IoT ist omnipräsent und bietet (auch in der Energiebranche) immenses Potenzial – birgt aber auch Risiken. Schwachstellen in Geräten sind (leider) allgegenwärtig und die Anzahl der Malware und Exploits steigt kontinuierlich. Trotzdem zählt IoT immer noch zu den am meisten unterschätzten Bedrohungen. Daher braucht es ganzheitliche Ansätze, um Cyber Security im schnell wachsenden Internet der Dinge zu etablieren.
Smart – aber nicht ohne Risiken
Das Potenzial von IoT ist immens und hält inzwischen in alle Business-Bereiche Einzug. So ist es nicht verwunderlich, dass laut Experten in wenigen Jahren 8 von 10 Schweizer Unternehmen IoT-Komponenten im Einsatz haben werden. Damit dringt die Konnektivität in Bereiche vor, welche bislang voneinander getrennt waren. Dadurch steigt aber auch die Gefahr, dass solche Systeme manipuliert werden – Stichwort . Diebstahl, Betrug, Erpressung und Manipulation sind mögliche Folgen. Alles Risiken, die oft vernachlässigt werden. Und obwohl das keine neue Tatsache ist, fliessen oftmals grundlegende Sicherheitsprinzipien nicht in den Entwicklungs-Zyklus solcher Geräte mit ein. Und das wiederum kann erhebliche Schäden verursachen, beispielsweise durch Abfluss von Kunden- und Produktionsdaten, oder wenn der Wartungszugang zur Hintertüre eines Angreifers wird. Mit dem Einsatz von Kryptowährungen als M2M-Bezahlsystem wird das Angriffsrisiko zusätzlich erhöht und zwar ohne, dass der User direkt involviert ist.
IoT als Herausforderung in der Energiebranche
Die Energiebranche ist vorbildlich, wenn es um Safety- und Verfügbarkeitsanforderungen geht. Mit IoT entwickeln sich die Branchenlösungen jedoch in eine offene «OT-Welt» (Operational Technology), in der kritische Systeme nicht mehr isoliert sind. Dabei gilt es, nicht nur die Integrität und die Verfügbarkeit der einzelnen Systeme zu schützen, sondern auch die Daten. Der Business Case von IoT-Systemen liegt längst nicht mehr nur in der Automatisierung von Prozessen, sondern auch in der Individualisierung und Personalisierung von Energieprodukten und den dazugehörigen Dienstleistungen. Vertrauenswürdige Dienstleister müssen den Schutz dieser personenbezogenen Daten ernst nehmen. Umso mehr, weil die Daten in der Cloud bearbeitet und über unsichere Netze zwischen Objekten, Menschen und Services übertragen werden. Risiken erkennen, bevor das Licht ausgeht
IoT-Projekte sind grundsätzlich keine komplexe
Wissenschaft, weisen jedoch trotzdem einige Besonderheiten auf: «Security by Design » heisst das Zauberwort. In der Realität ist dies aus Innovationssicht jedoch meist nur bei kritischen Projekten oder IoT-spezifischen Anforderungen möglich. Um den Schutzbedarf eines IoT-Projektes abschätzen zu können, bedarf es zu Beginn einer entsprechenden Risikoanalyse. Dabei sind die Auswirkungen von Vorfällen im Kontext des Einsatzes der IoT-Systeme und Use Cases zu hinterfragen. Auf dieser Basis kann die Kritikalität abgeschätzt und eine Herangehensweise abgeleitet werden. Dies kann bedeuten, dass «Security by Design» tatsächlich zwingend notwendig wird, oder aber, dass zunächst nur einzelne Sicherheitsmassnahmen implementiert werden müssen. In IoT-Vorhaben mit höherem Schutzbedarf sollte im nächsten Schritt die Eintrittswahrscheinlichkeit von Vorfällen eruiert und Prioritäten abgeleitet werden. Dies gelingt durch eine Abschätzung der potenziellen organisatorischen und technischen Verletzbarkeiten im Gesamtsystem sowie für die einzelnen Komponenten.
IoT als fester Bestandteil der Cyber Security
Cyber Security muss bei IoT-Vorhaben ganz oben auf der Agenda stehen – nicht erst, wenn etwas schiefgegangen ist. Technologisch liegt der Schlüssel zur Sicherheit in einer geeigneten Architektur und der entsprechenden Zonierung bei IoT-Netzen. Wichtige Aspekte sind dabei die Identität, die Authentisierung und der Schutz der Daten; ebenso die optimale Segmentierung im Backend und die Überwachung der dadurch geschaffenen Zonenübergänge. Es gilt, verschiedene Verteidigungslinien (Lines of Defense) aufzubauen und diese mit entsprechenden Sicherheitsmassnahmen zu versehen. «Best Practice»-Ansätze dienen hier zur Orientierung. Natürlich darf das regelmässige Update- und Patch-Management (auch von IoT-Geräten) nicht vergessen werden.
Da sich die Risikosituation stetig ändert, gilt es, die aktuelle Bedrohungslage permanent zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern. Risk Assessments, organisatorische Audits, Penetration Tests und Vulnerability Scans sind deshalb wichtige Elemente in der Cyber Security. Unternehmen sollten zudem jederzeit in der Lage sein, Sicherheitsvorkommnisse erkennen zu können, schnell darauf zu reagieren und die Auswirkungen auf ein Minimum zu reduzieren. Wer sich mit IoT und Industrie 4.0 beschäftigt, muss sich auch intensiv mit Cyber Security und Cyber Defence auseinandersetzen.
Franco Cerminara, Chief Consulting Officer
Über InfoGuard
Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in1 Baar / Zug und eine Niederlassung in Bern. Ihre über 120 Sicherheitsexperten sorgen sich tagtäglich um die Cyber Security bei über 300 Kunden in der Schweiz.
