Das Internet of Things (IoT) bietet Herstellern von Maschinen, Geräten und Messtechnik enorme Chancen. Doch jedes IoT-Projekt birgt auch Risiken. IoT Security ist einer der grössten Stolpersteine bei der Entwicklung von smarten Lösungen für die Industrie 4.0. Die Komplexität und die Tragweite der Sicherheitsfragen werden häufig unterschätzt. Inwiefern IoT Security in jedem einzelnen Schritt des IoT-Entwicklungsprozesses einbezogen werden sollte, erfahren Sie in diesem Blogbeitrag.
Bei der Entwicklung von Produkten für das Internet of Things (IoT) steht die Funktionalität im Vordergrund: Die vernetzte Lösung soll Kunden einen Mehrwert bieten. Die Produktsicherheit spielt dabei meist nur eine Nebenrolle. Das gilt sowohl für smarte Konsumgüter als auch für vernetzte Produkte und Maschinen, die im Industrial Internet of Things (IIoT) zum Einsatz kommen. Obwohl gerade im industriellen Kontext immer auch sensible Daten auf dem Spiel stehen, wird das Thema IoT Security bei Lösungen für die Industrie 4.0 oft vernachlässigt.
Das ist ein Stück weit verständlich. Schliesslich liegt der Fokus von Maschinenbauern und Ingenieuren auf der technischen Umsetzung fachlicher Anforderungen. So steht auch bei IoT-Projekten die Herausforderung der Vernetzung von Komponenten wie Sensoren, Aktoren und Controllern im Mittelpunkt. Die Technologie ist komplex, es gibt keine Standardlösungen und die Zeit drängt – schliesslich ist die Time-to-Market im Wachstumsmarkt IoT entscheidend. Aspekte der Cyber Security gehen dabei gerne vergessen. Diese spielen im Hinblick auf die vielen Angriffsflächen der verwundbaren Smart Industry jedoch eine immer zentralere Rolle.
Die grundlegenden Prinzipien der Cyber Security gelten auch bei IoT-Projekten. Dennoch kommen in der Praxis oft Komponenten zum Einsatz, die über keine oder unzureichende Schutzmechanismen verfügen. So werden zum Beispiel vielfach unsichere Hard- und Software-Architekturen oder unsichere Kommunikationsprotokolle eingesetzt. Die Folge: IoT-Produkte werden von Cyber-Kriminellen als Einfallstor genutzt. Ein Szenario, mit dem immer mehr Industriebetriebe Erfahrungen machen müssen, sind Malware-Attacken.
Oft geht auch vergessen, dass die Sicherheit einer IoT Solution über den Lebenszyklus der Services gepflegt werden muss. Wer analysiert zum Beispiel potenzielle Schwachstellen? Wer stellt auf sichere Weise Updates für Software und Firmware zur Verfügung (CERT-Prozess)? Diese Fragen müssen bereits im Design-Prozess einfliessen.
Herstellern von IoT Devices drohen neben Haftungsrisiken auch Reputationsschäden. Mit folgenden, bewährten Sicherheitsmassnahmen lassen sich die Cyber-Risiken minimieren:
Least Privileges: Prozesse, Softwarekomponenten und Benutzer erhalten nur so viele Rechte wie nötig.
Access Control: Zugriffe durch Benutzer und Systemprozesse auf Dienste und Daten werden kontrolliert.
Minimization: Auf Geräten und Schnittstellen laufen nur jene Softwarekomponenten und Dienste, die auch benötigt werden.
Compartmentalization: Die einzelnen Dienste laufen voneinander abgeschottet und kommunizieren über klar definierte Schnittstellen.
Entsprechende Massnahmen werden bei IoT-Projekten erfahrungsgemäss jedoch oft erst kurz vor der Produkteinführung zum Thema. Zu spät taucht die Frage auf: Wie machen wir unsere innovative IoT-Lösung nun auch noch sicher?
Erfahren Sie im kostenlosen Wissen-Update «Sicherheit – ein Must für jedes IoT-Projekt», welches die Erfolgsfaktoren für IoT-Projekte sind.
Die Betrachtung der Sicherheit als «Add-on» für Anwendungen wie Cloud Access, Remote Access oder Edge Gateway greift zu kurz. Je später im Entwicklungsprozess IoT Security zum Thema wird, desto aufwändiger wird die seriöse Produkteinführung. Nachrüsten kostet viel und so manche Sicherheitslücken lassen sich im Nachhinein nicht mehr optimal absichern.
Hersteller müssen IoT Security deshalb von Anfang an mitdenken. Die Erfolgsformel bei der Entwicklung von IoT Devices heisst «Security by Design», sprich: Sicherheitsfragen werden bereits in der Konzeptionsphase und beim Prototyping hoch gewichtet. Einerseits geht es dabei um die Ermittlung von Angriffsvektoren, gegen die das smarte Produkt geschützt werden soll. Andererseits müssen sich Entwickler bereits frühzeitig mit den potenziellen Angriffspunkten im weiteren Produktlebenszyklus befassen. Nach der Markteinführung sind deshalb auch die laufende Analyse und die kontinuierliche Verbesserung der IoT Security zentral.
Bei jedem IoT-Entwicklungsschritt sollte die Cyber Security mitberücksichtigt werden.
Wird der Ansatz «Security by Design» konsequent verfolgt, spielt Sicherheit in jeder Phase des IoT-Entwicklungsprojekts eine zentrale Rolle:
Hersteller, welche die relevanten, aktuellen Bedrohungen im Bereich der IoT Security und die daraus resultierenden Sicherheitsanforderungen auf dem Radar haben, bleiben langfristig erfolgreich: Sie minimieren Risiken und schaffen sich Wettbewerbsvorteile, denn sie sind in der Lage, Cyber-Angriffe auf ihre Produkte rechtzeitig zu verhindern und schützen dadurch nicht nur das eigene Unternehmen, sondern vor allem auch die Kunden.
Die CyOne Security unterstützt Sie über den gesamten Entwicklungsprozess hinweg mit projektspezifischen IoT Security Services. Unsere IoT Security-Experten verfügen über fundiertes Fachwissen in Product Cyber Security für Hard- und Software. Sie profitieren im Hinblick auf den ganzen Produktlebenszyklus von sicheren Architekturen und regelmässigen Updates, kontinuierlichen Sicherheitsmassnahmen und verifizierbaren Audit-Prozessen.
Ivo Steiner
Sales Manager IoT Security
«Wir teilen mit Ihnen unser Expertenwissen und zeigen Ihnen auf, welche Erfolgsfaktoren vom Design über die Entwicklung bis hin zur Implementation Ihrer IoT-Anwendung zentral sind, um höchstmögliche und nachhaltige IoT Security zu erreichen.»