Internet der Dinge: Was zu tun ist, um IoT-Security Realität werden zu lassen

Beim IoT (Internet of Things/Internet der Dinge) gibt es derzeit keine Standards und Security-Modelle. Man kann die Security dennoch verbessern.

Die Informations-Technologie entwickelt sich schnell weiter und die Security kann nicht Schritt halten. Computing nimmt in unserem täglichen Leben einen immer höheren Stellenwert ein. Von Autos über Industrie-Anlagen bis hin zu Kühlschränken ist alles miteinander vernetzt und schickt oder empfängt Daten von mobilen Applikationen und Cloud-Services. Wir brauchen ganzheitliche Security-Ansätze, um das schnell wachsende Internet der Dinge (IoT/Internet of Things) zu adressieren.

Ein Angriff auf ein intelligentes Thermostat scheint unwesentlich zu sein. Die Datensicherheitsverletzung bei Target war allerdings das Resultat von schlechter Security beim Klimatisierungs-, Lüftungs-Management- und Kontroll-Systemen in den Geschäften des Einzelhändlers. Mehr als 70 Millionen Kunden wurden bei dem Einbruch kompromittiert. Andere IoT-Angriffe mit hohem Stellenwert kamen ans Tageslicht, wie zum Beispiel das Carna-Embedded-Device-Botnet, TRENDnets Web-Kamera-Exploit, den Linux.Darlloz-Wurm und der Thingsbot-Angriff, den der Security-as-a-Service-Provider Proofpoint entdeckt hat.

Fehlende Security

Die Vielfalt der IoT-Geräte erhöht die Angriffsfläche für Exploits und Malware enorm. Ein Bericht von HP Security Research hat Resultate zu Untersuchungen der Top-Ten-Verbraucher-Geräte zur Verfügung gestellt und auf unglaublich viele gefundene Schwachstellen hingewiesen. Darunter befanden sich keine Transport-Verschlüsselung, unsichere Web-Schnittstellen, Autorisierungs- und Software-Schutz-Probleme, sowie Datenschutz-Bedenken.

Schlechte IoT-Security ist das Resultat von zwei hauptsächlichen Problemen:

  • Jeder will so schnell wie möglich neue Geräte auf den Markt bringen. Deswegen ist Security nicht Teil des Designs. Zumindest gibt es hier enorme Einschränkungen oder die Implementierung ist armselig.
  • Die Entwickler herkömmlicher Embedded-Systeme aus Bereichen wie Herstellung oder Transport haben sich keine Gedanken über Security-Kontrollmechanismen gemacht. Diese Systeme waren ursprünglich von IP-Netzwerken isoliert (Air-Gap). Diese Air-Gaps verschwinden nun sehr schnell und immer mehr industrielle Kontroll-Systeme werden mit dem Netzwerk verbunden und entfernt verwaltet.

Die HP-Studie hat aufgezeigt, dass es selbst einfache Security-Prinzipien, die man seit mehr als 20 Jahren predigt, nicht in den Entwicklungs-Zyklus des Produkts schaffen. Dazu gehören zum Beispiel starke Passwörter. Was können wir also tun, um die IoT-Security zu verbessern?

Der Schutz des IoT hängt an einem neuen Security-Modell und -Standards. Unsere derzeitigen Security-Modelle für PCs und Smartphones lassen sich nicht auf IoT-Geräte abbilden. 

Die meisten dieser Geräte sind in Sachen Prozessor- und Storage-Kapazität limitiert. Industrielle Kontroll-Mechanismen installiert man häufig in wichtigen, betrieblichen Umgebungen. Viele „intelligente“ Produkte fallen bei den Kunden in die Rubrik „installieren und dann aus dem Sinn“. Unser derzeitiges Security-Modell lässt sich nicht auf diesen Arten an IoT-Geräten umsetzen. Wir sprechen hier von Updates, dem Einspielen von Security-Patches, dem Installieren und Aktualisieren von Antiviren-Software und dem Konfigurieren von Host-basierten Firewalls.

Zusätzlich zu einem neuen Security-Modell benötigt man unbedingt neue Standards. Nur so garantiert man sichere und kompatible IoT-Geräte. Der Verbraucher-Markt bei IoT ist halbherzig reguliert. Standards für Security und Sicherheit sind eigentlich nicht vorhanden. 

Andere Märkte wie zum Beispiel Medizin, Fertigung, Automotive und Transport haben Security- und Sicherheits-Standards. Diese muss man allerdings aktualisieren und IoT-Geräte aufnehmen. Einige Gruppen befassen sich mit IoT-Standards. Dazu gehören Industrial Internet Consortium, Thread, AllJoyn und das Open Interconnect Consortium. Letzteres wurde im Juli 2014 von Broadcom, Dell, Intel, Samsung und anderen Firmen gegründet. Es wird interessant, welcher Standard sich im Endeffekt durchsetzt und die breiteste Akzeptanz findet.

