„Pervasive Computing“, auf Deutsch in etwa „Rechnerdurchdringung“, bezeichnet die alles durchdringende Vernetzung des Alltags mit Hilfe „intelligenter“ Gegenstände. Geräte und Services sollen „smart“ sein, sie werben mit den Vorteilen digitaler Dienste. Das „Internet of Things“ (IoT) boomt.
Im privaten Gebrauch dominieren sprachgesteuerte Systeme, beispielsweise von Amazon, Google oder Apple. Sie werden gerne genutzt, um Smart-Home-Anwendungen bequem zu bedienen. Im geschäftlichen Bereich punkten die IoT-Dienste oft mit Digitalisierung, Effizienzsteigerung und Kostenreduktion. Das gemeinsame Problem dabei: Komponente A, Hersteller B und IoT-Service C verwenden meist nicht dieselben Standards, Schnittstellen und Protokolle. Wie aber können die Systeme von unterschiedlichen Anwendungen und Herstellern sicher miteinander kombiniert, gesteuert und kontrolliert werden?
IoT-Hubs versprechen Lösungen im Standard-Dschungel
Die Koordination der unterschiedlichen smarten Geräte und Services im Netzwerk sollen zentrale Knoten-Punkte, sogenannte „IoT-Hubs“, übernehmen. Über die Cloud oder als Instanz vor Ort vermitteln sie zwischen den Fähigkeiten und Protokollen der vielen Endsysteme. Hersteller versprechen eine universelle Verbindung und Steuerung für eine hohe Zahl an IoT-Geräten.
Für die Nutzerinnen und Nutzer sind solche zentralen Systeme durchaus erstrebenswert: Alle Informationen, Kontrollmöglichkeiten und weiterführenden Verbindungen zu anderen digitalen Assistenten lassen sich an einem Punkt sammeln und verwalten. Aus der Sicherheitsperspektive nehmen IoT-Hubs jedoch einen besonders hohen und auch kritischen Stellenwert ein: Sie sind für potenzielle AngreiferInnen besonders lukrativ. Weist ein IoT-Hub eine Schwachstelle auf, sind nämlich alle angeschlossenen Systeme betroffen.
Fünf verschiedene Modelle beschreiben die möglichen Gefahren von IoT-Hubs – und ermöglichen entsprechende Gegenmaßnahmen. [1]
- Unberechtigter Zugriff aus dem Internet
Unberechtigte Zugriffe aus dem Internet stehen oft in Zusammenhang mit Diensten wie Internet-Router oder Firewall-Zugriffsregeln. Da ein IoT-Hub wichtige Funktionen steuern und Daten beinhalten kann, sollte ein direkter Zugriff von extern unbedingt deaktiviert werden. Eine mögliche Lösung wäre z.B. eine zusätzliche Absicherung über ein VPN. Im unternehmerischen Umfeld existieren dazu bereits konkrete Zahlen aus der Praxis: Laut den „Verizon Data Breach Reports“ kommen rund 70% der Angriffe von extern. [2] - Sicherheitslücken der Firmware und fehlende Updates
Kein Code ist frei von Fehlern, daher sollte jeder Service und jedes System mit Fehlerbereinigungen versorgt werden. Dazu gehören zwei Seiten: Der Hersteller muss für solche Updates sorgen, und der Anwender muss diese regelmäßig anwenden. Achten Sie schon vor Auswahl und Kauf eines Systems auf die Verfügbarkeit von Wartungszyklen und fordern Sie diese im Pflichtenheft ein. - Ungesicherter Fernwartungszugriff
Der Unterschied zwischen gut und gut gemeint: Fernwartungszugriffe sollen der einfachen Unterstützung bei möglichen Problemen mit dem System dienen. Schlecht umgesetzt können sie jedoch auch Angreifern den unerlaubten Zugriff erleichtern. Standard-Zugriffe sollten auf jeden Fall geändert werden und Zugriffe, z.B. zu anderen Programmierschnittstellen, nur bei tatsächlichem Bedarf aktiviert sein. - Lokale Angriffe aus der eigenen Infrastruktur
Auch von Systemen und Usern, die sich im eigenen System befinden, können Angriffe ausgehen. Der Data Breach Report von Verizon berichtet von mehr als 30% Insider-Breaches – mit ansteigendem Trend. [3] Ob im Unternehmen oder Privatbereich: Nur berechtige und vertrauenswürdige Systeme sollen auf IoT-Geräte zugreifen können. Ein eigenes Netzsegment für IoT sowie die Trennung von Gästen und sonstigen möglichen unberechtigten Nutzern des lokalen Netzwerks können erste Schritte sein. - Supply Chain Attacks
Supply Chain Angriffe können stellvertretend für indirekte Angriffe stehen: Nicht der IoT-Hub direkt, sondern andere vernetzte Systeme können manipuliert werden und Fehler auslösen oder weitergeben. Bei Unternehmen steht die traditionelle Lieferkette mit eigentlich vertrauenswürdigen Partnern im Fokus. Im privaten Umfeld können andere Dienste und Apps, oder auch neue Funktionen von digitalen Assistenten Risiken bergen. Grundsätzlich sollten Vernetzungen mit anderen Systemen minimiert und regelmäßig bereinigt werden. Werden neue Apps oder sonstige Dienste mit dem IoT-Hub verbunden, ist ein vorbeugender Check auf mögliche Probleme sinnvoll. Eine genaue Aufzeichnung, wer welche Verbindungen und Dienste nutzen darf, ist nicht nur im Fehlerfall sehr hilfreich.
Weitere Schwerpunkte bei Unternehmen
IoT-Systeme stellt IT-Abteilungen vor neue Herausforderungen. Neu installierte Systeme bringen oft intelligente Komponenten mit sich, die an das interne Netzwerk angeschlossen werden. Nicht nur Technologien, auch Prozesse und MitarbeiterInnen sind bei einer Sicherheitsplanung unbedingt mit einzubeziehen.
Zusammen mit Partner NOZOMI bietet IKARUS erprobte Lösungen an, um diese Herausforderungen umfänglich und skalierbar zu managen. Die Systeme orientieren sich an den Richtlinien des NIST Cybersecurity Frameworks und den Standards IEC 62443 und ISO27000 und setzten branchenübliche Best-Practices um. [4] Kontaktieren Sie dazu gerne unverbindlich die ExpertInnen von IKARUS unter +43 1 58995-500 oder sales@ikarus.at!
Linktipps:
Transparenz und Sicherheit in IT, IoT und OT (ICS) Umgebungen
Technologie-Partner: IKARUS und NOZOMI
[1] https://www.pentestpartners.com/security-blog/threat-modelling-and-iot-hubs/
[2] https://enterprise.verizon.com/resources/reports/dbir/
[3] https://securityboulevard.com/2020/01/the-rise-of-insider-threats-in-verizons-dbir/
[4] https://www.nozominetworks.com/solutions/challenge/applying-cyber-security-best-practices/