Für Hersteller und Betreiber von IoT-Anwendungen spielt Security oft eine Nebenrolle. Das kann sich rächen. Ohne Berücksichtigung der Cyber Security wird das IoT-Device zur Einflugschneise für Cyber-Kriminelle: Die Unternehmensinfrastruktur wird zur Hochrisikozone. Lernen Sie in diesem Blogbeitrag die 3 relevanten IoT Security-Aspekte kennen.
Das Internet der Dinge (IoT) breitet sich in hohem Tempo in allen Branchen und Märkten aus und das IoT-Netzwerk wird immer dichter – auch im industriellen Umfeld (IIoT). Dadurch dringen IIoT-Anwendungen öfters in kritischere Bereiche unserer digitalen Gesellschaft vor. So werden vernetzte Geräte in Bereichen wie Medizintechnik und kritische Infrastrukturen zur Normalität. Damit steigen die Risiken drastisch und wirken sich durch gefährliche Cyber Incidents massiv negativ auf die Unternehmen und die Wirtschaft aus. Nebst dem Verlust der Vertraulichkeit und Beeinträchtigungen der Verfügbarkeit von Daten können Datenmanipulationen gerade in den Bereichen Medizin, Pharma, Verkehr und kritische Infrastrukturen dramatische Folgen für Leib und Leben bedeuten. Und dennoch: Das Thema Cyber Security wird bei IIoT-Anwendungen heute immer noch bagatellisiert, wenn nicht sogar ignoriert.
Cyber-Attacke auf IloT-Devices ist Realität
Viele Unternehmen, welche bereits heute IIoT-Anwendungen betreiben, sind schlecht gegen Cyber-Angriffe gewappnet. Grosse Risiken stellen dabei die ungenügend geschützten IIoT-Geräte selber dar (Sensoren, Aktoren, Gateway). Sie werden neben den klassischen Angriffsvektoren wie E-Mail von Angreifern immer häufiger als Einfallstor in die Unternehmensinfrastruktur oder als Sprungbett für eine Kompromittierung anderer Systeme innerhalb von segmentierten Infrastrukturen verwendet. Die dafür verantwortlichen Hauptschwachstellen sind: Der IIoT-Geräteverkehr wird oft unverschlüsselt abgewickelt, IIoT-Geräte sind rund um die Uhr in Betrieb, immer online, schlecht gewartet und zu selten überwacht. Zudem liefern sie, in Kombination mit der Kenntnis zum Einsatzumfeld, Auskunft über die Identität des Benutzers respektive Unternehmens. Cyber-Kriminelle nutzen vorhandene IoT-Sicherheitslücken gezielt aus. So können ganze Produktionsketten lahmgelegt, Kundendaten manipuliert, Unternehmen erpresst oder sogar Industriespionage betrieben werden. Schlimmstenfalls sind Menschenleben gefährdet. Die massive Zunahme von Cyber-Angriffen müsste Hersteller und Betreiber eigentlich zum Handeln zwingen.
Sichere IoT-Konnektivität alleine genügt nicht
Klassische Cyber Security-Anbieter konzentrieren sich heute oftmals auf sichere Netzwerkverbindungen ab den Perimetern hin zum Betreiber, zum Cloud-Anbieter oder zum Anwender. Das zu berücksichtigen ist grundsätzlich richtig, macht aber nur einen Teil der notwendigen Massnahmen aus. Um ein IoT-Ökosystem umfassend und «end to end» zu schützen, braucht es zusätzlich sichere IIoT-Devices und Know-how für eine sichere Integration in eine bestehende Netzwerkinfrastruktur. Dies haben beispielsweise in der Medizintechnik auch die regulativen Organe erkannt und erlassen Anforderungen zur Cyber Security von Medizinprodukten, z.B. die Food and Drug Administration (FDA) in den USA sowie die Medical Device Regulation (MDR) durch die EU.
