Das 1x1 der IoT-Informationssicherheit

Informationssicherheit für IoT – Haben wir nicht dringendere Probleme? Vielleicht, aber nur weil IoT im Heimbereich bislang größtenteils unter dem Radar vieler Angreifer geflogen ist. Zumindest abgesehen von gehackten IP-Kameras, Herzschrittmachern und Babyphonen. IoT-Geräte sind per se klein, unauffällig und im besten Fall für den Nutzer transparent. Aber sie sind auf dem Vormarsch, und zwar massiv. Ein durchschnittlicher Haushalt einer Industrienation hat heute zehn Geräte im Netzwerk. Technikaffine Familien kommen locker auf 40 oder 50. Viele der Geräte sprechen nicht nur lokal mit dem Heim-Router, sondern auch mit ihrem Hersteller. Im schlimmsten Fall sind sie direkt aus dem Internet erreichbar, als Supergau nur mit dem Default- oder keinem Passwort gesichert.

Keiner wills gewesen sein

Das Schlimme an der Situation ist der luftige Umgang mit der Verantwortung. Der Endnutzer schaltet die Geräte ein und nutzt sie, aber er kann kaum für die Sicherheit verantwortlich gemacht werden. Der Airbag im Auto wird ja auch nicht vom Fahrer gewartet und justiert. Selbst bei Interesse am Thema dürften 99% der Anwender die dafür notwendigen Kenntnisse fehlen. Und die Hersteller betrachten, solange es keine wirklich strenge Produkthaftung für Sicherheitsvorfälle gibt, Sicherheit als lästiges Übel. Wenn etwas passiert, will keiner Schuld gewesen sein.

8 Maßnahmen für die IoT-Sicherheit in Unternehmen

Im Markt für Privatanwender wird letztendlich nur der Gesetzgeber für ein vernünftiges Sicherheitsniveau sorgen können. Aber beim gewerblich-industriellen Einsatz von IoT-Geräten sieht die Situation anders aus. Zahlreiche Compliance-Vorgaben, die in den Unternehmen gelten, erstrecken sich auch auf die IoT-Geräte. Zudem gibt es im gewerblichen Umfeld eine IT-Abteilung oder zumindest einen externen Dienstleister, der das Wissen und die Zeit für die Umsetzung von Sicherheitsvorgaben hat. Die grundlegenden Maßnahmen unterscheiden sich ohnehin zumindest auf einer abstrakten Ebene nicht von denen, die für die Standard-IT gelten.

1. Sowohl für IoT wie auch für andere IT-Geräte gilt die Regel der geteilten Verantwortlichkeit. Hersteller, Partner und Endanwender spielen eine Rolle in der Informationssicherheit, alle sollten sich darüber klar sein, wo die Zuständigkeit des einen endet und des nächsten anfängt.
2. Ebenso bekannt aus der Standard-IT ist die große Rolle, die die Identität von Geräten mittlerweile spielt. „Identität ist der neue Perimeter“ heißt es nicht umsonst und Identity ist eine der Säulen von Zero Trust-Konzepten. Ohne die Möglichkeit, getrennte Rollen für Aufgaben zu definieren und diese auch am Gerät durch eine Anmeldung umzusetzen, gibt es kein Least-Privilege und Separation-of-Duty.
3. Aktivitäten im Netzwerk erzeugen keine Geräusche und verursachen keine üblen Gerüche. Ohne Monitoring und die entsprechende Auswertung sind Administratoren blind. Die meisten IoT-Geräte erzeugen Logs, die gesammelt und in ein entsprechendes SIEM eingespeist werden sollten.
4. Die beste Sicherheit funktioniert wie eine Zwiebel. Je mehr Schichten man aufbaut, desto besser ist der Kern geschützt. Das zielt auch in die Richtung „Zero-Trust“. Eine zentrale Schutzkomponente, beispielsweise am Gateway reicht nicht, der Schaden sollte auch dann noch gering sein, wenn ein Angreifer die Firewall überwindet. Segmentierung, Härtung, Rechtekonzept, mit diesen Maßnahmen lässt sich ein Angriff in engen Grenzen halten.
5. Menschen machen Fehler, Maschinen weniger. Informationssicherheit ist in der Strategie- und Planungsphase Handarbeit, danach lässt sich viel automatisieren. Gerade wenn, wie immer häufiger der Fall, Cloud-Infrastrukturen genutzt werden, helfen Konzepte wie Infrastructure-as-Code (IaC) dabei, repetitive Aufgaben zu vereinfachen und schnell, ohne Fehler in Abhängigkeit bestimmter Trigger auszuführen.
6. Verschlüsseln, verschlüsseln, verschlüsseln. Verschlüsselung hilft Organisationen auf vielen Ebenen. Eine VPN-Verbindung kann nicht abgehört werden, verschlüsselt gespeicherte Daten sind für Diebe wertlos. Nicht jedes Bit muss verschlüsselt sein, aber wer seine am stärksten exponierten Stellen wie Eingänge in das Netz und die wichtigsten Daten verschlüsselt, hat schon viel gewonnen.
7. IoT-Geräte sind häufig an Stellen zu finden, die sich schlecht vor physischem Zugriff schützen lassen. Techniker müssen zur Wartung in die Innereien einer Maschine vordringen, ein Schloss wie am Serverraum hilft hier nicht. IoT-Geräte können aber Alarme auslösen, wenn Gehäuse geöffnet oder physische Schnittstellen am Gerät aktiviert werden.
8. Jeder wird gehackt, irgendwann. Wichtig ist nur, den Schaden klein zu halten und dabei hilft, wenn man einen Plan für den Fall der Fälle hat. Wer weiß, was zu tun ist, reagiert schneller und koordinierter. Solche Pläne sind auch nicht statisch, sondern müssen ständig aktualisiert und natürlich ab und an getestet werden.