Security-Maßnahmen für IoT

Bis neue Security-Modelle und -Standards entwickelt sind, sollten IoT-Geräte mindestens die nachfolgenden Security-Praktiken implementiert haben.

  • Verwendung sicherer Entwicklungs-Praktiken. Die OWASP Internet of Things Top Ten stellen eine gute Grundlage für Security-Kontrollmechanismen zur Verfügung. Dabei geht es um grundlegende Kontrollen wie zum Beispiel starke Authentifizierung und sichere Web-Schnittstellen. Damit würden schon viele der Security-Probleme adressiert, die von HP Fortify in IoT-Geräten für Endverbraucher gefunden wurden.
  • Schutz der Daten. Bei IoT wandern Daten und die Netzwerk-Grenzen sind vage. Um den Datenschutz zu garantieren, muss man die Daten sowohl bei der Übertragung als auch im ruhenden Zustand angemessen absichern.
  • Offenlegung, wie PII (Persönlich identifizierbare Informationen) behandelt werden. Die Produkt-Anbieter sollten klare Auskunft geben, welche persönlichen Informationen gesammelt und geteilt werden und wie man diese schützt.
  • Verschlüsseln, verschlüsseln und verschlüsseln. Verschlüsselung ist eine entscheidende Komponente für IoT-Security. Die Daten müssen zwischen der Übertragung von einem Gerät auf ein anderes verschlüsselt sein. Das gilt auch zwischen dem Gerät und den mobilen Apps, sowie anderen Netzwerken wie zum Beispiel der Cloud. Zusätzlich sollten Software-Updates für das Gerät verschlüsselt sein.
  • Führen Sie eine Security-Bewertung durch. Das IT-Security-Team sollte eine eigene Security-Bewertung für das jeweilige Produkt durchführen, um das Gerät, die Applikationen und Kommunikations-Kanäle einschätzen zu können.

Wie können Unternehmen die IoT-Security verbessern? Während neue Standards, Security-Modelle und sichere Geräte entwickelt werden, können Security-Profis die nachfolgenden Schritte durchführen, um die Security bei derzeitigen IoT-Geräten zu verbessern:

  • Schließen Sie IoT-Geräte in das Risiko-Management und in die Monitoring-Strategien mit ein.
  • Machen Sie sich beim Internet der Dinge die gleichen Security-Methoden zunutze, mit denen Sie auch Netzwerke und mobile Geräte beschützen.
  • Erstellen Sie ein Betriebsmittel-Inventar aller Geräte und ein segmentiertes Netzwerk, das von einer Firewall geschützt ist und von einem IPS (Intrusion Prevention System) überwacht wird.
  • Aktivieren Sie so viel Endpunkt-Security wie möglich. Ändern Sie dafür die Standard-Einstellungen und erschaffen Sie starke Passwörter.
  • Führen Sie bei neuen Geräten aktive Scans durch.
  • Erstellen Sie eine Patching-Strategie für IoT-Geräte.

Benutzen Mitarbeiter Verbraucher-IoT-Geräte, sollten Sie verfügbare Security-Funktionen wie zum Beispiel Verschlüsselung aktivieren, die Standard-Einstellungen ändern und starke Passwörter kreieren.

Unternehmen könnten Produkte mit eingebauter Security kaufen. Hier sind solche gemeint, die Daten verschlüsseln und verschlüsselte Software-Updates zur Verfügung stellen. Unsere Anforderungen an Computing ändern sich. Die Security muss daher pro-aktiv statt reaktiv sein. Einige IoT-Geräte sind neu, viele andere hingegen entscheidend für die Sicherheit von Menschen, Eigentum und Ressourcen. Sobald es eine Datensicherheitsverletzung gibt, bei der Leben und Sicherheit in Gefahr sind, ist es bereits zu spät.

Über die Autorin:
Angela Orebaugh, Ph.D., ist eine Technologie-Futuristin und eine Vordenkerin mit 20 Jahren Erfahrung im Bereich Cybersecurity. Sie ist leitende Wissenschaftlerin bei Booz Allen Hamilton. Dort führt sie Security-Forschung bei physischen Cyber-Systemen und dem IoT (Internet of Things) durch. Dr. Orebaugh hat außerdem den Kurs „Securing the Internet of Things“ für die Universität von Virginia entwickelt, den sie dort auch unterrichtet. Derzeit arbeitet Sie an Cybersecurity und Datenschutz für intelligente Städte, Umwelt und Energieversorgung, sowie Verbraucher-Elektronik.

Artikel wurde zuletzt im Januar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close