es sich durchgehend für höhere Standards in der IoT-Sicherheit ein, und auch auf der kürzlich stattgefundenen Industriemesse in Hannover war die IoT-Sicherheit das Leitthema.
Bis 2020 wird es laut Gartner 8,4 Milliarden Geräte geben, die mit dem Internet verbunden sind. Wer weiß, wie er sie schützen kann, hat die besten Chancen, dieses enorme Innovationspotenzial zu nutzen.
Lee Ealey-Newman ist Director EMEA/APAC für PKI & IoT bei DigiCert
