Das Internet der Dinge bringt neue Herausforderungen für die Sicherheitsbranche

Seit Jahren verlassen sich Industrien wie Öl- und Gasindustrie, Landwirtschaft, Energie- und Versorgungswirtschaft bei der Überwachung, Steuerung und Erfassung von Daten auf eine funktionsfähige Kommunikationsinfrastruktur außerhalb des primären Unternehmensnetzwerks. Mittels der von diesen sogenannten SCADA-Systemen (Supervisory Control and Data Acquisition) gesammelten Daten wird eine effiziente Ressourcenallokation erreicht. Zudem erfolgen eine Überwachung der sicherheitstechnischen Bedingungen sowie eine Optimierung der operativen Entscheidungsfindung. Jetzt allerdings, mit dem Aufkommen der IoT-Technologie (Internet der Dinge) sind die Industrieunternehmen eifrig um den Einsatz neuer, drahtloser M2M-Geräte (Machine-to-Machine) bemüht. Auf diese Weise sollen noch mehr Daten von Anlagen, die im Versorgungsgebiet in entfernten, geographisch verteilten Orten eingesetzt sind, erhoben werden. Die Anzahl der Sensoren und Datenpunkte in industriellen Netzwerken wird sich somit über Nacht exponentiell vervielfachen. Infolgedessen gibt es mehr Access-Points als jemals zuvor. Daher ist Sicherheit ein wesentlicher Faktor, wenn es darum geht, den allgemeinen Erfolg einer IoT-Umsetzung festzustellen.

Industrielle IoT-Geräte könnten einfachen Remote Access zu Fernsensoren im Randbereich von SCADA-Netzen ermöglichen. Derartig eigenständige Sensoren werden möglicherweise längst im Rahmen einer Anwendung verwendet. Eventuell sind sie bereits in Anlagen integriert, die IP nutzen. Es ist unschwer zu erkennen, wie IoT – beispielsweise durch Datenüberwachung – zur Vorhersage von SCADA-Ausfällen genutzt werden könnte. Unter Umständen kann eine prozentual lediglich geringfügig gesteigerte Effizienz zu Einsparungen von Milliarden von Dollar führen. In der Industrie bezweckt IoT eine Verbindung sämtlicher Einzelanlagen an sämtlichen Standorten, sodass den wichtigen Entscheidungsträgern die Daten abrufbereit zur Verfügung stehen.

Die Integration von IoT-Geräten in SCADA-Netze erfordert jedoch große Sorgfalt. Viele SCADA-Systeme sind seit Ende des zwanzigsten Jahrhunderts in Gebrauch. Zur Zeit ihrer Entwicklung war das Thema Sicherheit noch nicht wirklich von Interesse. Als eigenständige Systeme ohne Möglichkeit des Fernzugriffs konzipiert, sind die grundlegenden SCADA-Kommunikationsprotokolle von Natur aus unsicher. Sicherheitsmaßnahmen bedeuten dabei schlicht, einen „Luftspalt“ zu belassen, das heißt keine Verbindung zu dem größeren Netzwerk herzustellen, sodass die Daten auf keinen Fall den eigenen Betriebsbereich verlassen können. Wird von solchen Systemen plötzlich die Kommunikation mit einem größeren, vollständig verbundenen Netzwerk erwartet, könnte dies Sicherheitsaspekte involvieren, für die sie niemals konzipiert wurden. Dies könnte ungeahnte Konsequenzen nach sich ziehen.

Zwischen vergleichsweise anspruchslosen SCADA-Netzwerken und umfassend verbundenen, mit IoT-Geräten kommunizierenden IP-Netzwerken gibt es erhebliche Unterschiede. In IP-Netzwerken stellt jedes Gerät eine potentielle Bedrohung für das gesamte IT-Netzwerk des Unternehmens dar – es sei denn, dies ist vernünftig abgesichert. Im Vergleich zu traditionellen SCADA-Systemen handelt es sich hierbei um ein weitaus größeres Kommunikationsnetz mit Tausenden von potentiellen Endpunkten. Die Betreiber industrieller IoT-Umgebungen müssen sich mit sämtlichen Elementen befassen, die in das Netzwerk integriert werden könnten – und zwar an jeder einzelnen Verbindungsstelle.

Traditionell trennen Unternehmen ihre betrieblichen Systeme (operative Technologie; OT) mit einer unternehmenseigenen Firewall von ihren informationstechnischen Systemen (IT). Bei einem IoT-Netzwerk sind jedoch zusätzliche Schutzmaßnahmen für Sensoren und Anwendungen im Unternehmen notwendig. Eine bloße Absicherung des Kommunikationslinks ist nicht ausreichend. Werden einzelne Geräte auf Seiten der OT-Systeme kompromittiert und ist der entsprechende Kommunikationslink für den Angriff zugänglich, könnte nichts einen Hacker von der Übermittlung schädlicher Daten abhalten. Die Folge wären Denial-of-Service (DoS) oder die Einschleusung von Malware oder Viren in das gesamte Netzwerk.

Durch die Verwendung von Standards wie etwa IPsec/TLS/SSL oder auch Datenverschlüsselung mit AES-128 ist der Aufbau von sicheren Verbindungen möglich, sogar in einer industriellen IoT-Umgebung. Bei einer ordnungsgemäßen Verschlüsselung der Daten, beispielsweise via VPN-Tunnel, kann kein Unbefugter auf die Daten zugreifen – selbst dann nicht, wenn sie im Netzwerk sichtbar sind. In drahtlosen Netzwerkumgebungen erlauben standardbasierte Verbindungen einen relativ einfachen Zugriff auf das Netzwerk selbst. Derweil hält die Software-Verschlüsselung Schnüffler fern.

Zusammenfassend lässt sich sagen: Die Aussicht der Unternehmen, durch mehr Effizienz und vorbeugende Instandhaltung Millionen von Dollar einzusparen, fördert die Implementierung von IoT im industriellen Bereich. Im Zuge der Umsetzung befinden sich die traditionell getrennten Bereiche operative Technologie und Informationstechnologie auf einem Kollisionskurs. Eine Kombination aus traditionellen SCADA-Systemen und neuen IoT-Systemen beinhaltet Risiken. Somit bedarf es besonderer Sorgfalt, damit die Sicherheit nicht gefährdet wird. VPN hingegen ist eine der Technologien, die eine zusätzliche Sicherheitsschicht sowohl für IT- als auch für OT-Netzwerke bieten können.